信息安全技术_公共基础设施_PKI系统安全等级保护技术要求
信息安全技术 信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护测评要求信息安全技术是保障信息系统安全的重要手段之一,而信息系统安全等级保护测评是衡量信息系统安全等级的重要评价方法之一。
本文将从信息安全技术和信息系统安全等级保护测评的概念、方法和要求等方面进行阐述。
一、信息安全技术信息安全技术是指对信息系统进行保护和防护的一系列技术手段。
信息系统防护的目标是保证信息的机密性、完整性、可用性和认证性。
常见的信息安全技术包括加密技术、身份认证技术、访问控制技术、安全传输技术等。
1. 加密技术加密技术是一种通过改变信息的表达方式,实现信息内容不易被理解和使用的技术手段。
常见的加密技术包括对称加密算法、非对称加密算法和哈希算法等。
这些算法可以在数据传输、数据存储和身份认证等方面应用,以提高信息系统的安全性。
2. 身份认证技术身份认证技术是一种通过验证用户的身份信息,确认其是否具有访问权限的技术手段。
常见的身份认证技术包括口令认证、生物特征认证和智能卡认证等。
这些技术可以有效防止非法用户对信息系统进行恶意访问和操作。
3. 访问控制技术访问控制技术是一种对用户访问信息系统进行限制和控制的技术手段。
常见的访问控制技术包括访问控制列表(ACL)、角色权限控制和流程控制等。
这些技术可以确保只有具备相应权限的用户才能访问和使用信息系统。
4. 安全传输技术安全传输技术是一种保证数据在传输过程中不被篡改、泄漏和窃听的技术手段。
常见的安全传输技术包括安全套接层(SSL)、虚拟专用网络(VPN)和防火墙等。
这些技术可以保护数据在网络传输过程中的安全性,防止数据被攻击者获取或篡改。
二、信息系统安全等级保护测评要求信息系统安全等级保护测评是根据国家和行业的相关规范要求,对信息系统的安全性进行评估和认证的过程。
保护测评的目的是为了评估系统的安全性等级,为其提供安全设计和改进的依据。
1. 测评方法保护测评的方法可以根据具体情况选择,如定性评估、定量评估、风险评估等。
信息系统安全等级保护基本要求
蓝色部分是操作系统安全等级划分,红色部分是四级操作系统关于网络部分的要求:)《信息系统安全等级保护基本要求》中华人民共和国国家标准GB/T 22239-2008引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。
本标准与GB17859-1999、GB/T 20269-2006 、GB/T 20270-2006 、GB/T 20271-2006等标准共同构成了信息系统安全等级保护的相关配套标准。
其中GB17859-1999是基础性标准,本标准、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。
本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,基本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。
在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。
信息系统安全等级保护基本要求1范围本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。
2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
信息安全技术等级保护通用要求
信息安全技术等级保护通用要求信息安全技术等级保护通用要求是指为确保国家信息系统安全,有效防护信息系统、保护信息内容不被未授权获取、披露、篡改、销毁,以及保障信息系统连续可靠稳定运行,而制定的一系列技术要求和管理要求。
信息安全技术等级保护通用要求要求信息系统建设符合国家和相关行业的相关法律法规,确保信息系统的合法合规运行。
这意味着信息系统的建设和运行不得违反国家法律法规,同时需要遵循相关行业的规范要求,确保信息系统的合法性和合规性。
通用要求对信息系统进行了多层次和多角度的安全防护要求。
包括物理安全、组织管理、人员身份认证与权限管理、安全审计与监控、通信和存储加密、漏洞与风险管理等方面的要求。
这些要求涵盖了信息系统在设计、建设、运维等各个阶段的不同方面,确保信息系统在多个层面上进行全面、系统的安全防护。
通用要求还要求信息系统具备及时响应和处置安全事件的能力。
信息系统应当具备实时监测和分析安全事件的能力,并能够迅速响应和处置各类安全事件。
这需要信息系统具备强大的安全监测与响应机制,确保及时发现、排查和解决安全事件,减小安全事件对信息系统的影响。
通用要求还对信息系统的维护和管理提出了要求。
信息系统应当进行定期的安全评估与测试,保证系统的安全性和可靠性。
同时,信息系统的维护和管理也应当符合相关的安全要求,包括定期备份和恢复、及时更新安全补丁、规范的运维管理等。
信息安全技术等级保护通用要求是对信息系统安全建设和管理的综合要求。
通过严格按照通用要求来设计、建设和运维信息系统,可以提高信息系统的安全性和可靠性,从而有效防止信息泄露、篡改以及其他安全威胁,保障国家信息安全。
信息安全技术 信息系统安全等级保护基本要求
信息安全技术信息系统安全等级保护基本要求信息安全技术,是指对信息进行安全管理的技术,包括对信息资源、信息传输和信息存储等方面的保护技术。
它主要是通过技术手段来达到保护信息资源的目的,以最大限度地保证信息安全。
信息系统安全等级保护(Security Level Protection,SLP)基本要求旨在确保重要的信息系统实施合理的安全策略,并减少由于信息系统失效导致的损失。
要想实施 SLP 基本要求,需要遵循一系列的步骤,包括:1. 确定信息系统安全等级:根据信息系统的不同功能特性,以及承担的风险水平,确定信息系统的安全等级。
2. 识别安全威胁:确定信息系统中可能存在的安全威胁,如黑客攻击、病毒、木马、信息泄露等。
