信息系统口令、密码和密钥管理

格式：doc
大小：41.50 KB
文档页数：4

下载文档原格式

信息系统口令密码和密钥管理

信息系统口令密码和密钥管理The final edition was revised on December 14th, 2020.信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求，以及信息系统口令、密码和密钥管理。

本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。

2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

1994 国务院中华人民共和国计算机信息系统安全保护条例国务院273号令商用密钥管理条例1998 国家保密局中华人民共和国计算机信息系统保密管理暂行规定2000 国家保密局中华人民共和国计算机信息系统国际联网保密管理规定2003 公司网络与信息安全管理办法（试行）2006 公司信息网防病毒运行统计管理规范（试行）2006 公司信息网用户行为规范（试行）3术语与定义以下术语和定义适用于本标准。

信息系统信息系统是用系统思想建立起来的，以电子计算机为基本信息处理手段，以现代通讯设备为基本传输工具，且能为管理决策提供信息服务的人机系统。

即，信息系统是一个由人和计算机等组成的，能进行管理信息的收集、传输、存储、加工、维护和使用的系统。

密钥密钥是一组信息编码，它参与密码的“运算”，并对密码的“运算”起特定的控制作用。

密钥是密码技术中的重要组成部分。

在密码系统中，密钥的生成、使用和管理至关重要。

密钥通常是需要严格保护的，密钥的失控将导致密码系统失效。

4职责信息中心职责4.1.2 信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管，指导相关部门设置应用系统的口令、密码和密钥；指导各用户设置开机口令。

信息中心各专职职责4.1.3 网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。

内网信息系统口令管理制度

涉密信息系统口令管理制度第一条口令是涉密信息系统身份认证的基本防护措施，为保障涉密信息系统的安全运行，规范网络用户及系统口令，特制定本制度。

第二条具有口令功能的计算机、网络设备等计算机信息系统设备，必须使用口令对用户的身份进行验证和确认。

涉密信息系统设备的口令管理工作由各设备所属单位负责。

第三条计算机设备和输入输出设备的系统设置口令由设备管理员负责管理，网络设备的系统设置口令由网络管理员负责管理，服务器的系统口令由系统管理员负责管理，安全设备和系统的口令由安全管理员负责管理，密码设备的口令由密钥管理员负责管理。

第四条涉密信息系统的计算机设备、输入输出设备、网络设备、安全设备和系统，口令长度要求设置为 12位，字母和数字混合，至少有3位字母、2位数字，且口令须每周更换一次。

第五条涉密信息系统的计算机设备，必须由管理员设置三级口令保护，即CMOS口令、操作系统登录口令和屏幕保护口令，且屏幕保护口令设置时间要求3分钟。

第六条涉密信息系统的输入输出设备，必须由设备管理员在所有的设备配置管理项目中设置口令保护，包括CLI管理、Web管理、SNMP管理、Telnet管理等，不允许采用设备默认的管理口令。

第七条涉密信息系统的网络设备，必须由网络管理员在所有的设备配置管理项目中设置口令保护，包括CLI管理、Web管理、SNMP管理、Telnet管理等，不允许采用设备默认的管理口令。

第八条涉密信息系统的服务器口令由系统管理员负责管理和定期维护，对于服务器普通用户的口令，系统管理员还负有如下职责:(一)给新增加的用户分配初始口令，规定用户口令的最小位数；(二)指导用户正确使用口令；(三)检查用户使用口令情况；(四)帮助用户开启被锁定的口令或重置口令，并对非法操作及时查明原因；(五)解决口令使用过程中出现的问题等。

