典型密码服务协议和算法技术要求、政务“一朵云”主要保护对象及密码安全需求、对称密钥和非对称密钥全生命周期管理方式.docx
《典型密码服务协议和算法技术要求、政务“一朵云”主要保护对象及密码安全需求、对称密钥和非对称密钥全生命周期管理方式.docx》由会员分享,可在线阅读,更多相关《典型密码服务协议和算法技术要求、政务“一朵云”主要保护对象及密码安全需求、对称密钥和非对称密钥全生命周期管理方式.docx(8页珍藏版)》请在三一文库上搜索。
1、附录A(规范性)典型密码服务协议和算法技术要求表A. 1规定了特定安全层面中典型密码服务协议和算法的技术要求。表A.1典型密码服务协议和算法技术要求安全层面安全指标技术要求应用场景示例算法要求网络和通信 安全重要数据传 输机密性应对传输的重要敏感 数据采用通信保密性 控制措施。主要针对跨网络访问 的通信信道:运维管理通道。政务 “一朵云”运维人员和云租户对政务“一 朵云”进行维护管理、 操作使用的通信信 道;用户访问业务应用通 道。用户通过业务终 端对业务应用进行访 问的通信信道;政务“一朵云”对等实 体间的通信信道;其他跨网络访问的通 信信道。跨网络访问的通信信道 一般采用链路加密方式, 应
2、符合GB/T 38636中的 要求;应使用SM2、SM4等 通过国家密码管理部门 审查鉴定的加密算法对 重要数据传输过程的机 密性进行保护。重要数据传 输完整性应对传输的重要敏感 数据采用通信完整性 控制措施;如果传输数据的完整 性被破坏,发送方应重 传。跨网络访问的通信信道 一般采用链路加密方式, 应符合GB/T 38636中的 要求;应使用SM3等通过 国家密码管理部门审查 鉴定的哈希算法对重要 数据传输过程中的完整 性进行保护。应用和数据 安全重要数据传 输机密性应对传输的重要敏感 数据采用传输机密性 控制措施。结合通过评估的密码 应用方案综合评定关 键业务应用以及关键 业务应用中的关键
3、数 据为保护对象,关键 数据包含但不限于鉴 别数据、重要业务数 据、重要审计数据、个 人敏感信息以及法律 法规规定的其他重要 数据类型。应使用SM2、SM4等通过 国家密码管理部门审查 鉴定的加密算法对重要 数据传输过程中的机密 性进行保护。重要数据传 输完整性应对传输的重要敏感 数据采用传输完整性 控制措施;如果传输数据的完整 性被破坏,发送方应重 传。应使用HMAC-SM3等哈希 算法,或使用SM4算法的 CBC模式计算MAC值,或 使用SM2算法签名验签 的方式对重要数据传输 过程中的完整性进行保 护。重要数据存 储机密性应对存储在文件、数据 库中的重要敏感数据 采用数据机密性控制 措施
4、应使用SM2、SM4等通过 国家密码管理部门审查 鉴定的加密算法对重要 数据存储过程中的机密 性进行保护。安全层面安全指标技术要求应用场景示例算法要求重要数据存 储完整性应对存储在文件、数据 库中的重要敏感数据 采用数据完整性控制 措施。应使用HMAC-SM3算法计 算重要数据哈希值,或使 用SM4算法的CBC模式 计算MAC值,或使用SM2 算法签名验签的方式对 重要数据存储过程中的 完整性进行保护。不可否认性在可能涉及法律责任 认定的应用中,应对数 据原发证据和数据接 收证据采用不可否认 性控制措施。业务应用以及提供不 可否认性功能的密码 产品。必要时,应通过电子签章 等方式对涉及数据处
5、理 过程采用抗抵赖性控制 措施。附录B(资料性)政务“一朵云”主要保护对象及密码安全需求表B. 1给出了政务“一朵云”主要保护对象及其密码安全需求。表B. 1政务“一朵云”主要保护对象及密码安全需求序号相关业务保护对象保护对象描述密码安全需求1政务“一朵 云”资源管 理平台/云 上业务应用 管理/虚拟 机迁移、快 照恢复身份鉴别信息1)政务“一朵云”管理员、云租户登录政 务“一朵云”资源管理平台、密码资源管理 平台等的用户名/口令。2)如果涉及动态口令、短信验证码等身份 鉴别方式,还应注意对相关一次性口令的 传输机密性保护,防止中间人攻击。口真实性因传输机密性 因存储机密性 因传输完整性 因存
6、储完整性 口不可否认性政务“一朵云” 的重要数据D镜像文件和快照文件中的敏感信息、云 资源管理敏感信息等重要业务数据。2)重要审计数据3)政务“一朵云”管理员、云租户的身份 证号、手机号等个人敏感信息。口真实性因传输机密性 因存储机密性 因传输完整性 因存储完整性 口不可否认性2政务“一朵云” 资源管理平台管 理云上业务应用 的重要指令虚拟机监控器(VMM)在虚拟机迁移过程中 的指令等政务“一朵云”资源管理平台、密 码资源管理平台内部的重要指令。因真实性口传输机密性 口存储机密性 因传输完整性 口存储完整性 口不可否认性3镜像和快照文件D镜像文件2)快照文件口真实性口传输机密性 口存储机密性
7、因传输完整性 因存储完整性 口不可否认性序号相关 业务保护对象保护对象描述密码安全需求4日志记录1)通用设备、网络及安全设备、密码设备、 各类虚拟设备等设备中的日志记录。2)政务“一朵云”资源管理平台管理云上 业务应用的重要业务日志。口真实性口传输机密性 口存储机密性 传输完整性 因存储完整性 口不可否认性5访问控制信息1)网络边界的VPN中的访问控制列表、防火 墙的访问控制列表、边界路由的访问控制 列表等进行网络边界访问控制的信息。2)物理和虚拟设备操作系统的系统权限访 问控制信息、系统文件目录的访问控制信 息、数据库中的数据访问控制信息、堡垒机 等第三方运维系统中的权限访问控制信息 等。3
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 典型 密码 服务 协议 算法 技术 要求 政务 一朵云 主要 保护 对象 安全 需求 对称 密钥 生命周期 管理 方式

链接地址:https://www.31doc.com/p-425962.html