软考-信息安全工程师学习笔记12——密码管理与
密码系统的安全性依赖于密码管理。
密码管理主要可以分成三个方面的内容:密钥管理、密码管理政策、密码测评。
密钥管理密钥管理主要围绕密钥的生命周期进行,包括密钥生成、密钥存储、密钥分发、密钥使用、密钥更新、密钥撤销、密钥备份、密钥恢复、密钥销毁、密钥审计。
(1)密钥生成。密钥应由密码相关产品或工具按照一定标准产生, 通常包括密码算法选择、密钥长度等。密钥生成时要同步记录密钥的关联信息,如拥有者、密钥使用起始时间、密钥使用终止时间等。
(2)密钥存储。一般来说密钥不应以明文方式存储保管,应采取严格的安全防护措施,防止密钥被非授权的访问或篡改。
(3)密钥分发。密钥分发工作是指通过安全通道,把密钥安全地传递给相关接收者,防止密钥遭受截取、篡改、假冒等攻击,保证密钥机密性、完整性以及分发者、接收者身份的真实性。目前,密钥分发的方式主要有人工、自动化和半自动化。其中,自动化主要通过密钥交换协议进行。
(4)密钥使用。密钥使用要根据不同的用途而选择正确的使用方式。密钥使用和密码产品保持一致性, 密码算法、密钥长度、密码产品都要符合相关管理政策。即安全合规。使用密钥前,要验证密钥的有效性。如公钥证书是否有效。密钥使用过程中要防止密钥的泄露和替换,按照密钥安全策略及时更换密钥,建立密钥应急响应处理机制,以应对突发事件,如密钥丢失事件、密钥泄密事件、密钥算法缺陷公布等。
(5)密钥更新。当密钥超过使用期限、密钥信息泄露、密码算法存在安全缺陷等情况发生时,相关密钥应根据相应的安全策略进行更新操作,以保障密码系统的有效性。
(6)密钥撒销。当密钥到期、密钥长度增强或密码安全应急事件出现的时候,则需要进行撒销密钥,更换密码系统参数。 撒销后的密钥一般不重复使用, 以免密码系统的安全性受到损害。
(7)密钥备份。密钥备份应按照密钥安全策略,采用安全可靠的密钥备份机制对密钥进行备份。备份的密钥与密钥存储要求一致, 其安全措施要求保障备份的密钥的机密性、完整性、可用性。
(8)密钥恢复。密钥恢复是在密钥丢失或损毁的情形下,通过密钥备份机制,能够恢复密码系统的正常运行。
(9)密钥销毁。根据密钥管理策略,可以对密钥进行销毁。一般来说销毁过程应不可逆,无法从销毁结果中恢复原密钥。特殊的情况下,密钥管理支持用户密钥恢复和司法密钥恢复。
(10)密钥审计。密钥审计是对密钥生命周期的相关活动进行记录,以确保密钥安全合规,违规情况可查可追溯。
密码管理政策密码管理政策是指国家对密码进行管理的有关法律政策文件、标准规范、安全质量测评等。目前,国家已经颁布了《商用密码管理条例》,内容主要有商用密码的科研生产管理、销售管理、使用管理、安全保密管理。
《中华人民共和国密码法》明确规定,密码分为核心密码、普通密码和商用密码,实行分类管理。
核心密码、普通密码用于保护国家秘密信息,属于国家秘密,由密码管理部门依法实行严格统一管理。
商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织均可依法使用商用密码保护网络与信息安全
密码测评密码测评是指对相关密码产品及系统进行安全性、合规性评估,以确保相关对象的密码安全有效,保障密码系统的安全运行。
国家设立了商用密码检测中心,其主要职责包括:商用密码产品密码检测,信息安全产品认证密码检测、含有密码技术的产品密码检测、信息安全等级保护商用密码测评、商用密码行政执法密码鉴定、国家电子认证根 CA 建设和运行维护、密码技术服务、商用密码检测标准规范制订等。
数字证书数字证书(Digital Certificate) 也称公钥证书,是由证书认证机构(CA)签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。
数字证书
按类别分类
个人证书
机构证书
设备证书
按用途分类
签名证书
用于证明签名公钥的数字证书
加密证书
用于证明加密公钥的数字证书
为更好地管理数字证书,一般是基于 PKI 技术建立数字证书认证系统(简称为 CA)。CA 提供数字证书的申请、审核、签发、查询、发布以及证书吊销等全生命周期的管理服务。
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
- 2023-01-23
软考-信息安全工程师学习笔记12——密码 - 2023-01-23
路由器上ac什么意思(无线路由器的小功能 - 2023-01-23
如何实现Web认证、短信认证,只认证一次 - 2023-01-23
来锤:WiFi天线数和方向跟信号有啥关系 - 2023-01-23
计算机程序设计员职业特点、申报条件 - 2023-01-23
优秀案例-莹石数科:产业供应链数字化专 - 2023-01-23
中小型企业网络搭建案例(浅谈企业网络安 - 2023-01-23
精彩回顾 构建企业网络安全体系,夯实数 - 2023-01-23
H3C基础配置篇 - WiFi6 AP模式切换 - 2023-01-23
「网工进阶」实例:无线AP组网方案