2021年信息系统密码应用高风险判定全面指南

《密评2021年高风险判定指引》是中国密码学会密评联委会于2021年12月发布的一份文件，专门针对信息系统密码应用过程中的高风险安全问题进行评估和管理。这份指南旨在为信息系统的设计、建设和运营提供规范，确保密码应用的安全性和有效性。 一、范围 该指引明确了其适用范围，适用于所有涉及密码应用的信息系统，无论是在规划阶段还是在实际操作中，都应参照此文件来识别和处理潜在的高风险。它不仅关注密码算法和密码技术的选择，还涵盖了物理环境、网络通信、设备计算、应用数据安全等多个层面。 1. 密码算法：强调了选择合适且安全的密码算法的重要性，以防止因算法脆弱性引发的风险。 2. 密码技术：规定了密码技术的使用标准，如身份鉴别、数据加密和保护机制，以确保信息的机密性、完整性和不可否认性。 3. 密码产品和服务：强调了密码产品的质量和安全服务的要求，包括密码产品的安全性评估和密码服务提供商的资质。 二、安全控制措施 - 物理和环境安全：通过身份鉴别技术防止未经授权的访问，并关注设备指纹技术，确保设备的独特标识性。 - 网络和通信安全：除了加强身份验证，还强调了通信过程中重要数据的机密性，以及安全接入认证的过程。 - 设备和计算安全：保护远程管理通道，确保设备和计算环境的安全，特别是针对身份验证的强化。 - 应用和数据安全：对于重要数据的传输、存储、完整性和不可否认性提供了详细的要求，确保数据在整个生命周期中的安全。 三、密码应用管理要求 - 安全管理制度：强调组织需建立密码应用的安全管理制度，明确责任和流程，确保制度的执行。 - 密码应用方案：要求制定针对性的密码应用方案，针对特定系统和业务场景设计安全策略。 四、附录与参考文件 指南还提供了参考资料，如信息安全风险评估规范、密码应用基本要求、测评要求等，帮助用户理解和执行相关规定。 总结来说，《密评2021年高风险判定指引》是一份全面的指导文档，它明确了密码应用过程中的关键环节和安全风险，对各方面的安全措施进行了详尽的规定，有助于提升信息系统整体的安全防护能力。无论是组织机构还是密码技术开发者，都需要深入理解和遵循这些指南，以应对日益复杂的信息安全挑战。