信息系统密码应用高风险安全指南

"商用密码应用风险评估高风险指引" 该文档是针对商用密码在信息系统应用中的风险评估提供的一份指南，由中国密码学会密评联委会于2021年发布。文档旨在识别并处理密码应用过程中的高风险安全问题，适用于密码应用的规划、建设、运行及测评阶段。 1. 范围 指引涵盖了可能存在于信息系统密码应用中的高风险安全问题，并为相关人员提供指导和规范，以确保密码应用的安全性和合规性。 2. 规范性引用文件 引用了GB/T20984、GB/T39786—2021、GM/T0115—2021和GM/Z4001—2013等国家标准和行业标准，这些标准对于理解和执行文件至关重要。 3. 术语和定义 定义了如“安全问题”、“缓解措施”和“设备指纹”等关键术语，帮助读者理解文档中的专业概念。 4. 通用要求 - 密码算法：强调了密码算法选择的重要性，应选择经过验证、安全可靠的算法。 - 密码技术：讨论了密码技术的正确使用和实施，以保护数据安全。 - 密码产品和密码服务：要求密码产品和服务需符合相关安全标准和规定。 5. 物理和环境安全 身份鉴别是确保物理和环境安全的关键环节，需要有效的身份验证机制。 6. 网络和通信安全 - 身份鉴别：在网络通信中，必须有强大的身份验证机制防止未授权访问。 - 通信过程中重要数据的机密性：强调保护数据在传输过程中的机密性，防止中间人攻击。 - 安全接入认证：要求安全的网络接入认证机制，以减少非法接入的风险。 7. 设备和计算安全 - 身份鉴别：确保设备和计算环境中的用户身份真实性。 - 远程管理通道安全：对远程管理进行严格控制，防止恶意攻击。 8. 应用和数据安全 - 身份鉴别、重要数据的传输和存储机密性、完整性和不可否认性都是保障应用和数据安全的重要方面。 9. 密码应用管理要求 - 密码应用安全管理制度：组织应建立完整的密码应用安全管理机制。 - 密码应用方案：要求制定详细的密码应用策略和流程。 10. 附录A（资料性）密钥管理安全问题 提供了密钥管理方面的安全问题实例，帮助读者理解密钥管理在密码应用安全中的重要性。 这份指引详细列出了密码应用过程中的风险点和应对措施，对于从事信息安全管理和密码应用的人员来说，是评估和改进系统安全性的宝贵参考。遵循这些要求，可以显著降低商用密码应用中的潜在风险，确保数据和系统的安全性。