重庆商用密码行业协会

密码介绍

现代信息系统的安全，离不开现代密码技术。现代密码技术是建立在数学理论与数字技术基础上的，利用某种算法对原消息进行某种变换、使得非授权收信者不可懂的技术。它主要有单密钥(对称)体制加密技术，即加密与解密使用相同的密钥，如DES；双密钥(非对称)体制加密技术，即加密与解密分别使用不同的密钥，如RSA；还有单向函数，如MD5等。

现代密码技术在保护信息的机密性、完整性和不可否认性方面极为重要。目前国家极力提倡并建立以密码技术为基础的信任体系和安全体系。所以学好密码理论与技术，并理解它在信息系统安全中的作用是十分重要的。

信息隐藏技术是建立在现代信号处理技术基础上的，它不同于加密技术，不是对原有消息做变换，而是利用了人的感官对图像、声音等信号的分辨能力与计算机技术对这些信号的分辨能力之间的差异，将消息隐藏在一种媒体信号中进行传递或标记的技术，如电子水印技术等。

加密技术是任何网络安全策略的重要组成部分。无论网络多么安全，如果数据在静态或传输过程中未加密，那么该数据就容易受到攻击。即使是家庭用户最基本的无线路由器现在也提供加密功能。

等保中的密码

密码学是网络安全的一个重要方面，密码学知识是等级保护技术层面重要组成部分，在等级保护中，我们以第三级为例，有关密码技术和管理要求对应测评项要求如下：

技术层面：

安全通信网络

通信传输

本项要求包括：

a)应采用校验技术或密码技术保证通信过程中数据的完整性；

b)应采用密码技术保证通信过程中数据的保密性。

安全计算环境

身份鉴别

本项要求包括：

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听;

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

数据完整性

本项要求包括：

a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

数据保密性

本项要求包括：

a)应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

b)应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

管理层面：

安全建设管理

安全方案设计

本项要求包括：

a)应根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施；

b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件；

c)应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定，经过批准后才能正式实施。

产品采购和使用

本项要求包括：

a)应确保网络安全产品采购和使用符合国家的有关规定；

b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求；

c)应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。

测试验收

本项要求包括：

a)应制订测试验收方案，并依据测试验收方案实施测试验收，形成测试验收报告；

b)应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。

安全运维管理

密码管理

本项要求包括：

a)应遵循密码相关国家标准和行业标准；

b)应使用国家密码管理主管部门认证核准的密码技术和产品。