信息系统口令密码和密钥管理
信息系统信息设备和保密设施设备管理制度
信息系统信息设备和保密设施设备管理制度信息系统、信息设备和保密设施设备管理制度1.信息系统、信息设备和保密设施设备管理总则1)为了加强公司涉密计算机信息系统、信息设备的保密管理,防止和杜绝失泄密事件的发生,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、《保密工作概论》、《保密法规汇编》等国家有关规定,结合公司实际,特制定本制度。
2)公司涉密计算机信息系统为单机涉密计算机信息系统,保密管理实行“控制源头、归口管理、逐级负责、确保安全”的原则。
3)本规定适用于使用公司涉密计算机信息系统的部门和个人。
4)本制度所称涉密计算机是指公司所属各部门按照本规定明确的程序,经过申报、登记、审定,并在公司保密办公室备案的计算机。
信息系统是由计算机及其配套设备、设施构成,按照一定的应用目标和规则存储、处理、传输信息的系统或网络。
信息设备是指计算机及其存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。
2.责任分工1)公司技术部司理负责涉密信息系统、信息设备的保密安全管理工作。
涉密信息系统、信息设备的使用部门指定专人负责本部门计算机信息系统安全保密管理,对本部门涉密信息系统的安全保密负主要责任。
2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监视、检查和对失泄密事件的查处。
3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。
4)公司各涉密部门需设系统管理员、安全保密员,按有关保密划定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作,详细落实有关涉密计算机、信息设备的安全保密管理划定和步伐。
3.涉密计算机切实其实定及变更1)公司涉密计算机实行申报登记制度。
凡涉及国度秘密的单位拟用于处理国度秘密信息的计算机、涉密信息系统必须经过申报、登记、核定,并在公司保密办公室备案。
凡未进行申报登记的计算机均属非涉密计算机,非涉密计算机及其信息系统严禁存储、处理、发布、传递国度秘密信息。
信息系统口令密码和密钥管理
信息系统口令密码和密钥管理The final edition was revised on December 14th, 2020.信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。
本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。
2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
1994 国务院中华人民共和国计算机信息系统安全保护条例国务院273号令商用密钥管理条例1998 国家保密局中华人民共和国计算机信息系统保密管理暂行规定2000 国家保密局中华人民共和国计算机信息系统国际联网保密管理规定2003 公司网络与信息安全管理办法(试行)2006 公司信息网防病毒运行统计管理规范(试行)2006 公司信息网用户行为规范(试行)3术语与定义以下术语和定义适用于本标准。
信息系统信息系统是用系统思想建立起来的,以电子计算机为基本信息处理手段,以现代通讯设备为基本传输工具,且能为管理决策提供信息服务的人机系统。
即,信息系统是一个由人和计算机等组成的,能进行管理信息的收集、传输、存储、加工、维护和使用的系统。
密钥密钥是一组信息编码,它参与密码的“运算”,并对密码的“运算”起特定的控制作用。
密钥是密码技术中的重要组成部分。
在密码系统中,密钥的生成、使用和管理至关重要。
密钥通常是需要严格保护的,密钥的失控将导致密码系统失效。
4职责信息中心职责4.1.2 信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管,指导相关部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。
信息中心各专职职责4.1.3 网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。
内网信息系统口令管理制度
涉密信息系统口令管理制度第一条口令是涉密信息系统身份认证的基本防护措施,为保障涉密信息系统的安全运行,规范网络用户及系统口令,特制定本制度。
第二条具有口令功能的计算机、网络设备等计算机信息系统设备,必须使用口令对用户的身份进行验证和确认。
涉密信息系统设备的口令管理工作由各设备所属单位负责。
第三条计算机设备和输入输出设备的系统设置口令由设备管理员负责管理,网络设备的系统设置口令由网络管理员负责管理,服务器的系统口令由系统管理员负责管理,安全设备和系统的口令由安全管理员负责管理,密码设备的口令由密钥管理员负责管理。
第四条涉密信息系统的计算机设备、输入输出设备、网络设备、安全设备和系统,口令长度要求设置为 12位,字母和数字混合,至少有3位字母、2位数字,且口令须每周更换一次。
