指导密评工作的基础性标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》将在10月1日实施,对于规范和引导信息系统合规、正确、有效应用密码,切实维护国家网络与信息安全具有重要意义。
一、政策法规与密码产品
政策法规与密码产品主要从三大标准,七大密码类标准作为政策法规模块,主要内容包含国家标准、行业标准、团体标准,密码类包含密码管理类、密码检测类、密码应用类、应用支撑类、密码产品类、基础设施类、密码基础类。
二、密码工具与密码管理
密码工具与密码管理板块数观天下团队主要基于《商用密码应用与安全性评估》选出密码工具作为安全防护的一部分,分为三套工具,分别为通用测评工具、工具管理平台、专用测评工具,其中通用测评工具包含协议分析工具、端口扫描工具等,专用测评工具包含密码安全协议检测工具、密码应用检测工具。
- 密码服务管理包含认证管理、策略管理、密钥管理;
- 密码资源管理针对云环境密码管理措施,主要有资源调度、故障迁移、智能监控等;
- 密码运维管理用于用户运维场景,主要有状态监控、故障报警、安全审计等;
- 密码设备管理主要有设备注册、状态监控、服务监管等。
三、密码基础架构
密码基础架构板块由密码应用基本要求、功能要求、基础设施三方面组成,其中密码应用基本要求对通用要求、技术要求、管理要求和密钥管理四块进行汇总,功能要求还是针对密码技术的机密性、完整性、真实性、不可否认性为基础。
基础设施方面还是以密码安全设备为主,包括服务器密码机、签名验签服务器、协同签名系统、VPN综合安全网关、证书管理系统、密钥管理系统、密码芯片等等。
四、基于密评的防护架构
密码防护体系主要根据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》进行整理,主要分为密码模块、物理和环境、网络和通信、设备和计算、应用和数据五大层次防护。
-
密码模块主要要求需采用符合相关标准要求的密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。
-
物理和环境防护主要有电子门禁系统出入记录、视频监控音频的记录、身份鉴别等。
-
网络和通信防护主要对通信过程中的敏感字段加密、网络边界访问控制、身份鉴别、安全准入认证为主。
-
设备和计算防护主要为安全审计、远程管理、身份鉴别访问控制信息等。
-
应用和数据防护主要有数据传输加密、数据存储加密、安全审计、身份鉴别、访问控制等。
五、密码技术应用场景
密码应用场景板块数观天下根据各厂商解决方案和用户场景进行经理,主要分为终端层、安全通道、服务层和移动办公。
- 在应用过程中,终端层建议使用VPN客户端、USBkey、安全浏览器、数据加解密等技术,安全通道建议使用身份鉴别、国密算法、传输加密、VPN安全通道等技术;
- 服务层建议使用数字认证服务、身份认证、电子签章服务、数据库加密、数据完整性检验、签名验签等技术服务;
- 移动办公分为互联网和内部办公网络,互联网建议使用国密VPN通道技术进行互联,内部办公网络建议使用国密HTTPS通道、国密VPN通道进行互联。
六、密码态势感知平台
密码态势感知平台板块数观天下团队建议分别从系统资源、证书监控、密钥比重、密码设备配比、密码服务、报警信息方面对密码整体进行监控。
暂无评论内容