第九条涉密信息系统的安全设备和系统，必须由安全管理员设置口令保护，包括CLI管理、Web管理等，不允许采用设备和系统默认的管理口令。

密码管理

）能够对其进行检索。存档是指对过了有效期的
密钥进行长期的离线保存，密钥的后运行阶段工
作.
• 密钥托管：为政府机构提供了实施法律授权下的
监听功能.
密钥管理简介
• 密钥更新：在密钥有效期快结束时，如果需要继续使用
该密钥，为保证密钥的安全性，该密钥需要由一个新的密
钥来取代，这就是密钥更新。密钥更新可以通过再生密钥取代原有密钥的方式来实现。
密钥生成
Ri=EDEK1,K2(ViEDEK1,K2(DTi)) Vi+1= EDEK1,K2(RiEDEK1,K2(DTi))
ANSI X9.17

• 密钥建立
密钥管理简介
分配和密钥协商
• 密钥的建立就是使密钥安全到达密钥使用的各实体对象，通常分为密钥
• 密钥存储
• 密钥的安全存储实际上是针对静态密钥的保护
密钥管理简介
• 密钥备份：指密钥处于使用状态时的短期存储，为密钥
的恢复提供密钥源，要求安全方式存储密钥，防止密钥泄
露。
• 密钥恢复：从备份或存档中获取密钥的过程称为密钥恢
复。若密钥丧失但未被泄露，就可以用安全方式从密钥备份中恢复。
密钥管理简介
• 密钥存档：当密钥不再正常时，需要对其进行存
档，以便在某种情况下特别需要时（如解决争议
注入密钥协议
主密钥主密钥
注入
密钥管理方案中的最高级密钥，用于对二级密钥进行保护。主密钥的生存周期很长
密钥协议
密钥加密密钥密钥加密密钥
密钥协议
会话密钥
会话密钥
1 用于保护初级密钥 2 不能以明文形式保存
明文
明文
加密
密文
密文
解密

2024新高考浙江版高中信息技术专题五信息系统概述及安全知识点归纳讲解PPT

新应用
主要任务
加快基础设施
加快调整与改
建设,教育培训革,逐步消除发
(提高认识)
展不利因素。
加强教育培训,
提升信息素质
改进体制机制
关注弱势群
体、实施普遍
服务
鼓励创新
考点三信息系统的安全与保护
一、信息安全与保护
(一)个人信息及其保护
1.个人信息:个人信息可以分为个人敏感信息和个人一般信息。其中个
b.未经软件版权人的允许,不得对其软件进行复制、修改、传播等操作,
更不能进行商业性转让、销售等侵权活动。
3.自媒体时代
1)进行社会舆论监督、反映社情民意是自媒体带给人们最大的好处。
2)自媒体在享有通信自由权、信息传播自由权、信息选择权时,也理应
承担道德上的责任和义务。自媒体时代,我们在传播信息时要提升自律
面性。
3.在线政府
在线政府的特征:
1)科学决策。2)公开透明。3)高效治理。
4)互动参与。
4.数字生活
随着信息技术广泛应用于人们的日常生活,人们的生活方式和生活理念
发生了深刻变化。
1)生活工具数字化。
2)生活方式数字化。
3)生活内容数字化。
(三)中国信息社会的阶段划分
阶段划分
信息社会
准备阶段
发展阶段
线、有线、光纤、卫星数据通信设施以及电视、电话等设备。
5.用户
信息系统中的用户范围很广,如信息系统的使用者、计算机和非计算机
设备的操作与维护人员、程序设计员、数据库管理员、系统分析员、
信息系统的管理人员及人工收集、加工、传输信息的有关人员等。
(二)信息系统的功能
1.数据收集和输入功能
信息系统的首要任务是把数据收集并记录下来,整理成信息系统要求的

密钥管理技术

密钥管理技术一、摘要密钥管理是处理密钥自产生到最终销毁的整个过程的的所有问题，包括系统的初始化，密钥的产生、存储、备份/装入、分配、保护、更新、控制、丢失、吊销和销毁等。