第五条涉密信息系统的计算机设备,必须由管理员设置三级口令保护,即CMOS口令、操作系统登录口令和屏幕保护口令,且屏幕保护口令设置时间要求3分钟。
第六条涉密信息系统的输入输出设备,必须由设备管理员在所有的设备配置管理项目中设置口令保护,包括CLI管理、Web管理、SNMP管理、Telnet管理等,不允许采用设备默认的管理口令。
第七条涉密信息系统的网络设备,必须由网络管理员在所有的设备配置管理项目中设置口令保护,包括CLI管理、Web管理、SNMP管理、Telnet管理等,不允许采用设备默认的管理口令。
第八条涉密信息系统的服务器口令由系统管理员负责管理和定期维护,对于服务器普通用户的口令,系统管理员还负有如下职责:(一)给新增加的用户分配初始口令,规定用户口令的最小位数;(二)指导用户正确使用口令;(三)检查用户使用口令情况;(四)帮助用户开启被锁定的口令或重置口令,并对非法操作及时查明原因;(五)解决口令使用过程中出现的问题等。
第九条涉密信息系统的安全设备和系统,必须由安全管理员设置口令保护,包括CLI管理、Web管理等,不允许采用设备和系统默认的管理口令。
信息密码管理制度
信息密码管理制度一、总则为了加强信息安全管理,保障信息系统的安全稳定运行,维护信息系统和信息资源的完整性、保密性和可用性,我公司特制定本管理制度。
二、适用范围本制度适用于我公司所有的信息系统、信息资源以及相关人员的信息管理工作。
三、密码管理1. 密码的设置(1)密码的复杂性用户设置的密码必须包含至少8位字符,且需要包含大小写字母、数字和特殊字符。
(2)密码的周期性更换用户的密码需要定期更换,建议每90天更换一次。
(3)密码的不重复性用户的密码在一年内不得重复使用。
2. 密码保存与传输(1)密码的保存用户的密码不得明文保存在任何地方,包括纸质文件、电子文档等。
(2)密码的传输在网络传输密码时,必须采用加密的方式传输,禁止使用明文传输密码。
3. 密码的归属管理(1)密码的归属单位各部门需要设立专门的密码管理人员,对部门内的密码进行管理。
(2)密码的分级管理根据不同的系统和信息资源,设置不同的密码安全等级,对密码进行分级管理。
4. 密码的使用规范(1)个人密码管理员工个人密码仅限个人使用,不得转借他人使用。
(2)超级用户密码管理超级用户密码由专门的管理人员保管,需要经过严格的权限审批才能获取。
5. 密码的监测和违规处理(1)密码的监测系统管理员需要对密码进行定期的检测和审计,确保密码的安全性。
(2)密码的违规处理对于密码管理方面的违规行为,将依据公司相关规定进行处理,包括警告、记过、罚款等处理。
四、密码管理的责任1. 公司领导层的责任公司领导层要高度重视信息密码管理工作,并提供必要的资源、支持和保障。
2. 部门领导的责任部门负责人要对本部门的密码管理工作负责,建立健全密码管理制度,定期进行密码安全培训。
3. 系统管理员的责任系统管理员要严格执行公司的密码管理制度,确保系统和信息资源的安全稳定运行。
4. 员工的责任员工要严格遵守密码管理制度,妥善保管自己的密码,如发现密码泄露或丢失,要及时向部门领导或系统管理员报告。
岗位信息安全责任制度(六篇)
岗位信息安全责任制度信息安全岗位职责第一条严格遵守信息安全保密制度,不得泄露操作系统、数据库的系统管理员帐号、密码,切实保障系统安全。
合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
关闭与应用系统无关的所有网络端口,制定严格的网络安全策略机制,防止非法用户的侵入。
及时安装正式发布的系统补丁,修补系统存在的安全漏洞,防止系统遭受各种恶意攻击。
启用系统提供的审计功能,监测系统运行日志,掌握系统运行状况。
第二条加强口令密码、密钥安全管理。
严格按照相关规定设置符合安全保密策略的口令密码并定期或不定期进行更换。
严格按照安全保密机制对所用密钥生命周期的全过程(产生、存储、分配、使用、废除、归档、销毁)进行管理。
第三条加强信息系统的安全监测。
安全管理人员要制定各种紧急情况应对方案并经常监测、分析计算机信息系统运行状况,切实提高信息系统的安全效能。
要协助业务操作人员审查业务处理结果,发现问题应及时查明原因。
对不能确认的异常现象,必须向计算机安全管理部门报告。
要对计算机信息系统安全运行的监测记录及其分析结果严格管理,未经相关领导许可不得对外发布或引用。
第四条重大安全事件和应急处理。
确认计算机信息系统出现重大安全事件,必须果断采取控制措施,立即报告相关安全工作领导小组并逐级如实上报计算机安全主管部门。
重大安全事件发生后,协助有关人员保护事件现场,积极协助安全事件的调查,做好善后处理工作。
重大安全事件的处理情况,安全管理员必须形成书面材料,报告上级计算机安全主管部门。
第五条定期对信息安全工作进行巡检,并在其他业务管理员的协助下建立完整的安全巡检报告。
要根据信息系统安全需求及网络系统建设的发展,提出网络系统安全整改意见和实施方案,提出具体的解决方案。
第六条落实对其他管理员和普通用户信息安全工作的指导和监督。
第七条监控信息系统的安全需求变化,及时获取来自其他管理员和普通用户的安全意见,进行必要的安全管理体系修订。
2016+网络与信息安全- 密钥管理
N2
A使用新建立的会话密钥KS对f(N2)加密后返回给B
用户A和B建立会话密钥的过程
1. Request||N1
A
2.
