GB 18401-2010 是中国国家标准《信息安全技术 信息系统密码应用基本要求》(GB/T 18401-2010),该标准规定了信息系统中密码应用的基本要求和安全技术要求,适用于各类信息系统的密码应用。
标准主要内容包括:
-
适用范围
适用于所有信息系统的密码应用,包括但不限于:- 系统登录
- 数据传输
- 数据存储
- 访问控制
- 信息加密
- 安全审计
-
密码应用的基本要求
- 信息系统必须使用密码技术进行安全防护。
- 密码技术应满足安全性、可靠性、可审计性等要求。
- 密码技术应与系统功能、安全需求相匹配。
-
密码技术要求
- 系统应采用符合国家密码管理政策的密码技术。
- 密码算法应符合国家密码管理部门的批准。
- 密码技术应满足系统的安全需求,如数据加密、身份认证、访问控制等。
-
密码应用的实施要求
- 密码应用应贯穿于系统设计、开发、部署、运行和维护的全生命周期。
- 应建立密码应用的管理制度和操作规范。
- 应定期进行密码应用的安全评估和审计。
-
密码应用的安全要求
- 密码应用应符合国家信息安全等级保护要求。
- 密码应用应防止密码泄露、篡改、伪造等安全风险。
- 应建立密码应用的应急响应机制。
标准的适用对象:
- 信息系统开发和运维单位
- 信息安全管理机构
- 信息安全测评机构
- 信息安全审计机构
标准的实施与合规性:
- 该标准是信息系统安全等级保护的重要依据之一。
- 信息系统在进行安全等级保护测评时,需符合 GB 18401 的要求。
- 信息系统在申请安全等级保护时,需提供密码应用的证明材料。
相关标准:
GB 18401-2010 是 GB/T 22239-2019(信息安全技术 网络安全等级保护基本要求)的重要组成部分,两者共同构成了我国信息安全等级保护体系的核心内容。
如需进一步了解:
- 可查阅《信息安全技术 信息系统密码应用基本要求》(GB/T 18401-2010)的全文。
- 可参考国家密码管理局发布的相关文件和指南。
如果你有具体的应用场景(如某类信息系统、某类密码技术等),我可以进一步为你提供针对性的建议。