其中分配和存储是最大的难题。

密钥管理不仅影响系统的安全性，而且涉及到系统的可靠性、有效性和经济性。

当然密钥管理也涉及到物理上、人事上、规程上和制度上的一些问题。

密钥管理包括：1、产生与所要求安全级别相称的合适密钥；2、根据访问控制的要求，对于每个密钥决定哪个实体应该接受密钥的拷贝；3、用可靠办法使这些密钥对开放系统中的实体是可用的，即安全地将这些密钥分配给用户；4、某些密钥管理功能将在网络应用实现环境之外执行，包括用可靠手段对密钥进行物理的分配。

二、关键字密钥种类密钥的生成、存储、分配、更新和撤销密钥共享会议密钥分配密钥托管三、正文（一）密钥种类1、在一个密码系统中，按照加密的内容不同，密钥可以分为一般数据加密密钥(会话密钥)和密钥加密密钥。

密钥加密密钥还可分为次主密钥和主密钥。

（1）、会话密钥, 两个通信终端用户在一次会话或交换数据时所用的密钥。

一般由系统通过密钥交换协议动态产生。

它使用的时间很短，从而限制了密码分析者攻击时所能得到的同一密钥加密的密文量。

丢失时对系统保密性影响不大。

（2）、密钥加密密钥（Key Encrypting Key，KEK）, 用于传送会话密钥时采用的密钥。

（3）、主密钥（Mater Key）主密钥是对密钥加密密钥进行加密的密钥，存于主机的处理器中。

2、密钥种类区别（1）、会话密钥会话密钥(Session Key)，指两个通信终端用户一次通话或交换数据时使用的密钥。

它位于密码系统中整个密钥层次的最低层，仅对临时的通话或交换数据使用。

会话密钥若用来对传输的数据进行保护则称为数据加密密钥，若用作保护文件则称为文件密钥，若供通信双方专用就称为专用密钥。

会话密钥大多是临时的、动态的，只有在需要时才通过协议取得，用完后就丢掉了，从而可降低密钥的分配存储量。

岗位信息安全责任制度(六篇)