EMK AB [ K s || request || N1 || N 2 || IDB ]
3. EK S ( N 2 )
B
28
6.2 无中心的密钥控制
用户A与KDC有共享的密钥KA,用户B与KDC有共享的密钥KB 。 A与B建立会话密钥KS(简化Kerberos协议)
密钥撤销
◦ 若密钥丢失或在密钥过期之前,需要将它从正常使用的集合中删除。 9
密钥存储
◦ 密钥的安全存储实际上是针对静态密钥的保护。 ◦ 对静态密钥的保护常有两种方法
基于口令的软保护:文件形式或利用确定算法来生成密钥 基于硬件的物理保护:存入专门密码装置中(存储型、智能型)
密钥备份 ◦ 指密钥处于使用状态时的短期存储,为密钥的恢复提供密钥源,要求安 全方式存储密钥,防止密钥泄露。 密钥恢复 ◦ 从备份或存档中获取密钥的过程称为密钥恢复。若密钥丧失但未被泄露, 就可以用安全方式从密钥备份中恢复。 密钥存档 ◦ 当密钥不再正常时,需要对其进行存档,以便在某种情况下特别需要时 (如解决争议)能够对其进行检索。存档是指对过了有效期的密钥进行 长期的离线保存,密钥的后运行阶段工作。 密钥托管 ◦ 为政府机构提供了实施法律授权下的监听功能 密钥销毁
密钥管理就是在授权各方之间实现密钥关系的建立和维护的 一整套技术和程序。
密钥管理方法因所使用的密码体制(对称密码体制和公钥 密码体制)而异,通常要借助于加密、认证、签名等技术, 并在一定的安全策略指导下完成密钥从产生到最终销毁的整 个过程,包括密钥的生成、建立(分配和协商)、存储、托 管、使用、备份/恢复、更新、撤销和销毁等。
信息系统口令、密码和密钥管理
信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。
本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。
2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所19941998200020032006200633.13.2密钥4职责4.14.1.2部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。
4.2信息中心各专职职责4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。
4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。
4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。
4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作,参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实,以及网络系统各类分析、统计报告的编制和上报工作。
5管理内容与要求5.1主机与网络设备(含安全防护系统)口令、密码管理5.1.1各类主机、网络设备应有明确的管理员负责管理,管理员负责其管辖范围的账号、口令的设置和更改。
5.1.2各类主机的超级用户口令和网络设备配置口令必须定期更换,更换周期不得超过1个月。
5.1.3各管理员应将口令用信封封存后交网络信息安全员统一保管,如遇管理员出差等情况需打开信封,必须征得信息中心主管同意后方可打开信封使用口令,管理员回来后及时更改口令并重新封存。
口令的保存、更改和开封启用均要有详细记录。
严禁私自启封。
5.1.4更换账号、口令后,必须立即提交新的密封件交网络信息安全员保管,并重新进行登记,旧的密封件当面销毁。
5.1.5不同权限人员应严格保管、保密各自职责的口令,严格限制使用范围,不得向非相关人员透露,原则上不允许多人共同使用一个帐户和口令。
系统管理员不得拥有数据库管理员(DBA)的权限;数据库管理员不得同时拥有系统管理员的权限;数据库管理员应为不同的不同应用系统的数据5.1.6证,户名、5.1.75.25.2.15.2.25.2.35.2.4借他人。
密钥及口令管理制度
密钥及口令管理制度一、制度目的为了保障企业信息系统和网络安全,防止未经授权的人员访问或篡改重要数据,确保企业信息资产得到充分的保护,特制定本管理制度。
二、适用范围本管理制度适用于企业所有员工在使用企业信息系统和网络时所使用的所有密钥和口令。
三、定义1. 密钥:密钥是用于加密和解密数据的一组规则或算法,用于保护数据的安全性。
2. 口令:口令是一串字符,用于验证用户的身份和权限,通常用于登录系统或访问特定资源。
四、原则1. 最小特权原则:员工只能获得他们所需的最小权限以完成工作任务。
2. 分工管控原则:密钥和口令的管理应该由专门的人员负责,确保安全和可控。
