GMT 0054-2018 信息系统密码应用基本要求.pdf

所需积分/C币:50 2019-11-18 09:14:51 1.3MB PDF
262
收藏 收藏
举报

国密标准,信息系统密码应用基本要求,GMT 0054-2018 高清版,标准正式文本,共9个章节,两个附录章节
GM/T0054-2018 目次 前言 ·看垂。。。 引言……………………… .......-. ⅢⅣ 1范围 2规范性引用文件…………………………………………………… 3术语和定义 4缩略语……… 5总体要求………… l22 5.1密码算法 52密码技术………………………………………………………………………………………2 5.3密码产品……………… 5.4密码服务…………………………………………………… ·鲁·看●·垂垂。。看垂··垂 密码功能要求 6.1机密性…… 6.2完整性 ··.················.··:··· ·鲁普·普·音,帝。·着普带·普,带普普普香 …………3 6.3真实性 ...·.····.:·:·.....:····· 6.4不可否认性… 7密码技术应用要求……………… 7.1物理和环境安全…………………………………………………………………………3 7.1.1总则…… ,· 7.1.2等级保护第一级信息系统………………………………………………………………4 7.1.3等级保护第二级信息系统 7.1.4等级保护第三级信息系统 7.1.5等级保护第四级信息系统 7.2网络和通信安全 垂非D鲁鲁鲁鲁着·。··垂···。。。垂垂b鲁着看鲁鲁着垂鲁 7.2.1总则… 鲁番 7.2.2等级保护第一级信息系统 7.2.3等级保护第二级信息系统 ······.··:·· 7.2.4等级保护第三级信息系统 7.2.5等级保护第四级信息系统…………………… 7.3设备和计算安全…… 春香看音垂看。。垂p。。看着鲁·鲁着D看垂番垂p。。看·垂D鲁鲁看香。垂。看 D。鲁 7.3.1总则 7.3.2等级保护第一级信息系统 7.3.3等级保护第二级信息系统……… 7.3.4等级保护第三级信息系统…… ●D鲁看 7.3.5等级保护第四级信息系统……………… 7.4应用和数据安全 ·看·鲁鲁,鲁垂看看垂,。。·垂D。看·。香垂香鲁看·鲁·垂垂·垂p。。看。·D·鲁·鲁鲁看垂·垂,·看垂。。。·D看鲁鲁看垂·鲁 GM/T0054-2018 7.4.1总则… 7.4.2等级保护第一级信息系统………………… 。。非b。着着。b非着垂。非 ………………………7 7.4.3等级保扩第二级信息系统 7.4.4等级保护第三级信息系统 7.4.5等级保护第四级信息系统 8密钥管理 ·甲 8.1总则………………………… 9 8.2等级保护第一级信息系统 ········..:···;··.· 8.3等级保护第二级信息系统… ●·D·看鲁鲁D。看垂。香·垂·。·D。·看垂鲁。垂鲁D· 垂垂垂·。垂D看垂。。垂非香看章垂。。看BD。。看 8.4等级保护第三级信息系统 8.5等级保护第四级信息系统 9安全管理 鲁鲁垂着垂。。。非垂p·。。垂看垂垂垂鲁影番着。·垂·。看p。看垂 ……………………………………………11 9.1制度… 9.1.1等级保护第一级信息系统………………………11 9.1.2等级保护第二级信息系统 9.1.3等级保护第三级信息系统∴ ……………………………………12 9.1.4等级保护第四级信息系统 9.2人员…… 9.2.1等级保护第一级信息系统……………………… 12 9.2.2等级保护第二级信息系统 9.2.3等级保护第三级信息系统…… 9.2.4等级保护第四级信息系统 9.3实施 13 9.3.1规划……………………………………………………………………………13 9.3.2建设 9.3.3运行…… D·垂·D看·鲁春鲁鲁··垂·垂垂,鲁·看D。··垂鲁看·鲁鲁着·鲁鲁垂垂垂·看·垂看。垂鲁垂·垂D·鲁鲁。着垂看垂垂 9.4应急…… 14 9.4.1等级保护第一级信息系统…………………………………………………………14 9.4.2等级保护第二级信息系统 1垂画垂 4.3等级保护第三级信息系统 9.4.4等级保护第四级信息系统 附录A(资料性附录)安全要求对照表……… ……………………………16 附录B(资料性附录)密码行业标准列表 ...··:····.···.··.···.·...·..·.·:·B·.::..·····..··· 参考文献……………………………………………………………………………………………20 M/T0054-2018 前言 本标准按照GB/T1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责仁。 