信息系统密码应用安全风险判定指南

"信息系统密码应用高风险判定指引.pdf" 本文档《信息系统密码应用高风险判定指引》由中国密码学会密评联委会于2021年十二月发布，旨在提供对信息系统中密码应用潜在高风险安全问题的识别与评估指导。文档适用于密码应用的规划、建设、运行及测评过程，以确保符合相关安全标准。 1. 范围 文档明确指出，其关注点在于信息系统密码应用中可能出现的高风险安全问题，并为涉及此类问题的各个环节提供规范指导。 2. 引用文件 文档引用了GB/T20984信息安全技术信息安全风险评估规范、GB/T39786—2021信息安全技术信息系统密码应用基本要求、GM/T0115—2021信息系统密码应用测评要求等关键标准，这些文件构成了密码应用安全的基础。 3. 术语和定义 文档定义了安全问题、缓解措施和设备指纹等关键术语，强调了识别、防范和管理安全风险的重要性。 4. 内容概览 - 通用要求：涵盖密码算法、密码技术和密码产品及服务的使用，强调了正确选择和应用的重要性。 - 物理和环境安全：涉及到身份鉴别，确保物理访问的安全控制。 - 网络和通信安全：包括身份鉴别、通信数据机密性和安全接入认证，保护网络通信不受侵犯。 - 设备和计算安全：关注身份鉴别和远程管理通道的安全，防止设备和计算资源被恶意利用。 - 应用和数据安全：涵盖了数据传输和存储的机密性、完整性以及不可否认性，确保数据的完整性和隐私。 - 密码应用管理要求：要求具备密码应用安全管理制度，制定详尽的密码应用方案，以保证密码应用的规范化管理。 5. 附录 附录A提供了密钥管理的安全问题，进一步细化了密钥管理中可能遇到的风险和应对策略。 这份文档提供了全面的指南，帮助信息系统的管理者和开发者识别并管理密码应用中的高风险，以提升整体的信息安全水平。通过遵循这些指导原则，可以有效降低密码被破解、数据泄露等安全事件的发生概率，确保信息系统的稳定和安全。