GB/T 38541-2020 信息安全技術 電子文件密碼應用指南
- 發(fā)表時間:2023-03-16
- 來源:共立消防
- 人氣:
1 范圍
本標準提出了電子文件的密碼應用技術框架和安全目標,描述了對電子文件進行密碼操作的方法和電子文件應用系統(tǒng)使用密碼技術的方法。
本標準適用于電子文件應用系統(tǒng)的開發(fā)和使用。
2 規(guī)范性引用文件
下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 20518 信息安全技術 公鑰基礎設施 數(shù)字證書格式
GB/T 25069-2010 信息安全技術 術語
GB/T 31913-2015 文書類電子文件形成辦理系統(tǒng)通用功能要求
GB/T 32905 信息安全技術 SM3密碼雜湊算法
GB/T 32907 信息安全技術 SM4分組密碼算法
GB/T 32918(所有部分)信息安全技術 SM2橢圓曲線公鑰密碼算法
GB/T 35275 信息安全技術 SM2密碼算法加密簽名消息語法規(guī)范
GM/T 0019 通用密碼服務接口規(guī)范
GM/T 0031 安全電子簽章密碼應用技術規(guī)范
GM/T 0033 時間戳接口規(guī)范
GM/T 0054 信息系統(tǒng)密碼應用基本要求
GM/T 0055-2018 電子文件密碼應用技術規(guī)范
3 術語和定義
GB/T 31913-2015、GB/T 25069-2010、GM/T 0055-2018界定的以及下列術語和定義適用于本文件。為了便于使用,以下重復列出了GM/T 0055-2018中的某些術語和定義。
3.1
電子文件 electronic records
在數(shù)字設備及環(huán)境中形成,以數(shù)碼形式存儲于磁帶、磁盤、光盤、智能密碼鑰匙等載體,依賴計算機等數(shù)字設備閱讀、處理,并可在通信網(wǎng)絡上傳送的文字、圖表、音頻、視頻等不同形式的文件,由文件內容和文件屬性組成。
注:改寫GB/T 31913-2015,定義3.1。
3.2
文書類電子文件 administrative electronic records
反映黨務、政務、生產經營管理等各項管理活動的電子文件。
3.3
標簽 label
和電子文件綁定的一段數(shù)字實體,用于標識文件的屬性和狀態(tài),定義文件的操作對象、操作行為及
訪問權限,記錄文件處理環(huán)節(jié)中操作者的操作行為,確保文件在創(chuàng)建、修改、授權、閱讀、簽批、蓋章、打印、添加水印、流轉、存檔和銷毀等操作中始終處于安全可控的狀態(tài),為應用系統(tǒng)提供追溯和審計的依據(jù)。
[GM/T 0055-2018M/T 0055-2018,定義3.3]
3.4
應用系統(tǒng) application system
以電子文件為處理對象,對電子文件進行創(chuàng)建、修改、授權、閱讀、簽批、蓋章、打印、添加水印、流轉、存檔和銷毀等操作的系統(tǒng)。
3.5
數(shù)字信封 digital envelope
一種數(shù)據(jù)結構,包含用對稱密鑰加密的密文和用公鑰加密的該對稱密鑰。
4 縮略語
下列縮略語適用于本文件。
密碼分組鏈接( pher Block Chaining)
CFB:密文反饋(Cipher Feedback)
CTR:計數(shù)器(Counter)
OFB:輸出反饋(Output Feedback)
5 概述
5.1 密碼應用技術框架
電子文件的密碼應用技術框架如圖1所示。
本標準凡涉及密碼算法、密碼協(xié)議宜遵循密碼相關國家標準和行業(yè)標準。
圖1 電子文件密碼應用技術框架
5.2 安全目標
電子文件管理的安全目標包括機密性、完整性、真實性和不可否認性。
為實現(xiàn)電子文件管理的安全目標,宜使用密碼技術保證電子文件全生命周期的安全性。即保證電子文件的形成過程真實可靠,保證電子文件在傳輸(交換)、接收和存儲的過程中未被篡改,保證電子文件不被泄露給非授權的訪問者,保證電子文件的操作者不能否認其操作行為和處理結果。
電子文件的安全性由文件內容的安全性和文件屬性的安全性共同來保證。
5.3 應用系統(tǒng)
