【专题课堂】2021年信息系统密码应用高风险判定指引的变化
发布时间:2022-04-24
增加了:设备指纹 device fingerprinting。是指可以用于标识出该设备的设备特征或者独特的设备标识,用于区分和识别不同的设备。
该术语用于设备和计算安全、应用和数据安全的身份鉴别指标要求。
以下单元对应的指标要求,其适用范围均由“第二级及以上级别信息系统”调整为“第三级及以上级别信息系统”。
网络和通信安全:身份鉴别、通信过程中重要数据的机密性;
设备和计算安全:身份鉴别;
应用和数据安全:身份鉴别、重要数据传输机密性、重要数据存储机密性、重要数据存储完整性。
以下单元对应的缓解措施,其效果均由“可视为等效措施”调整为“可酌情降低风险等级”。
网络和通信安全:通信过程中重要数据的机密性;
设备和计算安全:远程管理通道安全;
网络和通信安全:通信过程中重要数据的机密性
可能的缓解措施增加“加密后的数据流能够覆盖网络通信信道”描述。
设备和计算安全:身份鉴别
可能的缓解措施由“基于特定设备(如手机短信验证)或生物识别技术(如指纹)保证用户身份的真实性”调整为“基于特定识别技术(如设备指纹、生物指纹等)保证用户身份的真实性”。
设备和计算安全:远程管理通道安全
可能的缓解措施中“搭建了与业务网络隔离的管理网络进行远程管理”调整为“搭建了与业务网络物理隔离、采取相应的安全防护措施的专用管理网络(如带外管理网络)进行远程管理”。
应用和数据安全:身份鉴别
可能的缓解措施由“基于特定设备(如手机短信验证)或生物识别技术(如指纹)保证用户身份的真实性”调整为“基于特定识别技术(如设备指纹、生物指纹、第三方身份鉴别服务等)保证用户身份的真实性”。
应用和数据安全:重要数据传输机密性
可能的缓解措施由“在‘网络和通信安全’层面采用符合要求的密码技术保证重要数据在传输过程中的机密性”调整为“在‘网络和通信安全’层面通信实体间采用符合要求的密码技术建立网络通信信道,且网络通信信道经评估无高风险”。
密码应用管理要求:制定密码应用方案
可能的缓解措施增加“如被测系统通过测评发现不存在高风险安全问题,可酌情降低风险等级”。
综上可以看出,《信息系统密码应用高风险判定指引》2021版将重点放在三级及以上级别信息系统,体现了适度保护的思想。
协助服务备案
技术质量保证
项目管理保障
持续售后服务
信息保密管理
