商用密码应用方案
密码应用方案是信息系统密码应用的起点,决定着信息系统的密码应用能否合规、正确、有效地部署实施;是开展信息系统密码应用情况分析和评估工作的基础条件,是开展密评工作不可或缺的重要参考文件。
1.设计原则
1)总体性原则:密码应用方案与信息系统整体网络安全保护等级相结合,通过系统总体方案和密码支撑总体架构设计来引导密码在信息系统中的应用。
2)科学性原则:不能机械照搬或者简单对照每项要求堆砌密码产品,应通过成体系、分层次的设计,形成总体方案。
3)完备性原则:密码应用方案设计应按照《信息系统密码应用基本要求》对密码技术应用、密钥管理和安全管理的相关要求,组成完备的密码支撑保障体系。
4)可行性原则:在保证信息系统业务正常运行的同时,综合考虑信息系统的复杂性、兼容性及其他保障措施等因素,保证方案切合实际、合理可行。
2.设计要点
商用密码应用方案包括密码应用解决方案、实施方案和应急处置方案。是开展密评工作不可或缺的重要参考文件。
1)密码应用解决方案:
密码应用解决方案应符合内容全面、思路清晰、重点突出、资料翔实、数据可靠、方法正确等要求;主要关注信息系统支撑平台(物理和环境安全、网络和通信安全、设备和计算安全)和信息系统业务应用(应用和数据安全)的密码应用,前者解决自身层面的安全相关问题的同时并为业务应用提供密码支撑服务,后者利用密码技术处理具体业务在实际开展过程中存在的安全问题,形成使用密码技术保护的具体业务处理机制和流程。
2)密码应用实施方案:
密码应用实施方案应符合任务目标明晰、计划科学合理、配套措施完备等要求;是密码应用方案的具体项目实施、落地的一整套解决方案,包括项目概述、项目组织、实施内容、实施计划、保障措施、经费概算等内容。
3)密码应用应急处置方案:
密码应急处置方案应符合针对性强、安全事件识别准确、处置措施合理有效等要求,分析潜在的安全威胁,识别、分类密码系统/设备运行过程中的安全事件,针对潜在的安全威胁给出应急响应机制和风险防范措施。还应当包括安全事件发生后的信息公告流程和损失评估程序,并给出各个应急处置方案的激活条件。 对于已建信息系统,从中提炼密码应用方案时应重点把握和解决以下四点问题: 明确信息系统的网络拓扑; 摸清系统中已有的密码产品,并明确其在信息系统网络拓扑中的位置; 梳理密钥管理层次,给出密钥全生命周期的管理过程; 梳理重要数据和敏感信息在信息系统中的流转过程和受保护情况。
密码应用解决方案:
应用实施方案:
应急处置方案:
