标准解读
《GM/T 0054-2018 信息系统密码应用基本要求》是中国国密局发布的一项技术标准,旨在为各类信息系统提供密码应用的基本准则和实施指导,以确保信息的机密性、完整性、可用性和抗抵赖性。该标准详细规定了在设计、建设、运行和维护信息系统过程中,如何合理、有效地使用密码技术来保护信息安全。以下是标准的主要内容概览:
-
范围与适用对象:标准明确了适用范围,涵盖了政府、金融、能源、交通、教育等多个行业领域中的信息系统,特别是涉及国家秘密、商业秘密和个人隐私保护的关键信息系统。
-
密码策略:要求组织建立完善的密码管理制度,明确密码管理责任,制定合理的密码策略,包括密码的选用原则、密钥管理、安全评估及应急响应机制等。
-
密码算法与协议:强调应采用国家批准的商用密码算法,如SM系列算法,确保算法的安全强度和合规性。同时,要求在数据加密、身份认证、数字签名等应用场景中选择合适的密码协议。
-
密钥管理:规定了密钥的生成、分发、存储、更新、撤销和销毁等全生命周期管理要求,确保密钥的安全性和可用性。特别强调了多级密钥管理体系的构建,以及密钥备份与恢复的重要性。
-
密码服务:倡导利用密码服务平台或密码机等专用设备,集中化提供密码服务,以降低密码应用的复杂度,提高系统的安全性与效率。
-
系统集成与应用:指导信息系统在设计阶段就融入密码保护措施,确保密码服务与业务系统的无缝集成。要求对敏感数据处理、网络通信、数据库访问等环节实施加密保护。
-
安全测评与持续监控:强调定期进行密码应用的安全测评,及时发现并修复安全漏洞。同时,建立密码应用的持续监控机制,确保密码服务的稳定运行和安全态势的动态感知。
-
人员与培训:要求组织加强密码管理人员和技术人员的专业培训,提升其密码知识和操作技能,确保密码政策和技术措施得到有效执行。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2018-02-08 颁布
- 2018-02-08 实施
文档简介
ICS35040
L80.
备案号61709—2018
:
中华人民共和国密码行业标准
GM/T0054—2018
信息系统密码应用基本要求
Generalrequirementsforinformationsystemcryptographyapplication
2018-02-08发布2018-02-08实施
国家密码管理局发布
GM/T0054—2018
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
缩略语
4……………………2
总体要求
5…………………2
密码算法
5.1……………2
密码技术
5.2……………2
密码产品
5.3……………2
密码服务
5.4……………2
密码功能要求
6……………3
机密性
6.1………………3
完整性
6.2………………3
真实性
6.3………………3
不可否认性
6.4…………………………3
密码技术应用要求
7………………………3
物理和环境安全
7.1……………………3
总则
7.1.1……………3
等级保护第一级信息系统
7.1.2……………………4
等级保护第二级信息系统
7.1.3……………………4
等级保护第三级信息系统
7.1.4……………………4
等级保护第四级信息系统
7.1.5……………………4
网络和通信安全
7.2……………………4
总则
7.2.1……………4
等级保护第一级信息系统
7.2.2……………………5
等级保护第二级信息系统
7.2.3……………………5
等级保护第三级信息系统
7.2.4……………………5
等级保护第四级信息系统
7.2.5……………………5
设备和计算安全
7.3……………………6
总则
7.3.1……………6
等级保护第一级信息系统
7.3.2……………………6
等级保护第二级信息系统
7.3.3……………………6
等级保护第三级信息系统
7.3.4……………………6
等级保护第四级信息系统
7.3.5……………………7
应用和数据安全
7.4……………………7
Ⅰ
GM/T0054—2018
总则
7.4.1……………7
等级保护第一级信息系统
7.4.2……………………7
等级保护第二级信息系统
7.4.3……………………8
等级保护第三级信息系统
7.4.4……………………8
等级保护第四级信息系统
7.4.5……………………8
密钥管理
8…………………9
总则
8.1…………………9
等级保护第一级信息系统
8.2…………9
等级保护第二级信息系统
8.3…………9
等级保护第三级信息系统
8.4…………10
等级保护第四级信息系统
8.5…………10
安全管理
9…………………11
制度
9.1…………………11
等级保护第一级信息系统
9.1.1……………………11
等级保护第二级信息系统
9.1.2……………………11
等级保护第三级信息系统
9.1.3……………………12
等级保护第四级信息系统
9.1.4……………………12
人员
9.2…………………12
等级保护第一级信息系统
9.2.1……………………12
等级保护第二级信息系统
9.2.2……………………12
等级保护第三级信息系统
9.2.3……………………12
等级保护第四级信息系统
9.2.4……………………13
实施
9.3…………………13
规划
9.3.1……………13
建设
9.3.2……………13
运行
9.3.3……………14
应急
9.4…………………14
等级保护第一级信息系统
9.4.1……………………14
等级保护第二级信息系统
9.4.2……………………15
等级保护第三级信息系统
9.4.3……………………15
等级保护第四级信息系统
9.4.4……………………15
附录资料性附录安全要求对照表
A()…………………16
附录资料性附录密码行业标准列表
B()………………18
参考文献
……………………20
Ⅱ
GM/T0054—2018
前言
本标准按照给出的规则起草
GB/T1.1—2009。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
。。
本标准由密码行业标准化技术委员会提出并归口
。
本标准凡涉及密码算法相关内容按照国家有关法规实施
,。
本标准起草单位北京数字认证股份有限公司国家密码管理局商用密码检测中心成都卫士通信
:、、
息产业股份有限公司长春吉大正元信息技术股份有限公司中国金融电子化公司上海交通大学长沙
、、、、
银河网络有限公司
。
本标准起草人詹榜华邓开勇傅大鹏钟博阎世杰傅勇阎夏强高振鹏胡建勋黄一飞张众
:、、、、、、、、、、、
银鹰周志洪李继红董桂斋
、、、。
Ⅲ
GM/T0054—2018
引言
密码技术作为网络安全的基础性核心技术是信息保护和网络信任体系建设的基础是保障网络空
,,
间安全的关键技术
。
本标准主要从信息系统的物理和环境安全网络和通信安全设备和计算安全应用和数据安全四
、、、
个层面提出了等级保护不同级别的密码技术应用要求明确了等级保护不同级别的密钥管理和安全管
,
理要求
。
本标准中密码是指商用密码
,“”“”。
本标准文本中可表示可以允许是陈述型描述表示在标准的界限内所允许的条款宜表示
,“”、,,;“”
推荐建议是推荐型描述表示该条款是首选但不是必须要求应表示应该要求是要求型描述表
、,,;“”、,,
明符合标准需要满足的要求
。
Ⅳ
GM/T0054—2018
信息系统密码应用基本要求
1范围
本标准规定了信息系统商用密码应用的基本要求
。
本标准适用于指导规范和评估信息系统中的商用密码应用
、。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
随机性检测规范
GM/T0005
密码模块安全技术要求
GM/T0028
采用非接触卡的门禁系统密码应用技术指南
GM/T0036
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
评论
0/150
提交评论