欢迎访问江苏省国家密码管理局!

等级保护第三级信息系统密码技术应用要求

     发布日期: 2018-11-22    

1.1              等级保护第三级信息系统密码应用技术要求

1.1.1  物理和环境安全

密码应用总则:采用密码技术实施对重要场所、监控设备等的物理访问控制;采用密码技术对物理访问控制记录、监控信息等物理和环境的敏感信息数据实施完整性保护;采用密码技术实现的电子门禁系统应遵循GM/T 0036。

具体要求:应使用密码技术的真实性功能来保护物理访问控制身份鉴别信息,保证重要区域进入人员身份的真实性;应使用密码技术的完整性功能来保证电子门禁系统进出记录的完整性;应使用密码技术的完整性功能来保证视频监控音像记录的完整性;宜采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。

1.1.2  网络和通信安全

密码应用总则:采用密码技术对连接到内部网络的设备进行安全认证;采用密码技术对通信的双方身份进行认证;采用密码技术保证通信过程中数据的完整性;采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性;采用密码技术保证网络边界访问控制信息、系统资源访问控制信息的完整性;采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理。

具体要求:应在通信前基于密码技术对通信双方进行身份认证,使用密码技术的机密性和真实性功能来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性;应使用密码技术的完整性功能来保证网络边界和系统资源访问控制信息的完整性;应采用密码技术保证通信过程中数据的完整性;应采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性;应采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理;宜采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。

1.1.3  设备和计算安全

密码应用总则:采用密码技术对登录的用户进行身份鉴别;采用密码技术的完整性功能来保证系统资源访问控制信息的完整性;采用密码技术的完整性功能来保证重要信息资源敏感标记的完整性;采用密码技术的完整性功能对重要程序或文件进行完整性保护;采用密码技术的完整性功能来对日志记录进行完整性保护。

具体要求:应使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;在远程管理时,应使用密码技术的机密性功能来实现鉴别信息的防窃听;应使用密码技术的完整性功能来保证系统资源访问控制信息的完整性;应使用密码技术的完整性功能来保证重要信息资源敏感标记的完整性;应采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性保护;应使用密码技术的完整性功能来对日志记录进行完整性保护;宜采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。

1.1.4  应用和数据安全

密码应用总则:采用密码技术对登录用户进行身份鉴别;采用密码技术的完整性功能来保证系统资源访问控制信息的完整性;采用密码技术的完整性功能来保证重要信息资源敏感标记的完整性;采用密码技术保证重要数据在传输过程中的机密性、完整性;采用密码技术保证重要数据在存储过程中的机密性、完整性;采用密码技术对重要程序的加载和卸载进行安全控制;采用密码技术实现实体行为的不可否认性;采用密码技术的完整性功能来对日志记录进行完整性保护。

具体要求:应使用密码技术对登录的用户进行身份标识和鉴别,实现身份鉴别信息的防截获、防假冒和防重用,保证应用系统用户身份的真实性;应使用密码技术的完整性功能来保证业务应用系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记等信息的完整性;应采用密码技术保证重要数据在传输过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等;应采用密码技术保证重要数据在存储过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等;应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等;应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等;应使用密码技术的完整性功能来实现对日志记录完整性的保护;应采用密码技术对重要应用程序的加载和卸载进行安全控制;宜采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。