3. 选择安全措施:根据信息系统安全等级和安全威胁,选择适当的安全措施,以确保信息系统的安全可靠性。
4. 执行安全测试:运用安全测试工具,对信息系统进行安全测试,确保信息系统的安全性。
5. 实施安全操作:按照安全操作程序,正确使用信息系统,确保信息系统的安全性。
6. 定期审计:定期审计信息系统,及时发现各类安全问题,并及时采取措施加以解决。
7. 定期更新:定期更新信息系统软硬件,以确保系统的安全性。
依据上述步骤,可以确保信息系统的安全性,确保其安全等级保护基本要求的实施。
此外,实施 SLP 基本要求,也需要定期开展培训,以提高使用者的安全意识,减少违规操作的可能性;同时,还应建立有效的安全管理体系,以确保系统的安全性。
总而言之,要实施 SLP 基本要求,除了要遵循上述步骤外,还需要建立有效的安全管理体系,定期开展培训,以及定期更新系统软硬件等,这样才能确保信息系统的安全性,减少由于信息系统失效导致的损失。
信息安全等级保护系列标准概述
一、标准化基础知识二、国家信息安全等级保护标准的要求三、我国信息安全标准化工作的发展四、信息安全标准体系与标准分类五、信息安全等级保护标准简介基本概念——“标准( s tandard )”定义:为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。
理解:1)制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。
2)标准是共同使用和重复使用的一种规范性文件。
3)制定标准的对象是“活动或其结果”。
4)标准产生的基础是“科学、技术和经验的综合成果”。
5)标准需经过有关方面协商一致。
6)标准需经“公认机构”的批准。
基本概念——“标准化( s tandardization )”定义:为了在既定范围内获得最佳秩序,促进共同效益,对现实问题或潜在问题确立共同使用和重复使用的条款,编制、发布和应用文件的活动。
注1:标准化活动确立的条款,可形成标准化文件,包括标准和其他标准化文件。
注2:标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性,促进贸易、交流以及技术合作标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段国家相关政策文件▪(一)中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
(二)2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求:“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,“要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准衔接的中国特色的信息安全标准体系。
要重视信息安全标准的贯彻实施,充分发挥其基础性、规范性作用”。
与27号文件相关的如66号等文件中进一步提出,信息系统安全、安全保护产品、安全事件处理等均贯彻分类、分级原则。
信息安全技术 信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护测评要求信息安全技术是当今社会不可或缺的重要组成部分,随着信息技术的不断发展和普及,信息系统安全等级保护测评要求也变得愈发重要。
在本文中,我将从深度和广度两个方面对信息安全技术和信息系统安全等级保护测评要求进行全面评估,并据此撰写一篇有价值的文章,希望能为您带来深刻的理解和灵活的思考。
一、信息安全技术1.1 信息安全技术的基本概念信息安全技术是指为了保护信息系统中的信息和数据不受未经授权的访问、使用、披露、破坏、修改、干扰等威胁而采取的一系列技术手段和管理措施。
在当今数字化时代,信息安全技术已经成为企业和个人不可或缺的保障,涉及到网络安全、数据安全、身份认证、加密技术等多个方面。
1.2 信息安全技术的发展历程从最早的密码学和防火墙技术到如今的人工智能和区块链技术,信息安全技术经历了长足的发展和进步。
在不断演进的过程中,信息安全技术不断融合和创新,以适应日益增长的信息安全威胁和挑战,保障信息系统的安全运行。
1.3 信息安全技术的应用领域信息安全技术的应用领域涵盖了各行各业,包括金融、医疗、教育、政府等多个领域。
在互联网、大数据、物联网等新兴技术的推动下,信息安全技术已经成为数字化社会发展的基石,其重要性不言而喻。
二、信息系统安全等级保护测评要求2.1 信息系统安全等级保护的概念和重要性信息系统安全等级保护是指根据信息系统的重要性和安全性需求,对信息系统进行分类和分级,然后制定相应的安全保护措施和措施要求。
信息系统安全等级保护的实施可以有效保护信息系统中的重要信息和数据,提升信息系统的整体安全性,是信息安全管理的基础。
2.2 信息系统安全等级保护测评要求的内容和原则信息系统安全等级保护测评要求包括系统安全等级的确定、安全保护措施的制定、安全评估和认证等多个方面。
在具体实施中,需要遵循科学、客观、公正、公开的原则,确保评估结果的可靠性和权威性。
2.3 信息系统安全等级保护测评要求的实施和挑战在实际实施中,信息系统安全等级保护测评要求面临着一些挑战和问题,包括技术实现的复杂性、安全标准的多样性、评估标准的更新和变化等。
信息安全技术 公共基础设施 PKI系统安全等级保护技术要求
信息安全技术公共基础设施 PKI系统安全等级保护技术要求引言公开密钥基础设施(PKI)是集机构、系统(硬件和软件)、人员、程序、策略和协议为一体,利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。
PKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括CA、RA、资料库等基本逻辑部件和OCSP等可选服务部件以及所依赖的运行环境。