3. 记录审计原则:对密钥和口令的使用应该进行记录和审计,确保安全事件的追踪和溯源。
五、管理责任1. 信息安全部门负责密钥及口令管理制度的制定和执行。
2. 公司管理层负责对制度进行监督和落实。
3. 全体员工有义务遵守相关规定并认真执行。
六、密钥管理1. 密钥的生成和分发只能由信息安全部门负责,避免未授权人员获取密钥。
2. 密钥应该定期更新,以确保安全性。
3. 密钥应该妥善保管,不得随意外泄或共享。
4. 密钥的使用需要经过授权,未经授权不得使用或传递。
七、口令管理1. 口令复杂度要求:口令由字母、数字、特殊字符组合,长度不少于8位。
2. 口令定期更换:员工口令需定期更换,且不得重复使用。
3. 口令安全存储:口令不得以明文形式存储,必须加密存储。
4. 口令共享禁止:口令仅限个人使用,不得共享或泄露。
八、安全意识教育1. 新员工入职培训时需要对本制度进行详细介绍。
2. 定期组织安全意识培训,提高员工对信息安全的重视度。
3. 提供相关案例分析,引导员工深刻理解信息安全风险。
九、制度执行1. 对违反本制度的员工给予相应的处罚,并通报相关部门。
2. 员工举报遭受相关安全事件或违规行为,应该给予奖励或保护。
3. 各部门定期自查,对违规行为及时整改。
十、制度评估1. 定期对本管理制度进行评估和修订,保持与技术和业务发展的同步。
密钥管理
EKE(KS) A B 求出KS
(2)明传密用
生成R R A
计算KS=EKE(R) 计算KS=EKE(R)
B
二、密钥分配基本技术
(3)密钥合成
生成R1 A 求出 R2 KS R1 R2 EKE(R2)
EKE(R1)
B
生成R2
求出R1
KS R1 R2
这里“”表示某种合成算法,一般采用的是杂凑函数。
c ,tg s
二、密钥分配基本技术
(2)会话密钥(Session Key) 在一次通话或交换数据时使用的密钥。通 常与基本密钥相结合对消息进行加密,且一报 一换。
一、密钥管理概述
(3)密钥加密密钥(Key Encrypting Key)
对会话密钥进行加密保护的密钥。又称辅助
(二级)密钥(Secondary Key)或密钥传送密钥
(key Transport key)。
目标:为用户建立用于相互间保密通信的密钥。 密钥分配要解决安全问题和效率问题。如果不 能确保安全,则使用密码的各方得到的密钥就不能 使用;如果不能将密钥及时送达,将不能对用户信 息系统使用密码进行及时的保障。
一、密钥管理概述
密钥分配手段包括人工分配和技术分配。 人工分配是通过可靠的人员来完成密钥的 分配。又称线外式分配 。 技术分配是利用密码技术来完成密钥的分 配。又称自动分配、在线分配或线内式分配。
c ,tg s
二、密钥分配基本技术
EKtg s :用AS与TGS共享的密钥加密, 防止被篡改
Kc,tgs:TGS可理解的会话密钥副本,用于脱密身份 验证码Arc,tgs,从而验证票据 IDc :指明该票据的合法拥有者 ADc :防止在另一台工作站上使用该票据的人不是 票据的初始申请者 IDtgs :使服务器确信脱密正确 TS2: 通知TGS此票据发出的时间 Lifetime2:防止过期的票据重放
涉密计算机及信息系统安全和保密管理办法(标准版)
( 安全管理 )单位:_________________________姓名:_________________________日期:_________________________精品文档 / Word文档 / 文字可改涉密计算机及信息系统安全和保密管理办法(标准版)Safety management is an important part of production management. Safety and production are inthe implementation process涉密计算机及信息系统安全和保密管理办法(标准版)第一条为加强公司涉密计算机及涉密计算机信息系统的安全保密管理,根据国家有关保密法规和铁道部的有关规定,结合哈佳铁路客运专线有限责任公司(以下简称“公司”)实际,制定本办法。
第二条本办法所称的涉密计算机,是指专门用于处理或存储国家秘密信息、收发文电、连接互联网的台式计算机;涉密计算机信息系统,是指专门用于处理国家秘密信息的计算机信息系统。
第三条为确保国家秘密、公司工程项目相关技术资料的安全,公司各部门或个人不得使用便携式计算机处理国家秘密信息。
第四条公司设保密领导小组,具体负责公司内部的涉密计算机及信息系统的安全保密管理工作,日常保密管理、监督职责如下:(一)审查、选定专人分别作为涉密计算机信息及信息系统的系统管理员、安全保密管理员和密钥口令管理员,要求职责清晰,分工明确。
(二)定期对涉密计算机、涉密计算机信息系统以及涉密移动存储介质的使用、保管情况进行安全保密检查,及时消除隐患。
(三)加强对有关人员的安全保密教育,建立健全保密规章制度,完善各项保密防范措施。
