日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程资源 > 编程问答 >内容正文

编程问答

密码应用安全性评估实施要点之二密码技术应用要求与实现要点(3)

發布時間:2024/1/1 编程问答 27 豆豆
生活随笔 收集整理的這篇文章主要介紹了 密码应用安全性评估实施要点之二密码技术应用要求与实现要点(3) 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

設備和計算安全要求與實現要點

  • 總則
  • 實現要點概述
    • 1) 身份鑒別
    • 2) 遠程管理鑒別信息保密性
    • 3) 訪問控制信息完整性
    • 4) 敏感標記完整性
    • 5) 重要程序或文件完整性
    • 6) 日志記錄完整性
    • 7) 密碼模塊實現

總則

設備和計算安全密碼應用總則如下:
① 采用密碼技術對登錄的用戶進行身份鑒別
② 采用密碼技術的完整性功能來保證系統資源訪問控制信息的完整性。
③ 采用密碼技術的完整性功能來保證重要信息資源敏感標記的完整性。
④ 采用密碼技術的完整性功能對重要程序或文件進行完整性保護。
⑤ 采用密碼技術的完整性功能對日志記錄進行完整性保護。
設備和計算安全主要是針對信息系統中設備的用戶身份鑒別信息、日志記錄、訪問控制信息、重要程序或文件、重要信息資源標記等提出的安全要求。本總則中提到的用戶、日志記錄、訪問控制信息等是設備和計算安全層面的概念,雖然與其他層面的保護方式較為類似,但應避免與其他層面的類似概念相混淆,避免遺漏需要保護的對象。例如,“采用密碼技術對登錄的用戶進行身份鑒別”要求中的用戶指的是登錄設備的用戶,而不是登錄設備中應用的用戶,一臺設備上可能承載多個應用,而每個應用對各自用戶的身份標記、鑒別方式和粒度均可能存在差異。再如,“采用密碼技術的完整性功能來保證系統資源訪問控制信息、日志記錄的完整性”要求中所指的是設備系統資源訪問控制信息和日志記錄,不應與網絡和通信安全層面、應用和數據安全層面的類似信息混淆。

實現要點概述

設備和計算安全的本質是保障密碼技術的運行和計算環境安全,重點針對或指向兩大類對象:一類是密碼產品自身,可直接完成密鑰管理和密碼計算;另一類是通用設備,需要密碼技術完成各類關鍵系統資源、文件、程序的完整性保護。
對于密碼產品,若已通過國家密碼管理部門的審批或已經由具備資格的機構檢測認證合格,其自身的安全性可以得到保證,因此,在實現時,應重點考慮通用產品的設備安全。使用密碼技術對通用產品的設備和計算安全進行保護,主要有兩種實現方式:一是使用內置密碼部件;二是對通用產品配備外置智能密碼鑰匙或服務器密碼機等完成類似保護。使用密碼技術對通用設備的具體保護方式如下:
①利用智能密碼鑰匙、軟件密碼模塊等身份鑒別介質作為設備管理員的身份憑證,在設備管理員進行設備登錄時對其身份進行鑒別;
②對應通用設備重要審計日志信息、系統資源訪問控制信息、重要信息資源敏感標記等,利用內置可信計算模塊、密碼卡、加密硬盤、軟件密碼模塊或外接智能密碼鑰匙、服務器密碼機等對它們進行數字簽名/MAC計算,來驗證這些信息在信息系統中的完整性。

1) 身份鑒別

這里的用戶是指登錄到設備的用戶。身份鑒別有三種方式,即利用“知道什么”、“擁有什么”和“是什么”來鑒別,其中前兩種都可基于密碼技術實現。信息系統中用戶的身份標識信息應具有唯一性,并對用戶的身份鑒別數據復雜度進行要求,并且更換周期和更換方法應當在安全手冊中進行規范。

2) 遠程管理鑒別信息保密性

防止鑒別信息在傳輸通道上被以明文形式竊取,可通過加密傳輸通道,對鑒別信息加密實現防竊聽。

3) 訪問控制信息完整性

實現重要設備信息完整性保護重要由兩種方式:一是利用設備內嵌的密碼部件執行加密運算;二是利用外部密碼產品執行密碼計算。密碼部件或密碼產品需進行MAC或數字簽名計算,對存儲的系統資源訪問控制信息、重要信息資源敏感標記和日志記錄等進行完整性保護。

4) 敏感標記完整性

可參考訪問控制信息完整性。

5) 重要程序或文件完整性

“可信計算模塊-bios-操作系統-重要程序或文件”是一種典型的基于可信計算技術的完整信任鏈,信任鏈基于PKI技術實現,將根CA證書存放在可信的安全單元內。采用的可信計算密碼模塊或支撐平臺,應符合GM/T 0011《可信計算 可信密碼支撐平臺功能與接口規范》、GM/T 0012《可信計算 可信密碼模塊接口規范》等標準的要求。如果信息系統不支持可信計算功能,可講信任錨存儲在安全的環境下,通過基于該信任錨的數字簽名技術來實現對重要程序或文件的完整性保護。

6) 日志記錄完整性

可參考訪問控制信息完整性,涉及身份鑒別、遠程管理和操作等關鍵日志記錄需要進行完整性保護。需要指出的是,由于日志記錄可與設備日常運行相分離,因此可將日志記錄統一發送到專門的日志服務器中,由日志服務器使用內置或外部的密碼產品對日志進行完整性保護。考慮到日志信息更新的頻繁性,信息系統可以制定自身的安全策略定期對日志記錄進行安全存儲和完整性校驗。

7) 密碼模塊實現

在默認情況下,選用符合GM/T 0028要求的三級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼產品來實現密鑰管理、身份鑒別、MAC計算、數字簽名計算功能。

總結

以上是生活随笔為你收集整理的密码应用安全性评估实施要点之二密码技术应用要求与实现要点(3)的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。