《PKI系统安全等级保护技术要求》按五级划分的原则,制定PKI系统安全等级保护技术要求,详细说明了为实现GB/T AAA—200×所提出的PKI系统五个安全保护等级应采取的安全技术要求、为确保这些安全技术所实现的安全功能能够达到其应具有的安全性而采取的保证措施,以及各安全技术要求在不同安全级中具体实现上的差异。
第一级为最低级别,第五级为最高级别,随着等级的提高,PKI系统安全等级保护的要求也随之递增。
正文中字体为黑体加粗的内容为本级新增部分的要求。
信息安全技术公钥基础设施PKI系统安全等级保护技术要求1 范围本标准依据GB/T AAA—200×的五个安全保护等级的划分,规定了不同等级PKI系统所需要的安全技术要求。
本标准适用于PKI系统的设计和实现,对于PKI系统安全功能的研制、开发、测试和产品采购亦可参照使用。
2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,提倡使用本标准的各方探讨使用其最新版本的可能性。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 19713-2005 信息安全技术公钥基础设施在线证书状态协议GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 20518-2006 信息安全技术公钥基础设施数字证书格式GB/T 21054-2007 信息安全技术公钥基础设施PKI系统安全等级保护评估准则GB/T 21052-2007 信息安全技术信息系统物理安全技术要求GB/T20984-2007 信息安全技术信息安全风险评估指南3 术语和定义下列术语和定义适用于本标准。
信息安全技术公共基础设施系统安全等级保护技术要求内容
信息安全技术公共基础设施系统安全等级保护技术要求1 范围本标准依据GB/T AAA—200×的五个安全保护等级的划分,规定了不同等级PKI系统所需要的安全技术要求。
本标准适用于PKI系统的设计和实现,对于PKI系统安全功能的研制、开发、测试和产品采购亦可参照使用。
2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,提倡使用本标准的各方探讨使用其最新版本的可能性。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 19713-2005 信息安全技术公钥基础设施在线证书状态协议GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 20518-2006 信息安全技术公钥基础设施数字证书格式GB/T 21054-2007 信息安全技术公钥基础设施 PKI系统安全等级保护评估准则GB/T 21052-2007 信息安全技术信息系统物理安全技术要求GB/T20984-2007 信息安全技术信息安全风险评估指南3 术语和定义下列术语和定义适用于本标准。
3.1公开密钥基础设施(PKI) public key infrastructure (PKI)公开密钥基础设施是支持公钥管理体制的基础设施,提供鉴别、加密、完整性和不可否认性服务。
3.2PKI系统 PKI systemPKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括CA、RA、资料库等基本逻辑部件和OCSP等可选服务部件以及所依赖的运行环境。
3.3安全策略 security policy一系列安全规则的准确规定,包括从本标准中派生出的规则和供应商添加的规则。
3.4分割知识 split knowledge两个或两个以上实体分别保存密钥的一部分,密钥的每个部分都不应泄露密钥的明文有效信息,而当这些部分在加密模块中合在一起时可以得到密钥的全部信息,这种方法就叫分割知识。
信息安全技术公共基础设施PKI系统安全等级保护技术要求
信息安全技术公共基础设施PKI系统安全等级保护技术要求信息安全技术是指通过各种技术手段,保护信息系统的机密性、完整性、可用性与可信度,防止信息资产受到未经授权的访问、使用、披露、破坏等威胁的一系列方法和技术措施。
公共基础设施(Public Key Infrastructure,PKI)作为支撑信息安全的基础设施,提供了数字证书管理和身份验证等核心功能。
PKI系统安全等级保护技术要求是指对PKI系统的安全保护水平进行评估和规定,以确保PKI系统的安全性,防范信息泄露、篡改、伪造和拒绝服务等威胁。
下面将从系统架构、访问控制、安全传输、身份验证、密钥管理和审计日志等方面阐述PKI系统安全等级保护技术要求。
首先,在系统架构方面,PKI系统应采用分布式架构,避免单点故障和集中攻击的风险。
同时,应对系统进行分层划分,确保系统各个组件之间的安全隔离。
其次,在访问控制方面,PKI系统应设置合适的访问控制策略,对系统中各个角色的权限进行限制和管理。
包括对用户注册、证书颁发、证书撤销等敏感操作的访问权限进行细粒度控制,并记录相关操作日志进行监控和审计。
第三,在安全传输方面,PKI系统应使用安全的通信协议,如HTTPS 等,确保信息在传输过程中的机密性和完整性。
同时,应对传输通道进行加密和认证等措施,以防止传输中的中间人攻击等安全威胁。
第四,在身份验证方面,PKI系统应使用安全可靠的身份验证机制,以确保用户的真实身份。
例如,可以采用双因素认证、数字证书、生物特征识别等方式进行身份验证,防止身份被冒用或伪造。
第五,在密钥管理方面,PKI系统应建立完善的密钥管理机制,确保密钥的安全性和可信度。
包括密钥的生成、存储、分发、撤销等环节都需要进行相应的安全控制,并严格限制密钥的使用权限。
最后,在审计日志方面,PKI系统应记录和存储关键操作的审计日志,包括用户登录、证书操作、密钥操作等相关信息,以便对系统进行监控和审计,及时发现异常行为和安全事件,并进行相应的处理和追溯。
信息安全技术信息系统安全等级保护测评要求
一、积极应对信息安全挑战随着信息技术的不断发展,信息安全问题已经成为各个行业不可忽视的重要议题。
在信息安全领域中,信息系统安全等级保护测评是保障信息系统安全的重要手段之一。
