安全标准
机密性、真实性、完整性、不可否认性,“四性”原则;网络与通信安全、设备与计算安全、物理与环境安全、应用与数据安全四个层面
数据完整性
技术:消息鉴别码(MAC)或数字签名
范围:网络与通信、设备与计算、物理与环境三个层面;电子门禁记录、视频监控影音记录、通信中数据、资源访问控制策略/信息、重要信息资源敏感标记、重要数据、日志记录等
身份鉴别
技术:对称加密、动态口令、数字签名
范围:信息系统中的网络设备和用户登录
数据保密
技术:加密
范围:网络与通信、设备与计算、应用与数据三个层面;网络与通信中的身份鉴别信息、设备与计算中敏感信息字段或整个报文、应用与数据安全的重要信息
防抵赖
技术:数字签名
范围:发送、接收、审批、创建、修改、删除等
密码产品和服务要求
算法:信息系统中使用的密码算法应符合法律法规的规定和相关国家标准、行业标准
技术:信息系统中使用的密码技术应遵循密码相关国家标准和行业标准
产品:信息系统中使用的密码产品和密码模块应通过国家密码管理部门审核
服务:信息系统中使用的密码服务应通过国家密码管理部门许可
密码方案及测试验收
要求:系统规划阶段,根据标准制定密码应用方案,进行评审,评审意见作为重要立项材料