第五条涉密计算机日常管理人员是涉密计算机安全保密的责任人,其日常保密管理监督职责如下:(一)对计算机及软件安装情况进行登记备案,定期核查。
(二)设置开机口令,长度在8个字符以上,并定期更换,防止他人盗用和破译。
信息系统密码应用方案详解 (2)
信息系统密码应用方案详解引言在信息化时代,各种类型的信息系统广泛应用于各个领域,对于保护系统安全和信息的机密性,密码技术起到了重要的作用。
信息系统的密码应用方案是设计和实施安全和可靠的密码功能,以确保系统中的敏感信息不被未经授权的人员获取。
本文将详细介绍信息系统密码应用方案的相关概念、原则和常用技术,以供读者进一步了解并应用于实际的信息系统中。
信息系统密码应用方案的原则保密性保密性是信息系统密码应用方案的首要原则之一。
它确保只有经过授权的用户能够访问和阅读敏感信息。
为实现保密性,可以采用以下技术手段:•对称加密算法:使用同一个密钥进行加密和解密,常见的对称加密算法有AES和DES等。
•非对称加密算法:使用不同的公钥和私钥进行加密和解密,常见的非对称加密算法有RSA和ECC等。
•哈希算法:将敏感信息生成固定长度的哈希值,以验证信息的完整性和真实性。
完整性完整性是信息系统密码应用方案的另一个重要原则。
它确保信息在传输和存储过程中没有被篡改或损坏。
为实现完整性,可以采用以下技术手段:•数字签名:使用发送者的私钥对信息进行加密,接收者使用发送者的公钥进行解密,从而验证信息的真实性和完整性。
•消息认证码:使用共享密钥生成固定长度的认证码,将认证码与信息一起发送给接收者,接收者使用同样的共享密钥生成认证码,对比两者是否一致,以验证信息的完整性。
可用性可用性是信息系统密码应用方案的另一重要原则。
它确保系统在面临攻击或故障时仍然能够保持正常的运行。
为实现可用性,可以采用以下技术手段:•容灾备份:将系统数据和配置进行备份,并在主系统故障时快速切换到备用系统。
•访问控制:对系统中的各个部分和功能进行权限控制,只有经过授权的用户才能进行相应操作。
信息系统密码应用的常用技术口令策略口令策略是信息系统密码应用中的重要组成部分,它涉及到用户密码强度的规定和管理。
以下是一些常用的口令策略:•密码复杂度要求:要求密码包含字母、数字和特殊字符,并且长度至少为8个字符。
信息安全概论大作业-密钥管理技术
信息安全概论⼤作业-密钥管理技术密钥管理技术⼀、摘要密钥管理是处理密钥⾃产⽣到最终销毁的整个过程的的所有问题,包括系统的初始化,密钥的产⽣、存储、备份/装⼊、分配、保护、更新、控制、丢失、吊销和销毁等。
其中分配和存储是最⼤的难题。
密钥管理不仅影响系统的安全性,⽽且涉及到系统的可靠性、有效性和经济性。
当然密钥管理也涉及到物理上、⼈事上、规程上和制度上的⼀些问题。
密钥管理包括:1、产⽣与所要求安全级别相称的合适密钥;2、根据访问控制的要求,对于每个密钥决定哪个实体应该接受密钥的拷贝;3、⽤可靠办法使这些密钥对开放系统中的实体是可⽤的,即安全地将这些密钥分配给⽤户;4、某些密钥管理功能将在⽹络应⽤实现环境之外执⾏,包括⽤可靠⼿段对密钥进⾏物理的分配。
⼆、正⽂(⼀)密钥种类1、在⼀个密码系统中,按照加密的内容不同,密钥可以分为⼀般数据加密密钥(会话密钥)和密钥加密密钥。
密钥加密密钥还可分为次主密钥和主密钥。
(1)、会话密钥, 两个通信终端⽤户在⼀次会话或交换数据时所⽤的密钥。
⼀般由系统通过密钥交换协议动态产⽣。
它使⽤的时间很短,从⽽限制了密码分析者攻击时所能得到的同⼀密钥加密的密⽂量。
丢失时对系统保密性影响不⼤。
(2)、密钥加密密钥(Key Encrypting Key,KEK), ⽤于传送会话密钥时采⽤的密钥。
(3)、主密钥(Mater Key)主密钥是对密钥加密密钥进⾏加密的密钥,存于主机的处理器中。
2、密钥种类区别(1)、会话密钥会话密钥(Session Key),指两个通信终端⽤户⼀次通话或交换数据时使⽤的密钥。
它位于密码系统中整个密钥层次的最低层,仅对临时的通话或交换数据使⽤。
会话密钥若⽤来对传输的数据进⾏保护则称为数据加密密钥,若⽤作保护⽂件则称为⽂件密钥,若供通信双⽅专⽤就称为专⽤密钥。
会话密钥⼤多是临时的、动态的,只有在需要时才通过协议取得,⽤完后就丢掉了,从⽽可降低密钥的分配存储量。
基于运算速度的考虑,会话密钥普遍是⽤对称密码算法来进⾏的(2)、密钥加密密钥密钥加密密钥(Key Encryption Key)⽤于对会话密钥或下层密钥进⾏保护,也称次主密钥(Submaster Key)、⼆级密钥(Secondary Key)。
密码管理程序
文件制修订记录1、目的为防止各类网络、操作系统、数据库、系统工具和IT系统支持服务或信息的被未授权访问,防止重要信息的完整性、保密性被破坏,有效管理用户的身份鉴别,特制定本程序。
2、适用范围公司的各类系统。
3、定义3.1密码:本程序中的密码指用户的认证信息,或叫口令;3.2密钥:指在明文转换为密文或将密文转换为明文的算法中输入的数据参数,在本公司指OA系统的密钥;4、职责4.1系统管理员4.1.1负责用户账号和初始密码的创建和分派、变更和销毁的管理;4.1.2负责加密狗的使用和管理;4.2用户4.2.1负责按本程序的要求使用、保护、定期更换自己的密码;5、流程图无6、管制重点6.1密码管理策略6.1.1所有个人计算机、服务器、软硬件系统等的活动账号的用户鉴别信息在可行时都必须使用账号密码以鉴别其身份;6.1.2门禁系统必须使用门禁卡以鉴别用户身份,管理运营部负责分配门禁权限,部门经理级及以上职位者的个人办公室,仅其本人的门禁卡可以使用;6.1.3可行时,应对登录不成功进行记录,并连续不成功一定次数后对账号进行锁定;6.1.4登录成功时,尽可能显示上一次登录的日期和时间;6.1.5账号密码长度必须至少要含有6位字符,管理员密码至少要含有8个字符,管理员密码必须同时含有大写字母、小写字母、数字、特殊字中的其中三种,普通账号密码至少包含其中的两种;6.1.6密码不能和用户名或登录名相同;6.1.7密码不能采用姓名、电话号码、生日等容易猜测的口令,不能用连续的数字或字母群;6.1.8密码必须是保密的,不能共享、含在程序中或写在纸上;6.1.9密码不能以明文形式保存在任何电子介质中;6.1.10用户应该在不同的系统中使用不同的密码;6.1.11任何时候有迹象表明系统或密码可能受到损害,就要更换密码;6.1.12一般用户密码至少60天变更一次,特权用户密码至少每月变更一次;对于用户密码的变更会影响应用程序运行的情况,该用户的密码可以在适当的时机予以变更。
信息系统密码应用方案详解
信息系统密码应用方案详解1. 引言信息安全的重要性越来越受到人们的关注,而密码作为保障信息系统安全的基本手段之一,也扮演着至关重要的角色。
本文将详细介绍信息系统密码应用方案,包括密码的定义、密码的种类、密码的使用原则以及常见的密码应用方案。
2. 密码的定义密码,即通信密码,是指为保护信息的安全性而采用的一种加密方法。
它通过将明文信息转换为密文信息,使得只有掌握正确的密钥才能解密出明文信息。
在信息系统中,密码有着广泛的应用,如用户身份验证、数据加密和传输等。
3. 密码的种类密码可以按照加密算法的不同分类,常见的密码种类如下:3.1. 对称密码对称密码,又称为共享密钥密码,是使用相同的密钥进行加密和解密的密码系统。
常见的对称密码算法有DES、AES等。
对称密码的优点是速度快,但缺点是密钥的管理和分发较为困难,容易受到密码破解的攻击。
3.2. 非对称密码非对称密码,又称为公钥密码,采用两个密钥:公钥和私钥。
公钥用于加密信息,私钥用于解密信息。
公钥可以公开,而私钥只有信息接收者才能拥有。
常见的非对称密码算法有RSA、DSA等。
非对称密码的优点是密钥管理和分发相对简单安全,但缺点是速度较慢。
3.3. 哈希密码哈希密码是将明文信息通过哈希函数转换为固定长度的哈希值的一种密码。
常见的哈希函数有MD5、SHA-1等。
哈希密码主要用于校验信息的完整性,一般不用于加密和解密。
4. 密码的使用原则在使用密码时,需要遵循一些原则,以提高密码的安全性:4.1. 密码复杂性原则密码应该具有一定的复杂性,包括使用大小写字母、数字和特殊字符,并且长度不应过短,以增加密码的破解难度。
4.2. 密码的定期更换为了避免密码被长时间盗取,密码应定期更换,一般建议每三个月更换一次密码。
4.3. 密码的保密性密码应该严格保守,不得以任何形式泄露给他人。
4.4. 密码的不可复用性为了防止密码在多个系统或应用中复用,不同系统或应用应有不同的密码。
平阳华数口令、密码管理制度
平阳华数口令、密码管理制度平阳华数广电网络有限公司口令、密码管理制度第一条总则为加强平阳华数广电网络有限公司口令、密码及密钥的统一管理,保证平阳华数广电网络有限公司信息系统的安全和正常运行,特制定本办法。
本办法所称的密钥是指登陆平阳华数广电网络有限公司各系统所必需的身份密钥,密钥的管理包括密钥的购买、制作、分发、参数设置、修改和使用。
平阳华数广电网络有限公司技术运维部全面负责平阳华数广电网络有限公司信息系统口令、密码及密钥的管理,公司技术运维部负责技术支持和服务。
第二条网络服务器口令、密码的管理服务器的口令和密码,技术运维部部门负责人和系统管理员商议确定,必须两人同时在场设定。
服务器的口令须网络管理部门负责人在场时系统管理员记录封存。
密码及口令要定期更换,更换后系统管理员要销毁原记录,将新密码或口令记录封存。
如发现密码及口令有外泄迹象,系统管理员要立刻报告网络管理部门负责人,网络管理部门负责人报告公司分管领导,同时要保护好现场并记录,在接到上一级主管部门或单位批示后再更换密码和口令。
第三条用户口令、密码的管理对于要求设定密码和口令的用户,使用部门负责人与系统管理员商定密码及口令,系统管理员登记并请使用部门负责人确认,之后系统管理员设定密码及口令,并保存用户档案。