信息系统安全等级保护测评要求是针对信息系统的安全等级进行评估,以确保系统的安全性和稳定性。
在当前全球范围内,信息安全面临着日益猖獗的网络攻击和威胁,包括但不限于黑客攻击、病毒木马、网络钓鱼等。
加强信息系统安全等级保护测评工作,提高信息系统的安全水平,对于保护国家的重要信息资产和维护国家的网络安全和稳定具有重要意义。
二、信息系统安全等级保护测评要求的意义1. 保障国家安全信息系统安全等级保护测评要求的实施,可以有效保障国家的安全。
国家的重要信息资产经常受到来自国内外的网络攻击威胁,因此加强对信息系统安全等级保护测评的要求,可以提高信息系统的安全等级,从而保护国家的核心安全利益。
2. 维护社会稳定信息系统安全等级保护测评要求的严格实施,可以有效维护社会的稳定。
在信息时代,信息系统已经深入到社会的各个领域,一旦信息系统遭受到攻击或者破坏,就会给社会带来严重的影响,因此加强对信息系统安全等级保护测评的要求,可以保障社会的正常运行。
3. 促进信息技术创新信息系统安全等级保护测评要求的实施,有助于促进信息技术的创新发展。
由于信息系统安全等级保护测评要求注重提高信息系统的安全性和稳定性,这就需要信息技术相关行业加强技术创新,提高信息系统的安全技术水平,推动信息技术的发展。
三、信息系统安全等级保护测评要求的关键内容1. 等级划分信息系统安全等级保护测评要求首先需要对信息系统的安全等级进行划分。
信息系统的安全等级划分是基于国家秘密的保密等级,根据信息系统的特点和重要性确定其相对应的安全等级,以便进一步对信息系统的安全性进行测评和评估。
2. 安全风险评估信息系统安全等级保护测评要求需要对信息系统的安全风险进行评估。
安全风险评估是通过对信息系统的潜在威胁和漏洞进行分析和评估,以确定信息系统的安全隐患和风险,从而为制定安全防护措施提供依据。
信息系统安全保护等级基本要求
信息系统安全保护等级基本要求1.认证和授权:保证用户身份的真实性和合法性,并授权用户获得适当的权限和权限范围。
认证和授权机制需要严格限制非授权用户对系统资源的访问和操作。
2.人员管理:构建健全的人员管理制度,包括招聘、培训、离职、变更等方面的管理,确保人员在信息系统中的使用符合相关规定,并且能够准确追溯。
3.数据保护:采用必要的措施,确保数据的完整性、可靠性和机密性。
包括数据备份、防止数据篡改和泄露、灾备恢复等措施。
4.系统安全管理:建立信息系统安全管理制度,明确安全管理职责和权限,并定期进行安全检查和评估,发现和解决潜在的安全问题。
5.通信安全:保护网络通信的安全,包括网络防火墙设置、网络流量监控、传输层加密等措施,防止恶意攻击和未授权访问。
6.应用程序安全:加强对应用程序的安全控制,包括应用程序的开发、测试和维护过程中的安全防护,防止应用程序的漏洞被利用进行攻击。
7.物理安全:保护信息系统的物理环境安全,如机房防盗、防火、防水等设置,确保设备和存储介质的物理安全。
8.安全审计和监控:建立安全审计和监控机制,记录关键操作日志、异常事件、安全事件等,并进行监控和分析。
能够及时发现和应对潜在的安全威胁。
9.灾备恢复管理:建立灾备恢复机制,确保在系统故障或灾难情况下,能够及时恢复系统功能,减少损失。
10.安全培训和宣传:加强安全意识培训和宣传,提高用户对信息系统安全重要性的认识,减少人为因素导致的安全事故。
以上是信息系统安全保护等级基本要求的一些重要方面。
不同等级的信息系统可能有不同的安全保护要求,而这些要求也会随着技术的不断发展和威胁的不断变化而更新。
因此,信息系统的安全保护需要不断地进行评估和升级,以保持与威胁同步的安全性。
信息安全技术信息系统安全等级保护基本要求
信息安全技术信息系统安全等级保护基本要求信息系统安全等级保护是指根据信息系统的重要性和敏感程度,对信息系统进行分级保护,以保障信息系统的安全运行和信息的保密性、完整性、可用性。
信息系统安全等级保护的基本要求是确保信息系统在不同等级保护下的安全性,有效防范各类安全威胁和风险,保障信息系统的正常运行和信息的安全。
首先,信息系统安全等级保护要求对信息系统进行等级划分。
根据信息系统的重要性和敏感程度,将信息系统划分为不同的安全等级,确定相应的安全保护措施和技术要求。
不同等级的信息系统应有相应的安全保护措施,确保系统的安全性符合相应的等级要求。
其次,信息系统安全等级保护要求建立健全的安全管理制度。
建立健全的信息安全管理制度,包括安全责任制、安全管理制度、安全培训制度等,明确各级管理人员和操作人员的安全责任和权限,加强对信息系统安全管理的监督和检查,确保安全管理制度的有效执行。
另外,信息系统安全等级保护要求加强对信息系统的安全防护。
采取有效的安全防护措施,包括网络安全防护、主机安全防护、数据安全防护等,确保信息系统在面对各种安全威胁时能够有效防范和抵御,保障信息系统的安全运行。
再者,信息系统安全等级保护要求建立完善的安全监控和应急响应机制。
建立安全事件监控和应急响应机制,对信息系统的安全事件进行实时监控和分析,及时发现和处置安全事件,减少安全事件对信息系统的影响,保障信息系统的安全性和稳定性。
最后,信息系统安全等级保护要求加强安全保密工作。
加强对信息系统的安全保密工作,包括信息的加密传输和存储、访问控制、身份认证等,确保信息系统中的重要信息不被泄露和篡改,保障信息的保密性和完整性。
综上所述,信息系统安全等级保护的基本要求是对信息系统进行等级划分,建立健全的安全管理制度,加强安全防护,建立完善的安全监控和应急响应机制,加强安全保密工作。
只有全面满足这些基本要求,才能有效保障信息系统的安全性和稳定性,确保信息的保密性、完整性和可用性。
信息安全技术 信息系统安全等级保护基本配置
信息安全技术信息系统安全等级保护基本配置信息安全技术是指为了保护信息系统免受未经授权的访问、滥用、泄露、破坏或篡改而采取的技术手段和措施。
信息系统安全等级保护是在我国信息安全管理体系下的一项重要内容,其目的是为了根据信息系统的重要性和安全风险,采取相应的安全措施,以保障信息系统的安全运行。
信息系统安全等级保护基本配置是指根据信息系统的不同安全需求,采取不同的安全技术措施和配置,以保障信息系统的安全等级。
