信息系统密码应用高风险防范指南：中国密码学会2021测评标准

《信息系统密码应用高风险判定指引》（中国密码学会密评联委会2021年发布）是一份针对信息系统中密码应用的关键安全领域的指南。这份文件旨在识别并解决在密码应用过程中可能出现的高风险问题，以确保系统的安全性。以下是主要内容概要： 1. **适用范围**：该文件适用于所有从事信息系统密码应用的规划、建设和运行阶段，以及密码应用的测评活动，旨在提供通用的指导原则。 2. **规范性引用文件**：文件引用了多项标准和规范，如GB/T20984（信息安全风险评估）、GB/T39786（密码应用基本要求）、GM/T0115（密码应用测评要求）和GM/Z4001（密码术语），确保了评估和管理的标准化。 3. **术语和定义**： - **安全问题**：指的是信息系统中的弱点，这些弱点可能被威胁利用，构成安全隐患。 - **缓解措施**：指采取的保护措施，用来降低威胁利用安全问题造成安全事件发生的可能性。 - **设备指纹**：通过设备的特定特征或标识符来识别和区分不同设备的技术，如操作系统、插件、语言设置等。 **核心部分**： - **5.通用要求**：涉及密码算法、密码技术、密码产品和服务的选用，强调了安全算法和可靠技术的重要性。 - **6. 物理和环境安全**：关注身份鉴别，确保物理设施和环境条件对密码应用的保护。 - **7. 网络和通信安全**：重点在于通信过程中的数据机密性、安全接入认证，确保数据在传输过程中的保密性。 - **8. 设备和计算安全**：继续强化身份鉴别，并强调远程管理通道的安全。 - **9. 应用和数据安全**：涵盖数据传输、存储机密性、完整性以及不可否认性的保护。 - **10. 密码应用管理要求**：强调建立健全密码应用安全管理制度，包括制定密码应用方案，并处理密钥管理中的问题。 这份指引提供了详细的评估框架，帮助企业或组织识别和处理在密码应用中的高风险，从而提升整个系统的安全性。遵循此指引有助于降低安全漏洞，防止数据泄露和其他潜在的风险。