当用户于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下,需向公司技术运维部门提交申请单,公司技术运维部门负责人或系统管理员核实后,履行相应的手续,并对用户档案做更新记载。
如果网络提供用户自我更新密码及口令的功能,用户应自己定期更换密码及口令,并设专人负责保密和维护工作。
第四条密钥管理平阳华数广电网络有限公司各系统采用商用密码技术,秘密级和秘密级以上信息不能通过该系统传输和发布,参照执行国家有关保密管理规定,根“谁上网,谁负责”的原则,如发生泄密现象,将按有关保密规定追究责任。
申领密钥的公司各部门和个人须向平阳华数广电网络有限公司相应部门提出书面申请,说明申领密钥的理和拟使用的用户名。
密钥管理技术
密钥的存储
密钥的安全存储实际上是针对静态密钥的保护; 如果密钥不是在使用时临时实时产生并一次使用,则必然 要经历存储的过程。
其目的是确保密钥的秘密性、真实性以及完整性。
对静态密钥的保护常有两种方法:
¾ 基于口令的软保护; 文件形式或利用确定算法来保护密钥。
¾ 基于硬件的物理保护; 存入专门密码装置中(如ICCard、USB Key、加密卡等)。
主密钥 密钥加密密钥
会话密钥 明文 加密
一般是用来对传输的会话 密钥进行加密时采用的密
主密钥
钥。密钥加密密钥所保护
的对象是实际用来保护通
信或文件数据的会话密钥。
密钥加密密钥
在一次通信或数据交换中,
用户之间所使用的密钥,
是由通信用户之间进行协
商得到的。它一般是动态
地、仅在需要进行会话数 据加密时产生,并在使用
4.注册建立请求
RA 5.注册建立结果
7.证书请求 8.证书响应
9.
证书库 证 书 发 布
CA
证书的更新
更新原因 ¾ 证书过期; ¾ 一些属性的改变; ¾ 证书的公钥对应的私钥泄露。
最终实体证书更新
一般发放新证书。
CA证书更新
产生新CA证书和新用旧证书(用新证书的私钥签名)。 保证实体的旧证书仍能使用,直到所有旧证书都过期 ,取消新用旧证书;
密钥恢复措施需要考虑恢复密钥的效率问题,能在故障 发生后及时恢复密钥。
16
密钥的更新
以下情况需要进行更新:
¾密钥有效期结束; ¾已知或怀疑密钥已泄漏; ¾通信成员中有人提出更新密钥。
更新密钥应不影响信息系统的正常使用,密钥注入必须在 安全环境下进行并避免外漏。现用密钥和新密钥同时存在时应 处于同等的安全保护水平下。更换下来的密钥一般情况下应避 免再次使用,除将用于归档的密钥及时采取有效的保护措施以 外应及时进行销毁处理。密钥更新可以通过再生密钥取代原有 密钥的方式来实现。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统口令密码和密
钥管理
Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
信息系统口令、密码和密钥管理
1范围
本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。
本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
1994 国务院中华人民共和国计算机信息系统安全保护条例
国务院273号令商用密钥管理条例
1998 国家保密局中华人民共和国计算机信息系统保密管理暂行规定
2000 国家保密局中华人民共和国计算机信息系统国际联网保密管理规定
2003 公司网络与信息安全管理办法(试行)
2006 公司信息网防病毒运行统计管理规范(试行)
2006 公司信息网用户行为规范(试行)
3术语与定义
以下术语和定义适用于本标准。
3.1
信息系统
信息系统是用系统思想建立起来的,以电子计算机为基本信息处理手段,以现代通讯设备为基本传输工具,且能为管理决策提供信息服务的人机系统。
即,信息系统是一个由人和计算机等组成的,能进行管理信息的收集、传输、存储、加工、维护和使用的系统。
3.2
密钥
密钥是一组信息编码,它参与密码的“运算”,并对密码的“运算”起特定的控制作用。
密钥是密码技术中的重要组成部分。
在密码系统中,密钥的生成、使用和管理至关重要。
密钥通常是需要严格保护的,密钥的失控将导致密码系统失效。
4职责
4.1 信息中心职责
4.1.2信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管,指导相关部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。
4.2信息中心各专职职责
4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。
4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。