以下是关于信息系统安全等级保护基本配置的内容,以供参考:一、物理安全配置1. 机房和设备安全:采取严格的门禁控制措施,安装监控设备并配备专人进行24小时监控,保障信息系统设备的安全。
2. 网络设备安全:采用防护措施保护关键网络设备,如防火墙、入侵检测系统等,以减少网络攻击的风险。
3. 数据中心安全:加强对数据中心的访问控制,保障数据中心的物理安全,如采用生物识别技术、门禁系统等措施。
二、网络安全配置1. 防火墙设置:配置入侵检测和防火墙,监控网络流量,阻止恶意攻击。
2. 加密通信:采用加密通信技术,保障数据在传输过程中的安全性,防止数据被窃取。
3. 虚拟专用网络(VPN):建立安全的远程访问通道,加强对远程访问的控制,保护关键信息不被泄露。
三、系统安全配置1. 访问控制:建立严格的用户访问控制机制,包括身份认证、授权和审计,限制用户的访问权限。
2. 安全补丁:及时对操作系统和应用程序进行安全补丁的更新,以修复已知的安全漏洞,避免被攻击利用。
3. 权限管理:对系统资源进行有效的权限管理,限制各用户对系统资源的访问,避免滥用和泄露。
四、应用安全配置1. 数据加密:将重要数据进行加密处理,以保障数据的机密性和完整性。
2. 安全审计:建立安全审计机制,监控系统和应用的运行情况,及时发现异常行为并进行处理。
3. 应用接口安全:确保应用程序接口的安全性,避免接口被攻击者利用。
以上是关于信息系统安全等级保护基本配置的内容,通过这些配置可以有效保障信息系统的安全等级,防范和阻止各种潜在的安全威胁。
信息安全技术 信息系统等级保护安全设计技术要求
信息安全技术信息系统等级保护安全设计技术要求篇一信息安全技术信息系统等级保护安全设计技术要求在当今数字化的时代,信息安全已经成为了至关重要的问题。
随着信息技术的飞速发展,信息系统面临的威胁也日益复杂和多样化。
为了保障信息系统的安全可靠运行,保护用户的隐私和数据安全,我们有必要制定严格的信息系统等级保护安全设计技术要求。
为啥要搞这些要求呢?很简单,咱可不想让那些黑客轻轻松松就把咱们的重要信息给偷走啦!想象一下,如果咱们的信息系统像个纸糊的房子,一戳就破,那得多可怕呀!所以,咱们得把这个“房子”建得坚固无比,让那些不怀好意的家伙无处下手。
接下来咱说说具体要求。
**在访问控制方面**,咱得严格把控。
每个用户的访问权限都得明明白白的,不能随便越界。
比如说,普通员工就别想着能看到老板的机密文件,这能行吗?肯定不行!系统得能识别谁能进哪个“房间”,谁不能进。
而且,访问控制策略得定期审查和更新,这就好比给房子的门锁定期换个新钥匙,防止被人破解。
**在数据加密方面**,那更是重中之重。
敏感数据必须加密存储和传输,这就像给重要的宝贝穿上一层铠甲,让别人就算拿到了也看不懂。
加密算法得选先进的、可靠的,不能用那些老掉牙的容易被破解的算法。
你说是不是?**在安全审计方面**,系统得有一双“慧眼”,能把所有的操作都记录下来。
谁登录了,干了啥,都得清清楚楚。
这就好比在房子里装了监控,任何小动作都逃不过它的眼睛。
要是不遵守这些要求,那后果可严重啦!信息泄露、系统瘫痪,这可不是闹着玩的。
公司可能会遭受巨大的损失,个人也可能会面临法律责任。
所以,大家都得把这些要求放在心上,认真执行!篇二信息安全技术信息系统等级保护安全设计技术要求哎呀,朋友们,咱们来聊聊信息安全这档子事儿!为啥要专门强调信息系统等级保护安全设计技术要求呢?这可不是我瞎操心,你想想,现在信息多值钱啊,万一泄露了,那可真是要了命啦!先说身份鉴别这一块。
每个用户登录系统,都得有独一无二的身份标识,就像每个人都有自己的身份证一样。
信息系统等级保护安全设计技术要求
信息系统等级保护安全设计技术要求引言《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)明确规定我国“计算机信息系统实行安全等级保护”。
依据国务院147号令要求制订发布的强制性国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)为计算机信息系统安全保护等级的划分奠定了技术基础。
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。
上述信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提供了法律、政策、标准依据。
2007年7月全国开展重要信息系统等级保护定级工作,标志着信息安全等级保护工作在我国全面展开。
在开展信息安全等级保护定级和备案工作基础上,各单位、各部门正在按照信息安全等级保护有关政策规定和技术标准规范,开展信息系统安全建设和加固工作,建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。
为了配合信息系统安全建设和加固工作,特制订本标准。
本标准规范了信息系统等级保护安全设计技术要求,包括第一级至第五级系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求,以及定级系统互联的设计技术要求。
涉及物理安全、安全管理、安全运维等方面的要求分别参见参考文献[9]、[2]、[7]、[10]等。
进行安全技术设计时,要根据信息系统定级情况,确定相应安全策略,采取相应级别的安全保护措施。
信息安全等级保护制度的主要内容和要求
• 2008年1月2日发布的国家安全总统令54/国土安全总统令 23,建立了国家网络安全综合计划(CNCI)。 • 三道防线 – 建立第一线防御:减少当前漏洞和隐患,预防入侵; – 全面应对各类威胁:增强反间能力,加强供应链安全 来抵御各种威胁; – 强化未来安全环境:增强研究、开发和教育以及投资 先进的技术来构建将来的环境。 • 十二项任务
重视关键基础设施信息安全保障,建立日尔曼人的“基线” 防御。 1997年建立部际关键基础设施工作组; 2005年出台《信息基础设施保护计划》和《关键基础设施保 护的基线保护概念》
法国信息安全保障体系建设动态