岗位信息安全责任制度信息安全岗位职责第一条严格遵守信息安全保密制度，不得泄露操作系统、数据库的系统管理员帐号、密码，切实保障系统安全。

合理配置操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准。

关闭与应用系统无关的所有网络端口，制定严格的网络安全策略机制，防止非法用户的侵入。

及时安装正式发布的系统补丁，修补系统存在的安全漏洞，防止系统遭受各种恶意攻击。

启用系统提供的审计功能，监测系统运行日志，掌握系统运行状况。

第二条加强口令密码、密钥安全管理。

严格按照相关规定设置符合安全保密策略的口令密码并定期或不定期进行更换。

严格按照安全保密机制对所用密钥生命周期的全过程（产生、存储、分配、使用、废除、归档、销毁）进行管理。

第三条加强信息系统的安全监测。

安全管理人员要制定各种紧急情况应对方案并经常监测、分析计算机信息系统运行状况，切实提高信息系统的安全效能。

要协助业务操作人员审查业务处理结果，发现问题应及时查明原因。

对不能确认的异常现象，必须向计算机安全管理部门报告。

要对计算机信息系统安全运行的监测记录及其分析结果严格管理，未经相关领导许可不得对外发布或引用。

第四条重大安全事件和应急处理。

确认计算机信息系统出现重大安全事件，必须果断采取控制措施，立即报告相关安全工作领导小组并逐级如实上报计算机安全主管部门。

重大安全事件发生后，协助有关人员保护事件现场，积极协助安全事件的调查，做好善后处理工作。

重大安全事件的处理情况，安全管理员必须形成书面材料，报告上级计算机安全主管部门。

第五条定期对信息安全工作进行巡检，并在其他业务管理员的协助下建立完整的安全巡检报告。

要根据信息系统安全需求及网络系统建设的发展，提出网络系统安全整改意见和实施方案，提出具体的解决方案。

第六条落实对其他管理员和普通用户信息安全工作的指导和监督。

第七条监控信息系统的安全需求变化，及时获取来自其他管理员和普通用户的安全意见，进行必要的安全管理体系修订。

第四章密钥管理技术

（2）存储在网络目录服务器中将用户的私钥集中存储在特殊的服务器中，用户可以通过一定的安全协议使用口令来获得自己的私钥和修改自己的私钥和口令。这种方式称为私钥存储服务（PKSS）——Private Key Storage Service。采用专有的私钥存储服务器的优点在于由专职系统管理人员和专门的服务器对用户私钥进行集中存储和管理，用户必须通过相应的安全协议核实自己的身份才能获得加密后的私钥。但是由于在安全协议的设计中都假定用户选择的口令是随机的，忽略了用户倾向于选择有一定意义的词和字母数字组合来作为口令，所以会遭到口令猜测攻击。当然这种方式也取决于系统管理人员的职业操守。
按照现在计算机发展的速度和计算能力分析，每2~3年左右，穷举搜索的能力也将要翻一翻。因此在通行字密码中，尤其是口令密码，应尽量避免遭受字典攻击（Dictionary Attack）。一个好的密钥必须具有以下几个特征：（1）真正随机等概，比如掷硬币等取法；（2）避免弱密钥的使用；（3）双钥系统应选择数学关系复杂的方法产生；（4）选用长度适中、安全易于记忆且难猜中的密钥；
4.1.4 密钥的存储
在密钥注入后，所有存储在加密设备里的密钥平时都以加密的形式存放，而对这些密钥的操作口令应该实现严格的保护，专人操作，口令专人拥有或用动态口令卡来进行保护等。这样可以防止装有密钥的加密设备丢失也不至于造成密钥的泄露。
加密设备也应有一定的物理保护措施。最重要的一部分密钥信息应采用掉电保护措施，使得在任何情况下，只要拆开加密设备，这部分密钥就会自动丢掉。如果采用软件加密的形式，应有一定的软件保护措施。重要的加密设备应有紧急情况下自动消除密钥的功能。在可能的情况下，应有对加密设备进行非法使用的审计，把非法口令输入等事件的发生时间等记录下来。高级专用加密设备应做到：无论通过人工的方法还是自动的（电子、 X射线、电子显微镜等）方法都不能从密码设备中读出信息。对当前使用的密钥应有密钥合法性验证措施，以防止被篡改。

计算机信息系统安全管理人员工作职责

计算机信息系统安全管理人员工作职责一、为了加强对计算机信息系统的安全保护，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行条例》、《计算机信息网络国际联网安全保护管理办法》和其他法律、行政法规的规定，特制定本制度。

