信息安全系统等级保护测评认证等保中的密码有什么要求？

2019年10月26日，第十三届全国人民代表大会常务委员会第十四次会议通过《密码法》，且该《密码法》自2020年1月1日起正式施行。

此“密码”非彼“密码”

日常生活中，我们接触的密码类型通常是：开机密码、微信密码、银行卡支付密码等，但这些“密码”实际上是口令。

口令只是进入个人计算机、手机、电子邮箱或者个人银行账户的“通行证”，它是一种简单、初级的身份认证手段。

而《密码法》中提到的密码，指的是使用特定变换的方法对信息等进行加密保护和安全认证的产品、技术和服务。这些密码藏在安全支付设备中，藏在网络系统内，默默守护着国家秘密信息的安全，守护着我们每个人的信息安全。

《密码法》共五章四十四条，对密码进行分类管理，包括核心密码、普通密码和商用密码。

①核心密码和普通密码

其中，核心密码和普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。

②商用密码

商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

想知道密码法的详细内容？点击如下链接查看哟↓

http://www.npc.gov.cn/npc/c30834/201910/6f7be7dd5ae5459a8de8baf36296bc74.shtml

其实，等级保护中也有许多与密码相关的要求，根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），等级保护中的密码应该满足以下几点：

1、真实性

应在通信前基于密码技术对通信的双方进行验证或认证；

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

2、保密性

应采用密码技术保证通信过程中数据的保密性。

应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

3、完整性

应采用校验技术或密码技术保证通信过程中数据的完整性；

应采用密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

应采用密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

4、不可否认性

在可能涉及法律责任认定的应用中，应采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。

5、密码管理要求

应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求；

应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容；

密码管理应遵循密码相关国家标准和行业标准；

密码管理应使用国家密码管理主管部门认证核准的密码技术和产品。

6、利用密码技术可以有效解决的问题

①可信验证：

可基于可信根对系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的所有执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心，并进行动态关联感知；

应采用可信验证机制对接入到网络中的设备进行可信验证，保证接入网络的设备真实可信；

②远程管理：当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

③集中管理：应能够建立一条安全的信息传输路径，对网络中的安全设备或者安全组件进行管理。

当今密码技术在保护信息安全方面的应用越来越广泛，促使云计算、大数据、人工智能、区块链、移动互联网、物联网等新技术产业蓬勃发展。相信随着《中华人民共和国密码法》的颁布与实施、等级保护制度的实施，我国数字经济将继续高质量发展。