• 2003年12月总理办公室提出《强化信息系统安全国家计划 》并得到政府批准实施,四大目标: – 确保国家领导通信安全; – 确保政府信息通信安全; – 建立计算机反共济能力; – 将法国信息系统安全纳入欧盟颞部法国安全政策范围 。 • 2009年7月7日,成立国家级“网络和信息安全局”,置于 总理领导之下,隶属国防部。
印度
• 重点保护对象: – 银行和金融、保险、民航、电信、原子能、电力、邮政 、铁路、太空、石油和天然气、国防、执法机关
• 机构: – 国家信息委员会、国家信息安全协调中心、信息基础设 施保护中心、信息技术局、印度计算机应急响应小组 • 基本做法: – 2000年,颁布《信息安全法》; – 积极推广互联网和IT基础设施建设等; – 2009年印度政府宣布开发“中央监控系统”,直接连接 国内所有通信服务商,实现对印度境内所有电话和互联 网通信的监听
信息安全是国家安全的重要组成部分已成为世界各国 的共识;
各国纷纷出台自己的信息安全战略和政策,加强自身 的国家信息安全保障体系建设。
国外信息安全保障体系的最新趋势
2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析B卷(带答案)第14期
2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析B卷(带答案)一.综合题(共15题)1.单选题身份认证是证实客户的真实身份与其所声称的身份是否相符的验证过程。
下列各种协议中,不属于身份认证协议的是()。
问题1选项A.IPSec 协议B.S/Key 口令协议C.X.509 协议D.Kerberos 协议【答案】A【解析】本题考查身份认证方面的基础知识。
IPSec协议是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议,并不属于身份认证协议。
答案选A。
2.案例题阅读下列说明和图,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】信息系统安全开发生命周期(Security Development Life Cycle(SDLC))是微软提出的从安全角度指导软件开发过程的管理模式,它将安全纳入信息系统开发生命周期的所有阶段,各阶段的安全措施与步骤如下图5.1所示。
【问题1】(4分)在培训阶段,需要对员工进行安全意识培训,要求员工向弱口令说不!针对弱口令最有效的攻击方式是什么?以下口令中,密码强度最高的是()。
A. security2019B. 2019SecurityC. Security@2019D. Security2019【问题2】(6分)在大数据时代,个人数据正被动地被企业搜集并利用。
在需求分析阶段,需要考虑采用隐私保护技术防止隐私泄露。
从数据挖掘的角度,隐私保护技术主要有:基于数据失真的隐私保护技术、基于数据加密的隐私保护技术、基于数据匿名隐私保护技术。
请问以下隐私保护技术分别属于上述三种隐私保护技术的哪一种?(1)随机化过程修改敏感数据(2)基于泛化的隐私保护技术(3)安全多方计算隐私保护技术【问题3】(4分)有下述口令验证代码:#define PASSWORD "1234567"int verify_ password (char *password){int authenticated;char buffer[8];authenticated= "strcmp(password,PASSWORD);strcpy(buffer,password);return authenticated;}іnt mаіn(іnt аrgс, сhаr* аrgv[ ]){int valid_ flag=0;char password[1024];while(1){printf("please input password: ");scanf("%s",password);valid_ flag = verify_ password(password); //验证口令if ( valid_ flag)//口令无效{printf("incorrect password!\n\n");}else //口令有效{printf("Congratulation! You have passed the verification!\n");break;}}其中main函数在调用verify_ password函数进行口令验证时,堆栈的布局如图5.2所示。
《国内外信息安全标准化情况》
交换机和路 防火墙 由器 无线 VPN 外部设备 远程访问 多域解决方案 移动代码 门卫
检测和响应 多国信息 共享 IDS
பைடு நூலகம்
4.4 信息安全评估标准
安全评估标准的发展经历了漫长的时间 最具影响的是上世纪80年代,美国国防部推出的 可信计算机安全评价准则(TCSEC)。 该标准(俗称橘皮书)基于贝尔.拉巴杜拉模型的 “禁止上读下写”原则,用访问控制机制(自主型 访问控制,强制型访问控制),针对计算机的保密 性需求,把计算机的可信级别分成四类七个等级。 橘皮书随后又补充了针对网络、数据库等安全需求 ,发展成彩虹系列。 我国至今唯一的信息安全强制标准GB 17859就 是参考橘皮书制定的。 GB 17859根据我们的产 业能力,将信息安全产品分成五个等级。
7
2011-11-8
信息安全技术产品标准
-根据技术保障框架形成保护要求(IATF)
保卫网络和 基础设施 保卫边界和 外部连接 保卫局域计 算环境 操作系统 生物识别技 术 单级WEB 令牌 移动代码 消息安全 数据库 支撑性基础设施 PKI/KMI 证书管理 密钥恢复 第四级PKI 目录 系统轮廓
2.需要什么标准
从保密,保护到保障
保护 INFOSEC
预警(W) 保护(P) 检测(D) 反应(R) 恢复 (R) 反击(C)
保障 IA
保密 COMSEC
保密性 80年代
保密性 完整性 可用性
保密性 完整性 可用性 真实性 不可否认性 现在
90年代
1
2011-11-8
到底信息安全保障应该包括那些方面?!
