核心观点
本指南旨在规范和加强上海市重要网络和信息系统(包括但不限于关键信息基础设施、网络安全等级保护第三级及以上网络和信息系统、政务信息系统)的密码应用与安全性评估工作,确保信息系统安全可靠运行。
关键数据
- 指南适用于党政机关及事业单位、教育、卫生健康、国资、公安、电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、社会保障、国防科技工业等重要行业领域的非涉密网络和信息系统,以及法律法规和政策文件要求使用商用密码进行保护的其他网络和信息系统。
- 信息系统密码应用等级一般按已定级或拟定级备案的网络安全等级保护的级别确定,未明确网络安全等级保护级别的信息系统,其密码应用等级默认为第三级。
- 重大项目(包括投资额3000万元(含)以上的;数字化转型年度重点工作所涉及的;“一网通办”、“一网统管”、相关重点领域的跨部门、跨层级、跨区域的;市委、市政府明确要求建设的数字化项目)的密码应用方案需经市密码管理局复核。
实施过程
指南明确了信息系统在规划、建设和运行阶段的密码应用与安全性评估实施过程:
- 规划阶段: 编制密码应用方案,并进行方案密评(即方案评估),评估结果作为项目立项的重要依据。
- 建设阶段: 按照通过评估的密码应用方案建设密码保障系统,建设过程中涉及密码应用方案结构性调整的,应当进行复评。
- 运行阶段: 定期(每年至少一次)进行密码应用安全性评估(即系统密评),并自密评报告形成后30日内将密评结果报市密码管理局备案;出现密码应用重大安全事件、重大调整或特殊紧急情况时,需立即进行应急评估。
密码应用措施
指南从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个层面,结合当前密码技术、产品和服务的实际情况,给出了针对信息系统密码应用的措施建议,包括:
- 通用要求: 采用密码技术措施,建立安全的密钥管理方案,并采取有效的安全管理措施。
- 物理和环境安全: 部署基于密码技术的安全门禁系统和视频监控系统。
- 网络和通信安全: 部署IPSecVPN类产品或采用智能密码钥匙和安全浏览器等。
- 设备和计算安全: 部署智能密码钥匙、智能IC卡或其它具备身份鉴别功能的密码产品,为远程管理搭建安全通信链路,部署或使用签名验签服务器、服务器密码机等密码产品或服务。
- 应用和数据安全: 部署证书认证系统或采用具有电子认证服务资质的机构提供的电子认证服务,部署安全认证网关产品或服务,部署签名验签服务器、服务器密码机等产品或服务,根据应用系统需要,部署签名验签、电子印章、时间戳等密码产品或服务。
- 密钥管理: 制定完整的密钥管理方案,明确采用的密钥种类及管理环节,并设计安全的技术实现方式。
- 安全管理: 建立相应的密码应用安全管理制度和操作规范,设立密码管理及操作相关岗位,制定密码应用方案,定期开展密码应用安全性评估及攻防对抗演习,制定密码应用应急处置方案。
研究结论
通过落实本指南的要求,可以有效提升上海市重要网络和信息系统密码应用水平,保障信息系统安全可靠运行。
