网络安全等级保护 2.0 中密码技术应用要求
等级保护制度 2.0 国家标准的发布,是具有里程碑意义的一件大事,标志着国家
网络安全等级保护工作步入新时代,对保障和促进国家信息化发展,提升国家网络
安全保护能力,维护国家保护空间安全具有重要的意义。《信息安全技术信息系统
安全等级保护基本要求》(GB/T22239-2008)在我国推行信息安全等级保护制
度的过程中起到了非常重要的作用,其与《信息安全技术网络安全等级保护基本要
求》(GB/T 22239-2019)在总体结构方面相比的主要变化至少包括:
1)为适应网络安全法,配合落实网络安全等级保护制度,标准的名称由原来的
《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。
2)等级保护对象由原来的信息系统调整为基础信息网络、信息系统(含采用移
动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控
制系统等。
3)将原来各个级别的安全要求分为安全通用要求和安全扩展要求,安全扩展要
求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工
业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的
要求;针对云计算、移动互联、物联网和工业控制系统提出的特殊要求称为安全扩
展要求。
4)原来基本要求中各级技术要求的“物理安全”、“网络安全”、“主机安全”、“应用
安全”和“数据安全和备份与恢复”修订为“安全物理环境”、“安全通信网络”、“安全区
域边界”、“安全计算环境”和“安全管理中心”;原各级管理要求的“安全管理制度”、
“安全管理机构”、“人员安全管理”、“系统建设管理”和“系统运维管理,修订为“安全
管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。
5)对密码技术要求进行了加强,主要包括:安全通信网络中通信传输要求使用
加密技术,安全计算环境中身份鉴别、数据完整性、数据保密性使用密码技术,保
证传输和存储的加密,安全建设管理和安全运维管理中包括安全测试报告应包含密
码应用安全性测试相关内容等,安全通用要求中在 4 层面,7 大类,11 测评项都有
密码相关要求,足以说明国家对密码技术的重视。按照《网络安全等级保护测评高
风险判定指引(征求意见稿)》的内容,大部分都是高危风险,因此建议对密码给
予更多的重视。
评论0
最新资源