5. BMB5-2000《涉密信息设备使用现场的电磁泄漏发射 防护要求》 6. BMB6-2001《密码设备电磁泄漏发射限值》 7. BMB7-2001《密码设备电磁泄漏发射测试方法(总则 )》 8. BMB7.1-2001《电话密码机电磁泄漏发射测试方法》 9. BMB8-2004《国家保密局电磁泄漏发射防护产品检测 实验室认可要求》 10. BMB10-2004《涉及国家秘密的计算机网络安全隔 离设备的技术要求和测试方法》
《信息安全技术 信息系统安全等级保护基本要求》
《信息安全技术信息系统安全等级保护基本要求》篇一《信息安全技术信息系统安全等级保护基本要求》咱今儿就好好聊聊这信息安全技术里信息系统安全等级保护的基本要求。
为啥要整这些要求呢?您想想,现在这信息时代,到处都是数据,万一信息系统被黑了,那得多可怕!这可不是闹着玩的,咱得把这防护工作做扎实了,才能安心不是?先说工作规范要求哈。
**工作态度方面**,咱可不能马虎,得认真负责,别整天吊儿郎当的。
就像打仗一样,要时刻保持警惕,这可不是能打马虎眼的事儿!**工作任务完成情况**,得按时、按质、按量完成,别拖拖拉拉。
比如说,规定一周内完成系统漏洞扫描,那就得说到做到,要是完不成,难道等着系统被攻击吗?**团队协作**也很重要,别自己闷头干,得和小伙伴们多交流,互相帮忙。
再看看产品质量要求。
**功能要求**,系统得有强大的防护功能,比如能识别和拦截常见的网络攻击,这就好比给房子装了坚固的防盗门。
**外观要求**,界面得简洁明了,别整那些花里胡哨让人找不到北的设计。
**性能要求**,运行速度得快,别卡得像蜗牛爬,不然用户不得急疯啦?这些要求可不是说着玩的,要是不遵守,那后果可严重了。
系统出了问题,数据泄露,公司损失惨重,您能承担得起这责任吗?所以啊,大家都得把这些要求放在心上,好好落实!篇二《信息安全技术信息系统安全等级保护基本要求》嘿,朋友们,咱们又见面啦,这次还是来谈谈信息安全技术中信息系统安全等级保护的基本要求。
为啥这么重视这事儿?您想想,要是您的银行账户信息被人偷走了,那得多糟心!所以,为了大家的信息安全,这些要求必须得有。
先来说说人员管理要求。
**人员选拔**,得找那些专业靠谱的,有真本事的,别随便拉个人就来干。
**人员培训**,要定期进行,让大家的技术不断更新,不然跟不上时代可不行。
**人员考核**,严格点,干得好的有奖励,干不好的得批评,甚至走人。
再聊聊技术保障要求。
**加密技术**,得用先进的算法,把信息保护得严严实实,就像给宝贝藏在保险箱里。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全技术公共基础设施PKI系统安全等级保护技术要求引言公开密钥基础设施(PKI)是集机构、系统(硬件和软件)、人员、程序、策略和协议为一体,利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。
PKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括CA、RA、资料库等基本逻辑部件和OCSP等可选服务部件以及所依赖的运行环境。
《PKI系统安全等级保护技术要求》按五级划分的原则,制定PKI系统安全等级保护技术要求,详细说明了为实现GB/T AAA—200×所提出的PKI系统五个安全保护等级应采取的安全技术要求、为确保这些安全技术所实现的安全功能能够达到其应具有的安全性而采取的保证措施,以及各安全技术要求在不同安全级中具体实现上的差异。
第一级为最低级别,第五级为最高级别,随着等级的提高,PKI系统安全等级保护的要求也随之递增。
正文中字体为黑体加粗的内容为本级新增部分的要求。
信息安全技术公钥基础设施PKI系统安全等级保护技术要求1 范围本标准依据GB/T AAA—200×的五个安全保护等级的划分,规定了不同等级PKI系统所需要的安全技术要求。
本标准适用于PKI系统的设计和实现,对于PKI系统安全功能的研制、开发、测试和产品采购亦可参照使用。
2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,提倡使用本标准的各方探讨使用其最新版本的可能性。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 19713-2005 信息安全技术公钥基础设施在线证书状态协议GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 20518-2006 信息安全技术公钥基础设施数字证书格式GB/T 21054-2007 信息安全技术公钥基础设施PKI系统安全等级保护评估准则GB/T 21052-2007 信息安全技术信息系统物理安全技术要求GB/T20984-2007 信息安全技术信息安全风险评估指南3 术语和定义下列术语和定义适用于本标准。
3.1公开密钥基础设施(PKI)public key infrastructure (PKI)公开密钥基础设施是支持公钥管理体制的基础设施,提供鉴别、加密、完整性和不可否认性服务。
3.2PKI系统PKI systemPKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括CA、RA、资料库等基本逻辑部件和OCSP等可选服务部件以及所依赖的运行环境。
3.3安全策略security policy一系列安全规则的准确规定,包括从本标准中派生出的规则和供应商添加的规则。
3.4分割知识split knowledge两个或两个以上实体分别保存密钥的一部分,密钥的每个部分都不应泄露密钥的明文有效信息,而当这些部分在加密模块中合在一起时可以得到密钥的全部信息,这种方法就叫分割知识。
3.5分割知识程序split knowledge procedure用来实现分割知识的程序。
3.6保护轮廓protection profile一系列满足特定用户需求的、为一类评估对象独立实现的安全要求。
3.7关键性扩展critical extension证书或CRL中一定能够被识别的扩展项,若不能识别,该证书或CRL就无法被使用。
3.8审计踪迹audit trail记录一系列审计信息和事件的日志。
3.9系统用户system user对PKI系统进行管理、操作、审计、备份、恢复的工作人员,系统用户一般在PKI系统中被赋予了指定的角色。
3.10终端用户terminate user使用PKI系统所提供服务的远程普通用户。
