信息系统密码应用安全风险判定指南

"信息系统密码应用高风险判定指引" 本文档，"信息系统密码应用高风险判定指引"，由中国密码学会密评联委会于2020年十二月发布，旨在提供指导和规范信息系统在密码应用过程中的高风险安全管理。文档依据GB/TAAAAA《信息安全技术信息系统密码应用基本要求》的相关条款，涵盖了从规划、建设到运行和测评的全过程。 文档结构分为多个章节，包括范围、规范性引用文件、术语和定义、概述以及具体的安全要求。其中，规范性引用文件提到了GB/TAAAAA、GM/TBBBB等标准，这些标准对于理解和实施密码应用的安全要求至关重要。 在术语和定义部分，文档明确了"安全问题"和"缓解措施"这两个关键概念，前者是指资产中可被威胁利用的弱点，后者是减少威胁利用这些弱点导致安全事件的可能性的措施。 在随后的章节中，文档详细列出了通用要求，如密码算法的选择、密码技术和产品的使用，以及物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面的具体要求。例如，在身份鉴别方面，文档强调了在多个安全层面进行有效身份验证的重要性，以防止未经授权的访问。同时，文档还关注了通信过程中的数据机密性、远程管理通道的安全性，以及重要数据的存储机密性和完整性。 此外，文档还提到了密码应用管理要求，包括建立密码应用安全管理制度和制定密码应用方案，以确保密码应用的合规性和安全性。 附录A提供了关于密钥管理安全问题的资料性信息，强调了密钥管理在整个密码应用中的关键作用。 这份指引为确保信息系统密码应用的安全性提供了全面且深入的指导，通过对各种潜在风险的识别和缓解措施的提出，有助于提升信息系统的整体安全水平。