木标准由密码行业标准化技术委员会提出并归口。 本标准凡涉及密码算法相关内容,按照国家有关法规实施。 本标准起草单位:北京数字认证殷份有限公司、国家密码管理局商用密码检测中心、成都卫士通信 息产业股份有限公司、长春古大正元信息技术股份有限公司、中国金融电子化公司、上海交通大学、长沙 银河网络有限公司。 本标准起草人:詹榜华、邓开勇、傅大鹏、钟博、阎世杰、傅勇、阎夏强、高振、胡建勋、黄一飞、张众 银鹰、周志洪、李继红、董桂斋 GM/T0054-2018 密码技术作为网络安全的基础性核心技术,是信息保护和网络信任体系建设的基础,是保障网络空 间安全的关键技术。 木标准主要从信息系统的物理和环境安仝、网络和通信安全、设备和计算安仝、应用和数据安全四 个层面提岀了等级保护不同级别的密码技术应用要求,明确了等级保护不同级别的密钥管理和安全管 理要求。 本标准中,“密码”是指“商用密码” 本标准文本中,“可”表示可以、允许,是陈述型描述,表示在标准的界限内所允许的条款;“宜”表示 推荐、建议,是推荐型描述,表示该条款是首选但不是必须要求;“应”表示应该、要求,是要求型描述,表 明符合标准需要满足的要求。 M/T0054-2018 信息系统密码应用基本要求 1范围 本标准规定∫信息系统商用密码应用的基本要求。 本标准适用于指导、规范和评佔信息系统中的商用密码应用 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GM/T0005随机性检测规范 GM/T0028密码模块安全技术要求 GM/T0036采用非接触卡的门禁系统密码应用技术指南 GM/Z40012013密码术语 3术语和定义 GM/Z40012013界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了 GM/Z40012013中的一些术语和定义 动态口令 ne-time- password;OIP; dynamic password 基于时间、事件等方式动态生成的一次性口令。 3.2 访问控制 access control 按照特定策略,允许或拒绝用户对资源访冋的一种机制 3.3 机密性 confidentiality 保证信息不被泄露给非授权的个人、进程等实体的性质 3,4 加密 encipherment; encryption 对数据进行密码变换以产生密文的过程 3.5 解密 decipherment; decryption 加密过程对应的逆过程 3.6 密码算法 cryptographic algorithm 描述密码处理过程的运算规则。 3,7 密钥key 控制密码算法运算的关键信息或参数。 GM/T0054-2018 3.8 密钥管理 key management 根据安全策略,对密钥的产生、分发、存储、更新、归档、撤销、备份、恢复和销毁等密钥全生命周期的 管理 身份鉴别 authentication 确认一个实体所声称身份的过程 3.10 数字签名 digital signature 答名者使用私钥对待笭名数据的杂凑值做密码运算得到的结果,该结果只能用笭名者的公钥进行 验讧,用于确认待签名薮据的完整性、签名者身份的真实性和签名行为的抗抵赖性。 3.11 完整性 data integrity 数据没有遭受以非授权方式所作的篡改或破坏的性质 3.12 消息鉴别码 message authentication code;MAC 消息鉴别算法的输出,又称消息认证码 3.13 真实性 authenticit!y 确保主体或资源的身份正是所声称的侍性。真实性适用于用户、进程、系统和信息之类的实体 3.14 不可否认性non- repudiation 证明一个已经发生的操作行为无法否认的性质。 4缩略语 下列缩略诰适用于本文件 MAC消息鉴别码( Message Authentication Code) 5总体要求 5.1密码算法 信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关 要求。 