密碼技術(shù)應(yīng)用的背景及現(xiàn)狀

數(shù)字時代，各領(lǐng)域都在積極推動數(shù)字經(jīng)濟的發(fā)展，與此同時，最大的掣肘就是數(shù)據(jù)安全，數(shù)據(jù)安全的重要性無與倫比，密碼技術(shù)作為數(shù)據(jù)安全的基礎(chǔ)支撐技術(shù)，已經(jīng)滲透到各行各業(yè)，并面臨新的挑戰(zhàn)，大量信息系統(tǒng)和敏感數(shù)據(jù)由于缺乏有效的密碼保護，造成數(shù)據(jù)泄露、篡改和身份仿冒事件頻發(fā)，密碼技術(shù)被黑客濫用、密碼應(yīng)用不合規(guī)、密碼算法安全性能低等問題需解決。

標準的意義與作用

為了更好的規(guī)范、指導(dǎo)各領(lǐng)域與行業(yè)信息系統(tǒng)密碼應(yīng)用的規(guī)劃、建設(shè)、運行及測評工作，本標準明確了信息系統(tǒng)密碼應(yīng)用技術(shù)框架，規(guī)定了信息系統(tǒng)第一級到第四級的密碼應(yīng)用的基本要求；提出了物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全等密碼應(yīng)用技術(shù)要求，有效保障信息系統(tǒng)的實體身份真實性 ，重要數(shù)據(jù)的機密性和完整性、操作行為的不可否認性；制定了管理制度、人員管理、建設(shè)運行、應(yīng)急處置等密碼應(yīng)用管理要求，為信息系統(tǒng)管理提供安全保障。是《中華人民共和國密碼法》出臺實施之后，開展商用密碼應(yīng)用安全性評估工作的重要抓手。

關(guān)于“密評”和密評對象

商用密碼應(yīng)用安全性評估：簡稱“密評”，是指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進行評估。開展密評，是國家相關(guān)法律法規(guī)提出的明確要求，是網(wǎng)絡(luò)安全運營者的法定責(zé)任和義務(wù)。

密評對象：基礎(chǔ)信息網(wǎng)絡(luò)、涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會服務(wù)的政務(wù)信息系統(tǒng)，以及關(guān)鍵信息基礎(chǔ)設(shè)施、等保三級及以上的信息系統(tǒng)。

標準要點解讀

密碼應(yīng)用技術(shù)要求

（1）機密性：通過加解密功能，對信息系統(tǒng)中的身份鑒別信息、密鑰數(shù)據(jù)以及其他重要的傳輸、存儲數(shù)據(jù)進行保護。

（2）完整性：通過消息鑒別碼機制和數(shù)字簽名機制，對信息系統(tǒng)中的身份鑒別和訪問控制信息、密鑰數(shù)據(jù)、重要傳輸、存儲數(shù)據(jù)、日志記錄、重要信息資源安全標記、重要可執(zhí)行程序、視頻監(jiān)控音像記錄和電子門禁系統(tǒng)進出記錄進行保護。

（3）真實性：通過動態(tài)口令機制，對信息系統(tǒng)中進入重要物理區(qū)域人員、應(yīng)用系統(tǒng)用戶、登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶、通信雙方、網(wǎng)絡(luò)設(shè)備接入時進行身份鑒別，保證重要可執(zhí)行程序的來源真實性。

（4）不可否認性：通過數(shù)字簽名機制，保證數(shù)據(jù)原發(fā)行為的不可否認性和數(shù)據(jù)接收行為的不可否認性。

基本要求：

  該標準從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全等四個方面提出了密碼應(yīng)用技術(shù)要求,以及管理制度、人員管理、建設(shè)運行、應(yīng)急處置等密碼應(yīng)用管理要求。與GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》相比,該標準結(jié)合近年來商用密碼應(yīng)用與安全性評估工作實踐對部分內(nèi)容進行了優(yōu)化,按照信息系統(tǒng)安全等級分別提出了相應(yīng)的密碼應(yīng)用要求。