写点什么

等保 2.0 密码要求是什么?法律依据有哪些?

作者:行云管家
  • 2022 年 6 月 27 日
  • 本文字数:1741 字

    阅读完需:约 6 分钟

等保2.0政策已经明确要求密码技术,密码技术主要出现在三级和四级安全要求中,主要涉及安全通信网络、安全计算环境、安全运输管理等部分。那等保 2.0 密码具体要求是什么?法律依据有哪些?


等保 2.0 密码要求是什么?

1、真实性

应在通信前基于密码技术对通信的双方进行验证或认证;

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

2、保密性

应采用密码技术保证通信过程中数据的保密性。

应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;

应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

3、完整性

应采用校验技术或密码技术保证通信过程中数据的完整性;

应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;

应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

4、不可否认性

在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。

5、密码管理要求

应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求;

应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容;

密码管理应遵循密码相关国家标准和行业标准;

密码管理应使用国家密码管理主管部门认证核准的密码技术和产品。

6、利用密码技术可以有效解决的问题

①可信验证:

可基于可信根对系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知;

应采用可信验证机制对接入到网络中的设备进行可信验证,保证接入网络的设备真实可信;

②远程管理:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

③集中管理:应能够建立一条安全的信息传输路径,对网络中的安全设备或者安全组件进行管理。


等保 2.0 密码要求法律依据有哪些?

1、网络安全法

“网络安全法”总则第十条中明确,“维护网络数据的完整性、保密性和可用性”。

第二十一条中表明“国家实行网络安全等级保护制度,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,且需要采取数据分类、重要数据备份和加密等措施”。以上内容均可以通过正确、有效地使用密码技术来满足相应的需求,其中使用密码技术对数据加密可以防数据泄露,使用密码技术的完整性功能可以防止攻击者对数据的篡改。

2、密码法

密码法”第八条表明“公民、法人和其他组织可以依法使用商用密码保护网络与信息安全”。

第二十七条“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评”。同时建立了以国产密码为核心的密码体系:1)国家建立和完善商用密码标准体系;2)推进商用密码检测认证体系建设;3)商用密码产品的检测认证;4)关键信息基础设施由商用密码检测机构开展商用密码应用安全性评估;5)采用商用密码技术从事电子政务电子认证服务。

3、信息安全等级保护管理办法

第三十四条国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。

信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。

第三十五条信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。

用户头像

行云管家

关注

行云管家-领先的多云管理平台 2021.07.12 加入

还未添加个人简介

评论

发布
暂无评论
等保2.0密码要求是什么?法律依据有哪些?_网络安全_行云管家_InfoQ写作社区