2020-信息系统密码应用高风险判定指引

信息系统密码应用高风险判定指引中国密码学会密评联委会二〇二〇年十二月目录 1 范围 ........................................................................................................................................................ - 1 2 规范性引用文件 .................................................................................................................................... - 1 3 术语和定义 ............................................................................................................................................ - 1 4 概述 ........................................................................................................................................................ - 1 5 通用要求 ................................................................................................................................................ - 1 5.1 密码算法 ......................................................................................................................................... - 1 5.2 密码技术 ......................................................................................................................................... - 2 5.3 密码产品和密码服务 ..................................................................................................................... - 2 6 物理和环境安全 .................................................................................................................................... - 2 6.1 身份鉴别 ......................................................................................................................................... - 2 7 网络和通信安全 .................................................................................................................................... - 3 7.1 身份鉴别 ......................................................................................................................................... - 3 7.2 通信过程中重要数据的机密性 ..................................................................................................... - 3 7.3 安全接入认证 ................................................................................................................................. - 4 8 设备和计算安全 .................................................................................................................................... - 4 8.1 身份鉴别 ......................................................................................................................................... - 4 8.2 远程管理通道安全 ......................................................................................................................... - 4 9 应用和数据安全 .................................................................................................................................... - 5 9.1 身份鉴别 ......................................................................................................................................... - 5 9.2 重要数据传输机密性 ..................................................................................................................... - 5 9.3 重要数据存储机密性 ..................................................................................................................... - 6 9.4 重要数据存储完整性 ..................................................................................................................... - 6 9.5 不可否认性 ..................................................................................................................................... - 6 10 密码应用管理要求 .............................................................................................................................. - 6 10.1 具备密码应用安全管理制度 ....................................................................................................... - 7 10.2 制定密码应用方案 ....................................................................................................................... - 7 附录 A（资料性附录）密钥管理安全问题 ............................................................................................ - 8 - I 信息系统密码应用高风险判定指引 1 范围本文件依据GB/T AAAAA《信息安全技术信息系统密码应用基本要求》有关条款，给出了信息系统密码应用过程中可能存在的高风险安全问题。本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T AAAAA 信息安全技术信息系统密码应用基本要求 GM/T BBBB 信息系统密码应用测评要求 GM/Z 4001—2013 密码术语 3 术语和定义 GB/T AAAAA、GM/T BBBB和GM/Z 4001－2013中界定的术语和定义适用于本文件，以及下列术语和定义适用于本文件。 3.1 安全问题 security issues 资产中能被威胁所利用的弱点。 3.2 缓解措施 mitigation measure 是指可以降低威胁利用安全问题导致安全事件发生可能性的安全措施。 4 概述本文件中判定内容由指标要求、适用范围、安全问题、可能的缓解措施和风险评价构成。其中，指标要求源自 GB