4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。
4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作,参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实,以及网络系统各类分析、统计报告的编制和上报工作。
5管理内容与要求
5.1主机与网络设备(含安全防护系统)口令、密码管理
5.1.1各类主机、网络设备应有明确的管理员负责管理,管理员负责其管辖范围的账号、口令的设置和更改。
5.1.2各类主机的超级用户口令和网络设备配置口令必须定期更换,更换周期不得超过1个月。
5.1.3各管理员应将口令用信封封存后交网络信息安全员统一保管,如遇管理员出差等情况需打开信封,必须征得信息中心主管同意后方可打开信封使用口令,管理员回来后及时更改口令并重新封存。
口令的保存、更改和开封启用均要有详细记录。
严禁私自启封。
5.1.4更换账号、口令后,必须立即提交新的密封件交网络信息安全员保管,并重新进行登记,旧的密封件当面销毁。
5.1.5不同权限人员应严格保管、保密各自职责的口令,严格限制使用范围,不得向非相关人员透露,原则上不允许多人共同使用一个帐户和口令。
系统管理员不得拥有数据库管理员(DBA)的权限;数据库管理员不得同时拥有系统管理员的权限;数据库管理员应为不同的不同应用系统的数据库建立不同的用户并仅作为该应用数据库的管理员,不同应用数据库的管理员一般不能具备访问其他应用数据库的权限。
系统上线后,必须删除测试帐户,严禁系统开发人员掌握系统管理员口令。
5.1.6软件开发商在开发应用软件期间,应充分考虑应用软件的安全设计,设计应保证用户名和口令不以明文的形式存放在配置文件、注册表或数据库中。
访问数据库的用户名和口令不能固化在应用软件中或直接写在数据库中。
口令必须能方便地配置、修改和加密。
按照人员进行口令分配和认证,不能仅按照角色进行口令分配。
对不同用户共享资源进行访问必须进行用户身份的控制和认证。
软件开发商在应用软件的移交过程中,必须向运行维护部门提供关于应用软件的安全设计文档和用户名、口令和配置方案;运行维护部门在应用软件接收过程中必须全面掌握软件的设计并对其进行全面评估,评估合格后,由运行维护部门重新设定用户名和口令,方能上线运行。
5.1.7因应用软件的升级或修改需要临时授权时,开发人员必须以书面的形式申请,并得到信息中心主管及以上的人员同意方可授权,维护结束后,相关管理人员必须立即删除用户或更改口令。
5.2应用系统的口令、密码和密钥管理
5.2.1各应用信息系统的主管部门对于重要应用系统必须建立相应操作人员口令、密码和密钥管理制度,分清各级操作人员职责。
5.2.2应用系统应实行权限分散原则。
明确系统管理员、系统操作员、程序员等的权限和操作范围,并设置相应的操作口令和密码。
5.2.3严格限制各类应用系统超级用户的使用范围,操作系统、数据库管理系统、各类应用系统的超级用户口令必须专人掌管,定期更换。
重要密码修改要有记录。
5.2.4所有用户都必须妥善保存好数字证书载体,并对载体的保护口令严格保密,数字证书不得转借他人。
5.2.5各级操作人员应有互不相同的用户名和口令,定期更换操作口令。
严禁操作人员泄露自己的操作口令,系统口令长度不得少于八个字符,要求字母和数字或特殊字符混合,用户名和口令禁止相同。
5.2.6应用系统的各类口令和密码必须加密保存,系统不得采用明文方式保存于服务器或客户端计算机的注册表或硬盘文件系统中。
5.2.7涉密应用系统所采用的各种加解密措施应采用统一的加密算法和密钥管理,并具有权限分级,以适合不同级别的用户存取。
同时密钥必须定期更换。
5.3 工作站口令、密码管理
5.3.1各工作站按要求必须设置开机密码和操作系统管理员密码,并开启屏幕保护中的密码保护功能。
妥善保管密码,并定期更改;同时严禁使用人员泄露自己的口令和密码。
5.3.2各工作站不得设置共享目录,原则上使用办公自动化(OA)系统来相互传送文件,如确有必要,则需要为共享目录设置读取密码,以防止无关人员获得相关信息。
5.4 口令的废止
5.4.1用户因职位变动,而不需使用其原有职责的信息资源,必须移交全部技术资料,明确离岗后的保密义务,并立即更换有关口令和密钥,注销其专用用户。
涉及核心部门开发人员调离时,应确认对本系统安全不会造成危害后方可调离。
5.4.2丢失或遗忘口令,必须向相关口令管理人员申请,必须得到信息中心主任及以上的人员同意方可。
6报告与记录
口令管理台帐(见附录A)。
7检查与考核
7.1 由部门负责人依据本标准进行检查。
7.2 根据《公司职工年度考核管理实施办法》进行考核。
附录A
(规范性附录)
口令管理台帐
口令管理台帐见表A.1。
表A.1口令管理台帐。