@CI
3年前 提问
1个回答

等级保护中密码多久更换

Anna艳娜
3年前

等级保护中没有对密码更换时间有所要求,为了安全起见建议定期更换密码,每季度至少更换一次,以增强网络安全。密码更换后,应及时更新备用密码记录。

等级保护中的密码应该满足以下几点:

真实性

  • 应在通信前基于密码技术对通信的双方进行验证或认证;
  • 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

保密性

  • 应采用密码技术保证通信过程中数据的保密性。
  • 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
  • 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

完整性

  • 应采用校验技术或密码技术保证通信过程中数据的完整性;
  • 应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
  • 应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

不可否认性

  • 在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。

密码管理要求

  • 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求;
  • 应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容;
  • 密码管理应遵循密码相关国家标准和行业标准;
  • 密码管理应使用国家密码管理主管部门认证核准的密码技术和产品。

利用密码技术可以有效解决的问题

  • 可信验证:可基于可信根对系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知;应采用可信验证机制对接入到网络中的设备进行可信验证,保证接入网络的设备真实可信;
  • 远程管理:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
  • 集中管理:应能够建立一条安全的信息传输路径,对网络中的安全设备或者安全组件进行管理。