遵循GB/T 31913-2015,電子文件全生命周期中,一般經歷三種類型的系統(tǒng),即業(yè)務系統(tǒng)、電子文件管理系統(tǒng)、電子文件長期保存系統(tǒng)。
業(yè)務系統(tǒng)也稱作電子文件形成辦理系統(tǒng),主要為電子文件提供從形成到辦理這一過程中所涉及的業(yè)務功能,并提供與其他系統(tǒng)連接的數(shù)據(jù)接口。電子文件管理系統(tǒng)負責從業(yè)務系統(tǒng)中捕獲電子文件,維護文件之間、文件和業(yè)務之間的各種關聯(lián),支持查詢利用,并以有序的、系統(tǒng)的、可審計的方式進行處置。電子文件長期保存系統(tǒng)則以正確的和長期有效的方式維護電子文件并提供利用。
5.4 用戶
用戶是應用系統(tǒng)的操作人員,包括電子文件的業(yè)務操作者和應用系統(tǒng)的系統(tǒng)管理者。
業(yè)務操作者是指在業(yè)務系統(tǒng)、電子文件管理系統(tǒng)和電子文件長期保存系統(tǒng)中,對電子文件進行創(chuàng)建、修改、授權、閱讀、簽批、蓋章、打印、流轉、存檔和銷毀等具體操作的人員。
系統(tǒng)管理者是指對應用系統(tǒng)進行管理與維護的人員,包括系統(tǒng)管理員、審計管理員和保密管理員。
5.5 電子文件
電子文件是應用系統(tǒng)的操作對象。
文件內容可以包含一個或多個文件。
文件屬性包括標識屬性、元數(shù)據(jù)屬性、安全屬性、簽批屬性、印章屬性、水印屬性、權限屬性、日志屬性和擴展屬性等。標識屬性是文件的唯一標識,該標識在電子文件創(chuàng)建時確定,并在電子文件全生命周期中保持不變;元數(shù)據(jù)屬性描述電子文件的背景、內容、結構及其整個管理過程的數(shù)據(jù);安全屬性描述與電子文件密碼操作相關的屬性和狀態(tài)的數(shù)據(jù),包括對文件內容及相關文件屬性進行加密、簽名等密碼運算所采用算法的算法標識、數(shù)字證書信息、簽名結果等內容;簽批屬性定義了對文件進行簽批以及對簽批行為進行簽名的操作,包括簽批人信息、簽批時間、簽批內容等內容;印章屬性定義了對文件進行蓋章、驗章操作,包括簽章人信息、簽章時間、電子簽章等內容;水印屬性定義了對文件嵌入/提取水印的操作,包括水印設置人、水印設置時間、水印內容、水印位置等內容;權限屬性定義對文件的讀、寫、打印、密碼操作等操作權限;日志屬性定義了對文件操作過程中的日志信息;擴展屬性是由應用系統(tǒng)自定義的屬性,由應用系統(tǒng)根據(jù)實際應用需要定義其結構及各要素的含義。
文件屬性可遵循GM/T 0055-2018以標簽的方式組織,電子文件與標簽存在唯一綁定關系,可內聯(lián)式存儲也可外聯(lián)式存儲。
文件屬性也可由應用系統(tǒng)以自維護方式組織,應用系統(tǒng)可根據(jù)屬性含義自定義屬性所包含的字段,并直接對文件屬性進行密碼操作,保證文件屬性的安全性,維護其與電子文件的關聯(lián)關系。
5.6 密碼算法與密碼服務
5.6.1 密碼算法
電子文件的密碼操作宜使用對稱算法、非對稱算法和雜湊算法,根據(jù)場景宜采用GB/T 32918、GB/T 32905、GB/T 32907或者國家密碼管理部門認可的其他密碼算法。
對稱算法用于加解密文件內容和文件屬性。非對稱算法用于加密和解密對稱密鑰,以及進行數(shù)字
簽名和簽名驗證。雜湊算法用于完整性計算和驗證。對稱算法可采用CBC、OFB、CFB、CTR等多種模式。當使用OFB和CFB模式時,應用系統(tǒng)應設置反饋位數(shù)。
對密碼算法的調用通過密碼算法的標識來完成。
5.6.2 通用密碼服務
通用密碼服務包括數(shù)字證書服務、加密/解密服務、簽名/驗簽服務、雜湊運算服務等。通用密碼服務由證書認證系統(tǒng)、密碼設備/部件等密碼基礎設施提供,通過調用相關服務接口實現(xiàn)。提供密碼服務的證書認證系統(tǒng)、密碼設備/部件宜遵循相關國家標準和行業(yè)標準,并得到國家密碼管理部門認證核準。密碼服務接口宜遵循GM/T 0019。數(shù)字證書格式宜遵循GB/T 20518。簽名語法宜遵循GB/T 35275。
5.6.3 典型密碼服務
