信息系统密码应用高风险判定指引思维导图
从全国标准信息公共服务平台上看到,2021年3月9日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2021年第3号),全国信息安全标准化技术委员会归口的3项国家标准正式发布。
密码技术与密码服务之间的关系
具体清单如下:
第78条,GB/T 17901.3-2021 《信息技术 安全技术 密钥管理 第3部分:采用非对称技术的机制 》,
第111条,GB/T 25068.5-2021 《信息技术 安全技术 网络安全 第5部分:使用虚拟专用网的跨网通信安全保护 》,
第201条,GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》。
《信息系统密码应用高风险判定指引》(以下简称“《指引》”)是由中国密码学会密评联委会于2020年12月发布,是密评工作中的重要参考基线,也就是涉及到高风险的测评项为一票否决项,《指引》由指标要求、适用范围、安全问题、可能的缓解措施和风险评价构成。该判定指引遵循的标准《信息安全技术 信息系统密码应用基本要求》,所以要充分理解《指引》的内容,需要对《信息安全技术 信息系统密码应用基本要求》有个充分的认识。
同时,《指引》也提及“由于信息系统密码应用场景的复杂性,本文件无法涵盖密码应用的所有高风险安全问题,对于本文件未涉及但确实可能会对信息系统造成严重安全隐患的安全问题,应结合信息系统的实际情况对相关安全问题所引发的风险等级做出客观判断。在某些情况下,受限于具体场景的安全需求和各项条件,本文件给出的安全问题也可能不会导致信息系统面临较高安全风险,在信息系统密码应用的规划、建设、运行及测评时应结合具体场景进行合理判定”,所以在使用《指引》过程中,需要尊重科学合理利用的原则,一方面不可以胡乱解读,另一方面也不能太过教条化。
下面是根据《指引》,整理的思维导图,供大家有个参考:
等级保护体系涵盖了分级保护、密码测评、等级保护测评三个方向,特别密码测评与等级测评中,有许多内容是相互呼应的,所以在等级保护测评中,用户也会对有关知识咨询。如使用哪种密码算法比较合适,哪种又不安全不再适合等等?有关不安全算法,指引给出了举例,我在思维导图中,通过红色字体进行了标记,如果从事等级保护测评或落实等级保护工作的朋友,可以重点关注一下,做个参考!
旧话重提,再次声明,本人粗鄙见解纯属班门弄斧,聊作引玉之砖,期待方家批评指正,共同探讨,共同解决彼此配合中存在的异议和问题。
参考文件:
《信息系统密码应用高风险判定指引》
《2021年第3号中国国家标准公告》
《信息安全等级保护商用密码技术要求》使用指南
本文授权转载自:“祺印说信安”公众号,如需转载,请联系原作者。