4 缩略语以下缩略语适用于本标准:CA 认证机构Certification AuthorityCPS 认证惯例陈述Certification Practice StatementCRL 证书撤销列表Certificate Revocation ListOCSP 在线证书状态协议Online Certificate Status ProtocolPP 保护轮廓Protection ProfileRA 注册机构Registration AuthorityTOE 评估对象Target Of EvaluationTSF TOE安全功能TOE Security Function5 安全等级保护技术要求5.1 第一级5.1.1 概述第一级的PKI系统,由用户自主保护,所保护的资产价值很低,面临的安全威胁很小,适用于安全要求非常低的企业级PKI系统。
PKI系统面临的风险,应按照GB/T 20984—2007进行评估。
结构设计上,PKI系统的CA、RA、证书资料库可不进行明确的分化,所有功能软件模块可全部安装在同一台计算机系统上。
第一级PKI系统的安全要素要求列表见附录A。
5.1.2 物理安全进行PKI系统硬件设备、相关环境和系统安全的设计时,应按照GB/T 21052—2007第4章所描述的要求。
5.1.3 角色与责任开发者应提供PKI系统管理员和操作员的角色定义。
管理员角色负责:安装、配置、维护系统;建立和管理用户账户;配置轮廓;生成部件密钥。
操作员角色负责:签发和撤销证书。
角色的安全功能管理应按表1中的配置对授权的角色修改安全功能的能力进行限制。
5.1.4 访问控制5.1.4.1 系统用户访问控制PKI系统文档中,应有访问控制的相关文档,访问控制文档中的访问控制策略应包含如下几个方面:a) 角色及其相应的访问权限角色及其相应的访问权限的分配见表2。
b) 标识与鉴别系统用户的过程应符合5.1.5的要求。
c) 角色的职能分割应符合5.1.3的要求。
5.1.4.2 网络访问控制进行远程访问时,PKI系统应提供访问控制。
远程用户只有被认证通过后,PKI系统才允许访问,并只对授权用户提供被授权使用的服务。
远程计算机系统与PKI系统的连接应被认证,认证方法包括计算机地址、访问时间、拥有的密钥等。
PKI系统应定义网络访问控制策略。
5.1.5 标识与鉴别标识与鉴别包括建立每一个用户所声称的身份,和验证每一个用户确实是他所声称的用户。
确保用户与正确的安全属性相关联。
5.1.5.1 用户属性定义PKI系统应维护每个用户的安全属性。
安全属性包括但不限于身份、组、角色、许可、安全和完整性等级。
5.1.5.2 用户鉴别PKI系统的安全功能应预先设定PKI系统代表用户执行的、与安全功能无关的动作,在用户身份被鉴别之前,允许PKI系统执行这些预设动作,包括:a) 响应查询公开信息(如:在线证书状态查询等);b) 接收用户发来的数据,但直到系统用户批准之后才处理。
管理员应对鉴别数据进行管理。
PKI系统应定义所支持的用户鉴别机制的类型。
5.1.5.3 用户标识PKI系统的安全功能应预先设定PKI系统代表用户执行的、与安全功能无关的动作,在标识用户身份之前,允许PKI系统执行这些预设动作,包括:a) 响应查询公开信息(如:在线证书状态查询等);b) 接收用户发来的数据,但直到系统用户批准之后才处理。
5.1.5.4 用户主体绑定在PKI系统安全功能控制范围之内,对一个已标识与鉴别的用户,为了完成某个任务,需要激活另一个主体,这时,应通过用户主体绑定将该用户与该主体相关联,从而将用户的身份与该用户的所有可审计行为相关联,使用户对自己的行为负责。
5.1.6 数据输入输出5.1.6.1 TSF间用户数据传送的保密性当用户数据通过外部信道在PKI系统之间或PKI系统用户之间传递时,PKI系统应执行访问控制策略,使得能以某种防止未授权泄露的方式传送用户数据。
5.1.6.2 输出TSF数据的保密性在TSF数据从TSF到远程可信IT产品的传送过程中,应保护机密数据不被未授权泄露。
这些机密数据可以是TSF的关键数据,如口令、密钥、审计数据或TSF的可执行代码。
5.1.7 密钥管理5.1.7.1 密钥生成5.1.7.1.1 PKI系统密钥生成系统用户密钥生成应由相应级别的CA或RA等机构进行,可用软件方法产生,生成算法和密钥长度等应符合国家密码行政管理部门的规定。
在进行密钥生成时,PKI系统应限制非授权人员的参与。
CA签名公私钥对应采用国家密码行政管理部门认可的方法生成,可用软件方法或硬件密码设备产生。
在密钥生成时应检查用户角色,并设置为只有管理员才能启动CA密钥生成过程。
5.1.7.1.2 终端用户密钥生成终端用户的密钥可由用户自己生成,也可委托CA、RA等PKI系统的服务机构生成。
终端用户密钥可用软件方法产生,生成算法和密钥长度等应符合国家密码行政管理部门的规定。
5.1.7.2 密钥传送与分发5.1.7.2.1 PKI系统密钥传送与分发系统用户密钥的传送与分发应以加密形式直接发送到系统用户证书载体中,加密算法等应符合国家密码行政管理部门的规定。
CA公钥分发方法应适当、切实可行,如提供根证书和CA证书下载、或与终端用户证书一起下载等,应符合国家密码行政管理部门对密钥分发的相关规定。
5.1.7.2.2 终端用户密钥传送与分发如果终端用户自己生成密钥对,把公钥传送给CA是证书注册过程的一部分。
终端用户应将公钥安全的提交给CA,如使用证书载体等方法进行面对面传送。
如果终端用户委托CA生成密钥对,则不需要签发前的终端用户公钥传送。
CA向用户传送与分发私钥应以加密形式进行,加密算法等应符合国家密码行政管理部门的规定。
5.1.7.3 密钥存储系统用户密钥可用软件加密的形式存储,加密算法应符合国家密码行政管理部门的规定。
CA签名私钥应存储于国家密码行政管理部门规定的密码模块中或由硬件密码设备加密后存储。
终端用户密钥由用户自行存储。
5.1.8 轮廓管理5.1.8.1 证书轮廓管理证书轮廓定义证书中的字段和扩展可能的值,这些字段和扩展应与GB/T 20518-2006标准相一致。
证书轮廓包括的信息有:a) 与密钥绑定的用户的标识符;b) 主体的公私密钥对可使用的加密算法;c) 证书发布者的标识符;d) 证书有效时间的限定;e) 证书包括的附加信息;f) 证书的主体是否是CA;g) 与证书相对应的私钥可执行的操作;h) 证书发布所使用的策略。
PKI系统应具备证书轮廓,并保证发布的证书与证书轮廓中的描述一致。
PKI系统管理员应为以下字段和扩展指定可能的值:a) 密钥所有者的标识符;b) 公私密钥对主体的算法标识符;c) 证书发布者的标识符;d) 证书的有效期;5.1.8.2 证书撤销列表轮廓管理证书撤消列表轮廓用于定义CRL中字段和扩展中可接受的值,这些字段和扩展应与GB/T 20518-2006标准相一致。