二、严格遵守信息安全保密制度，不得泄露操作系统、数据库的系统管理员帐号、密码，切实保障系统安全。

合理配置操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准。

关闭与应用系统无关的所有网络端口，制定严格的网络安全策略机制，防止非法用户的侵入。

及时安装正式发布的系统补丁，修补系统存在的安全漏洞，防止系统遭受各种恶意攻击。

启用系统提供的审计功能，监测系统运行日志，掌握系统运行状况。

三、加强口令密码、密钥安全管理。

严格按照相关规定设置符合安全保密策略的口令密码并定期或不定期进行更换。

严格按照安全保密机制对所用密钥生命周期的全过程（产生、存储、分配、使用、废除、归档、销毁）进行管理。

密钥应作为绝密数据保管，必须通过机要渠道传递或采用加密通信方式网内分配。

密钥必须定期更换，对已泄露或怀疑泄露的密钥应及时废除，旧密钥必须安全归档。

密钥备份是针对主要密码设备和保密工作人员的意外事件而采取的必要措施，密钥副本的保存必须是物理安全的。

要有在紧急情况下销毁密钥的手段和措施，以防密钥丢失。

四、加强信息系统的安全监测。

安全管理人员要制定各种紧急情况应对方案并经常监测、分析计算机信息系统运行状况，切实提高信息系统的安全效能。

要协助业务操作人员审查业务处理结果，发现问题应及时查明原因。

对不能确认的异常现象，必须向计算机安全管理部门报告。

要对计算机信息系统安全运行的监测记录及其分析结果严格管理，未经相关领导许可不得对外发布或引用。

五、重大安全事件和应急处理。

确认计算机信息系统出现重大安全事件，必须果断采取控制措施，立即报告相关安全工作领导小组并逐级如实上报计算机安全主管部门。

密钥及口令管理制度

密钥及口令管理制度一、制度目的为了保障企业信息系统和网络安全，防止未经授权的人员访问或篡改重要数据，确保企业信息资产得到充分的保护，特制定本管理制度。

二、适用范围本管理制度适用于企业所有员工在使用企业信息系统和网络时所使用的所有密钥和口令。

三、定义1. 密钥：密钥是用于加密和解密数据的一组规则或算法，用于保护数据的安全性。

2. 口令：口令是一串字符，用于验证用户的身份和权限，通常用于登录系统或访问特定资源。

四、原则1. 最小特权原则：员工只能获得他们所需的最小权限以完成工作任务。

2. 分工管控原则：密钥和口令的管理应该由专门的人员负责，确保安全和可控。

3. 记录审计原则：对密钥和口令的使用应该进行记录和审计，确保安全事件的追踪和溯源。

五、管理责任1. 信息安全部门负责密钥及口令管理制度的制定和执行。

2. 公司管理层负责对制度进行监督和落实。

3. 全体员工有义务遵守相关规定并认真执行。

六、密钥管理1. 密钥的生成和分发只能由信息安全部门负责，避免未授权人员获取密钥。

2. 密钥应该定期更新，以确保安全性。

3. 密钥应该妥善保管，不得随意外泄或共享。

4. 密钥的使用需要经过授权，未经授权不得使用或传递。

七、口令管理1. 口令复杂度要求：口令由字母、数字、特殊字符组合，长度不少于8位。

2. 口令定期更换：员工口令需定期更换，且不得重复使用。

3. 口令安全存储：口令不得以明文形式存储，必须加密存储。

4. 口令共享禁止：口令仅限个人使用，不得共享或泄露。

八、安全意识教育1. 新员工入职培训时需要对本制度进行详细介绍。

2. 定期组织安全意识培训，提高员工对信息安全的重视度。

3. 提供相关案例分析，引导员工深刻理解信息安全风险。

九、制度执行1. 对违反本制度的员工给予相应的处罚，并通报相关部门。

2. 员工举报遭受相关安全事件或违规行为，应该给予奖励或保护。

3. 各部门定期自查，对违规行为及时整改。

十、制度评估1. 定期对本管理制度进行评估和修订，保持与技术和业务发展的同步。

密钥管理

生成KS
EKE(KS) A B 求出KS
（2）明传密用
生成R R A
计算KS=EKE(R) 计算KS=EKE(R)
B
二、密钥分配基本技术
（3）密钥合成
生成R1 A 求出 R2 KS R1 R2 EKE(R2)
EKE(R1)
B
生成R2
求出R1
KS R1 R2
这里“”表示某种合成算法，一般采用的是杂凑函数。
c ,tg s
二、密钥分配基本技术
（2）会话密钥（Session Key）在一次通话或交换数据时使用的密钥。通常与基本密钥相结合对消息进行加密，且一报一换。
一、密钥管理概述
（3）密钥加密密钥（Key Encrypting Key）
对会话密钥进行加密保护的密钥。又称辅助
（二级）密钥(Secondary Key)或密钥传送密钥
(key Transport key)。
目标：为用户建立用于相互间保密通信的密钥。密钥分配要解决安全问题和效率问题。如果不能确保安全，则使用密码的各方得到的密钥就不能使用；如果不能将密钥及时送达，将不能对用户信息系统使用密码进行及时的保障。
一、密钥管理概述
密钥分配手段包括人工分配和技术分配。人工分配是通过可靠的人员来完成密钥的分配。又称线外式分配。技术分配是利用密码技术来完成密钥的分配。又称自动分配、在线分配或线内式分配。
c ,tg s
二、密钥分配基本技术
EKtg s ：用AS与TGS共享的密钥加密，防止被篡改
Kc,tgs：TGS可理解的会话密钥副本，用于脱密身份验证码Arc,tgs，从而验证票据 IDc ：指明该票据的合法拥有者 ADc ：防止在另一台工作站上使用该票据的人不是票据的初始申请者 IDtgs ：使服务器确信脱密正确 TS2：通知TGS此票据发出的时间 Lifetime2：防止过期的票据重放