典型密碼服務包括身份鑒別服務、電子印章服務、時間戳服務等。
身份鑒別服務用于實現(xiàn)基于數(shù)字證書的用戶身份鑒別。
電子印章服務用于對電子文件的印章加蓋、驗證和讀取。電子印章服務接口宜遵循G M/T 0031。時間戳服務用于對數(shù)字簽名、電子印章提供時間信息。時間戳服務接口宜遵循 GM/T 000033。
5.6.4 密鑰
電子文件涉及的密鑰按類型分為對稱密鑰和非對稱密鑰,按配用分為用戶密鑰和系統(tǒng)密鑰。
對稱密鑰由通用密碼服務產生,用于加密電子文件;非對稱密鑰包括簽名密鑰對和加密密鑰對,可來源于證書認證系統(tǒng),簽名密鑰對用于電子文件在傳輸、交換和存儲過程中的簽名與驗證,加密密鑰對用于對稱密鑰的加密與解密。
用戶密鑰包括用戶簽名公私鑰對和用戶加密公私鑰對,系統(tǒng)中所有用戶宜配備對應的簽名證書和加密證書;系統(tǒng)密鑰包括系統(tǒng)簽名密鑰對和系統(tǒng)加密密鑰對,所有電子文件應用系統(tǒng)宜配備對應的簽名證書和加密證書。
6 電子文件的密碼操作方法
6.1 基本原則
在應用系統(tǒng)中,可使用密碼技術對電子文件進行機密性、完整性、真實性和不可否認性保護。在實際使用過程中,可根據(jù)電子文件重要程度、應用場景,確定電子文件的安全目標。在需要同時保證文件的機密性和完整性時,宜先對電子文件進行完整性保護,再對電子文件進行機密性保護。
6.2 機密性
6.2.1 文件內容的機密性
可采用數(shù)字信封方式對文件內容進行加密,以保證文件內容的機密性。
文件屬性采用標簽方式組織時,應用系統(tǒng)宜遵循GM/T 0055-2018,調用電子文件密碼服務中間件對指定的文件內容進行加密操作和解密操作。
文件屬性由應用系統(tǒng)自行維護時,應用系統(tǒng)可直接對指定的文件內容進行加密操作和解密操作。加密操作的對稱密鑰應隨機生成,并確保一文一密,且應用系統(tǒng)無法獲取明態(tài)的對稱密鑰。
文件內容加密操作方法如下:
a)獲取對稱算法、非對稱算法標識;
b)調用通用密碼服務產生對稱密鑰;
以上為標準部分內容,如需看標準全文,請到相關授權網(wǎng)站購買標準正版。
- 2023-08-22消防維修保養(yǎng)記錄
- 2023-08-22消防設施維修維護
- 2023-08-19消防水池維修
- 2023-08-19消防水炮維修
- 2023-08-19消防線路維修
- 2023-08-19消防維保服務系統(tǒng)
- 2023-08-19消防主機維修維保大全
- 2023-08-19消防維保作用
- 2023-08-18消防維保工作聯(lián)系單
- 2023-08-18消防維保每年都要做嗎
- 2023-08-18 消防維保技術服務
- 2023-08-18消防主板維修
- 2023-08-18消防維保軟件
- 2023-08-18消防維保規(guī)章制度
- 2023-08-17消防檢測和維保
- 2023-08-17消防維保檢查
- IG541混合氣體滅火系統(tǒng)
IG541混合氣體滅火系統(tǒng):IG-541滅火系統(tǒng)采用的IG-541混合氣體滅火劑是由大氣層中的氮氣(N2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑
- 二氧化碳氣體滅火系統(tǒng)
二氧化碳氣體滅火系統(tǒng):二氧化碳氣體滅火系統(tǒng)由瓶架、滅火劑瓶組、泄漏檢測裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號反饋裝置、滅火劑輸送管、噴嘴、驅動氣體瓶組、電磁驅動
- 七氟丙烷滅火系統(tǒng)
七氟丙烷(HFC—227ea)滅火系統(tǒng)是一種高效能的滅火設備,其滅火劑HFC—ea是一種無色、無味、低毒性、絕緣性好、無二次污染的氣體,對大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130
- 手提式干粉滅火器
手提式干粉滅火器適滅火時,可手提或肩扛滅火器快速奔赴火場,在距燃燒處5米左右,放下滅火器。如在室外,應選擇在上風方向噴射。使用的干粉滅火器若是外掛式儲壓式的,操作者應一手緊握噴槍、另一手提起儲氣瓶上的