(一)密钥管理
ID | 内容 | 说明 |
1 | 密钥生成 | 密钥应由密码相关产品或工具按照一定标准产生 |
2 | 密钥存储 | 不以明文方式存储保管,严格安全防护,防止非授权访问或篡改。 |
3 | 密钥分发 | 通过安全通道传递给接收者。分发方式:人工、自动化(密钥交换协议)和半自动化 |
4 | 密钥使用 | 根据不同用途,选择正确使用方式,与密码产品保持一致性 |
5 | 密钥更新 | 密钥超过使用期限、密钥信息泄露、密码算法存在安全缺陷时更新 |
6 | 密钥撤销 | 密钥到期、密钥长度增强或密码安全应急事件出现时撤销,不再使用 |
7 | 密钥备份 | 按照密钥安全策略,采用安全可靠的备份机制,与秘钥存储要求一致 |
8 | 密钥恢复 | 密钥丢失或损毁时,通过密钥备份机制恢复正常 |
9 | 密钥销毁 | 一般销毁过程应不可逆。特殊情况支持用户密钥恢复和司法密钥恢复 |
10 | 密钥审计 | 对密钥生命周期相关活动进行记录,确保安全合规 |
(二)密码管理政策
- 2005年4月1日 《中华人民共和国电子签名法》
- 2019年10月26日 《中华人民共和国密码法》
- 2023年7月1日 新修订《商用密码管理条例》
(三)国家密码分类
分类 | 说 明 | |
1 | 核心密码 | 用于保护国家秘密信息,属于国家秘密 |
2 | 普通密码 | |
3 | 商用密码 | 用于保护不属于国家秘密的信息,公民、法人和其他组织均可依法使用 |
(四)密码测评
(1)商用密码应用安全性评估
指对相关密码产品及系统进行安全性、合规性评估,以确保相关对象的密码安全有效,保障密码系统的安全运行。
(2)强制性认证
涉及国家安全、国计民生、社会公共利益的商用密码产品与使用网络关键设备和网络安全专用产品的商用密码服务实行强制性检测认证制度。