5.2密码技术 信息系统中使用的密码技术应遵循密码相关国家祘准和冇业标准 5.3密码产品 信息系统中使用的密码产品与密杩模垬应通过国家密码管理部门核准 5.4密码服务 信息系统中使用的密码服务应通过国家密码管理部门许可 M/T0054-2018 6密码功能要求 6.1机密性 使用密码加密功能实现机密性,信息系统中保护的对象为: a)传输的重要数据、敏感信息数据或整个报文; b)存储的重要数据和敏感信息数据; c)身份鉴别信息; 1)密钥数据 6.2完整性 使用消息鉴别码(MAC)或数字签名实现完整性,信息系统中保护的对象为 a)传输的重要数据、敏感信息数据或整个报文; b)存储的重要数据、文件和敏感信息数据; c)身份鉴别信息; d)密钥数据; e)日志记录; f)访问控制信息; g)重要信息资源敏感标记; h)重要稈序; i)采用可信计算技术建立从系统到应用的信任链; j)视频监控音像记录 k)电子门禁系统进出记录。 3真实性 使用对称加密、动态∏令、数宇签名等实现真实性,信息系统中应用场景为: a)进人重要物理区域人员的身份鉴别; b)通信双方的身份鉴别; c)网络设备接入时的身份鉴别; d)采用可信计算技术的平台身份鉴别; e)登录操作系统和数据库系统的用户身份鉴别; f)应用系统的用户身份鉴别 6.4不可否认性 使用数字签名等密码技术实现实体行为的不可否认性,针对在信息系统中所有需要无法否认的行 为,包括发送、接收、审批、创建、修改、删除、添加、配置等操作 7密码技术应用要求 7.1物理和环境安全 7.1.1总则 物理和环境安全密码应用总则如下: GM/T0054-2018 a)采用密码技术实施对重要场所、监控设备等的物理访问控制; b)采用密码技术对物理访问控制记录、临控信息等物理和环境的敏感信息数据实施完碆性保护; c)采用密码技术实现的电了门禁系统应遵循GM/T0036 7.1.2等级保护第一级信息系统 第一级信息系统要求如下 a)可使用密杩技术的真实性功能来保护物理访冋控制身份鉴别信息,保证重要区域进入人员身 份的真实性; b)可使用密码技术的完整性功能来保证电」门禁系统进出记录的完整性 7.1.3等级保护第二级信息系统 第二级信息系统要求如下 a)宜使用密杩技术的真实性功能来保护物理访冋控制身份鉴别信息,保证重要区域进入人员身 份的真实性; b)宜使用密码技术的完整性功能来保证电子门禁系统进出记录的完整性 c)宜采用符合GM/T0028的二级及以上密码模块或通过国家密码管理部门核准的硬件密码产 品实现密码运算和密钥管理。 7.1.4等级保护第三级信息系统 第三级信息系统要求如下 a)应使用密码技术的真实性功能来保护物理访冋控制身份鉴别信息,保证重要区域进入人员身 份的真实性 b)应使用密码技术的完整性功能来保证电子门禁系统进出记录的完整性; c)应使用密码技术的完整性功能来保证视频监控音像记录的完螯性; d)宜采用符合GM/To28的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产 品实现密码运算和密钥管理 7.1.5等级保护第四级信息系统 第凹级信息系统要求如下 a)应使用密码技术的真实性功能来保护物理访冋控制身份鉴别信息,保证重要区域进人人员身 份的真实性 b)应使用密码技术的完整性功能来保证电子门禁系统进出记录的完整性; c)应使用密码技术的完整性功能来保证视频监控音像记录的完整性; d)应采用符合GMTo028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产 品实现密码运算和密钥管理 7.2网络和通信安全 7.2.1总则 网络和通信安全密码应用总则如下 )采用密码技术对连接到內部网络的设备进行安全认证; b)采用密码技术对通信的双方身份进行认证 C)采用密码技术保证通信过程中数据的完整性;

...展开详情
试读 27P GMT 0054-2018 信息系统密码应用基本要求.pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
一个资源只可评论一次,评论内容不能少于5个字
您会向同学/朋友/同事推荐我们的CSDN下载吗?
谢谢参与!您的真实评价是我们改进的动力~
  • GitHub

  • 签到新秀

关注 私信
上传资源赚钱or赚积分
最新推荐
GMT 0054-2018 信息系统密码应用基本要求.pdf 50积分/C币 立即下载
1/27
GMT 0054-2018 信息系统密码应用基本要求.pdf第1页
GMT 0054-2018 信息系统密码应用基本要求.pdf第2页
GMT 0054-2018 信息系统密码应用基本要求.pdf第3页
GMT 0054-2018 信息系统密码应用基本要求.pdf第4页
GMT 0054-2018 信息系统密码应用基本要求.pdf第5页
GMT 0054-2018 信息系统密码应用基本要求.pdf第6页

试读结束, 可继续读3页

50积分/C币 立即下载