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

信息系统口令、密码和密钥管理
1范围
本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求，以及信息系统口令、密码和密钥管理。

本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。

2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所
1994
1998
2000
2003
2006
2006
3
3.1
3.2
密钥
4职责
4.1
4.1.2
部门设置应用系统的口令、密码和密钥；指导各用户设置开机口令。

4.2信息中心各专职职责
4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。

4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。

4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。

4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作，参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实，以及网络系统各类分析、统计报告的编制和上报工作。

5管理内容与要求
5.1主机与网络设备(含安全防护系统)口令、密码管理
5.1.1各类主机、网络设备应有明确的管理员负责管理，管理员负责其管辖范围的账号、口令的设
置和更改。

5.1.2各类主机的超级用户口令和网络设备配置口令必须定期更换，更换周期不得超过1个月。

5.1.3各管理员应将口令用信封封存后交网络信息安全员统一保管，如遇管理员出差等情况需打开信封，必须征得信息中心主管同意后方可打开信封使用口令，管理员回来后及时更改口令并重新封存。

口令的保存、更改和开封启用均要有详细记录。

严禁私自启封。

5.1.4更换账号、口令后，必须立即提交新的密封件交网络信息安全员保管，并重新进行登记，旧的密封件当面销毁。

5.1.5不同权限人员应严格保管、保密各自职责的口令，严格限制使用范围，不得向非相关人员透露，原则上不允许多人共同使用一个帐户和口令。

系统管理员不得拥有数据库管理员（DBA）的权限；数据库管理员不得同时拥有系统管理员的权限；数据库管理员应为不同的不同应用系统的数据
5.1.6
证，
户名、
5.1.7
5.2
5.2.1
5.2.2
5.2.3
5.2.4
借他人。

5.2.5
相同。

5.2.6应用系统的各类口令和密码必须加密保存，系统不得采用明文方式保存于服务器或客户端计算机的注册表或硬盘文件系统中。

5.2.7涉密应用系统所采用的各种加解密措施应采用统一的加密算法和密钥管理，并具有权限分级，以适合不同级别的用户存取。

同时密钥必须定期更换。

5.3 工作站口令、密码管理
5.3.1各工作站按要求必须设置开机密码和操作系统管理员密码，并开启屏幕保护中的密码保护功能。

妥善保管密码，并定期更改；同时严禁使用人员泄露自己的口令和密码。

5.3.2各工作站不得设置共享目录，原则上使用办公自动化（OA）系统来相互传送文件，如确有必要，则需要为共享目录设置读取密码，以防止无关人员获得相关信息。

5.4 口令的废止
5.4.1用户因职位变动，而不需使用其原有职责的信息资源，必须移交全部技术资料，明确离岗后的保密义务，并立即更换有关口令和密钥，注销其专用用户。

涉及核心部门开发人员调离时，应确
认对本系统安全不会造成危害后方可调离。

5.4.2丢失或遗忘口令，必须向相关口令管理人员申请，必须得到信息中心主任及以上的人员同意方可。

6报告与记录
口令管理台帐（见附录A）。

7检查与考核
7.1由部门负责人依据本标准进行检查。

7.2根据《公司职工年度考核管理实施办法》进行考核。

附录A
（规范性附录）。

信息系统口令、密码和密钥管理

合集下载