总则

设备和计算安全密码应用总则如下：

① 采用密码技术对登录的用户进行身份鉴别

② 采用密码技术的完整性功能来保证系统资源访问控制信息的完整性。

③ 采用密码技术的完整性功能来保证重要信息资源敏感标记的完整性。

④ 采用密码技术的完整性功能对重要程序或文件进行完整性保护。

⑤ 采用密码技术的完整性功能对日志记录进行完整性保护。

设备和计算安全主要是针对信息系统中设备的用户身份鉴别信息、日志记录、访问控制信息、重要程序或文件、重要信息资源标记等提出的安全要求。本总则中提到的用户、日志记录、访问控制信息等是设备和计算安全层面的概念，虽然与其他层面的保护方式较为类似，但应避免与其他层面的类似概念相混淆，避免遗漏需要保护的对象。例如，“采用密码技术对登录的用户进行身份鉴别”要求中的用户指的是登录设备的用户，而不是登录设备中应用的用户，一台设备上可能承载多个应用，而每个应用对各自用户的身份标记、鉴别方式和粒度均可能存在差异。再如，“采用密码技术的完整性功能来保证系统资源访问控制信息、日志记录的完整性”要求中所指的是设备系统资源访问控制信息和日志记录，不应与网络和通信安全层面、应用和数据安全层面的类似信息混淆。

实现要点概述

设备和计算安全的本质是保障密码技术的运行和计算环境安全，重点针对或指向两大类对象：一类是密码产品自身，可直接完成密钥管理和密码计算；另一类是通用设备，需要密码技术完成各类关键系统资源、文件、程序的完整性保护。

对于密码产品，若已通过国家密码管理部门的审批或已经由具备资格的机构检测认证合格，其自身的安全性可以得到保证，因此，在实现时，应重点考虑通用产品的设备安全。使用密码技术对通用产品的设备和计算安全进行保护，主要有两种实现方式：一是使用内置密码部件；二是对通用产品配备外置智能密码钥匙或服务器密码机等完成类似保护。使用密码技术对通用设备的具体保护方式如下：

①利用智能密码钥匙、软件密码模块等身份鉴别介质作为设备管理员的身份凭证，在设备管理员进行设备登录时对其身份进行鉴别；

②对应通用设备重要审计日志信息、系统资源访问控制信息、重要信息资源敏感标记等，利用内置可信计算模块、密码卡、加密硬盘、软件密码模块或外接智能密码钥匙、服务器密码机等对它们进行数字签名/MAC计算，来验证这些信息在信息系统中的完整性。

1） 身份鉴别

这里的用户是指登录到设备的用户。身份鉴别有三种方式，即利用“知道什么”、“拥有什么”和“是什么”来鉴别，其中前两种都可基于密码技术实现。信息系统中用户的身份标识信息应具有唯一性，并对用户的身份鉴别数据复杂度进行要求，并且更换周期和更换方法应当在安全手册中进行规范。

2） 远程管理鉴别信息保密性

防止鉴别信息在传输通道上被以明文形式窃取，可通过加密传输通道，对鉴别信息加密实现防窃听。

3） 访问控制信息完整性

实现重要设备信息完整性保护重要由两种方式：一是利用设备内嵌的密码部件执行加密运算；二是利用外部密码产品执行密码计算。密码部件或密码产品需进行MAC或数字签名计算，对存储的系统资源访问控制信息、重要信息资源敏感标记和日志记录等进行完整性保护。

4） 敏感标记完整性

可参考访问控制信息完整性。

5） 重要程序或文件完整性

“可信计算模块-bios-操作系统-重要程序或文件”是一种典型的基于可信计算技术的完整信任链，信任链基于PKI技术实现，将根CA证书存放在可信的安全单元内。采用的可信计算密码模块或支撑平台，应符合GM/T 0011《可信计算 可信密码支撑平台功能与接口规范》、GM/T 0012《可信计算 可信密码模块接口规范》等标准的要求。如果信息系统不支持可信计算功能，可讲信任锚存储在安全的环境下，通过基于该信任锚的数字签名技术来实现对重要程序或文件的完整性保护。

6） 日志记录完整性

可参考访问控制信息完整性，涉及身份鉴别、远程管理和操作等关键日志记录需要进行完整性保护。需要指出的是，由于日志记录可与设备日常运行相分离，因此可将日志记录统一发送到专门的日志服务器中，由日志服务器使用内置或外部的密码产品对日志进行完整性保护。考虑到日志信息更新的频繁性，信息系统可以制定自身的安全策略定期对日志记录进行安全存储和完整性校验。

7） 密码模块实现

在默认情况下，选用符合GM/T 0028要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品来实现密钥管理、身份鉴别、MAC计算、数字签名计算功能。