第10頁共10頁第1頁共10頁文檔編號XX_3_IS_加密策略版本號V1.0密級內部公開加密策略XXX信息技術有限公司

文檔信息發布版本：v1.0最后發布時間：XX編寫人：XX審核人：XX版本控制編號修訂人修訂時間版本號修訂內容說明123

目錄1 簡介 41.1 目標讀者 41.2 信息 42 加密 42.1 加密要求的例外 52.2 要求的密鑰長度 62.3 數字簽名 73 密鑰管理 73.1 職責要求 7 密鑰生成 7 密鑰分發 7 密鑰存儲 7 密鑰變更 8 密鑰過期和廢除 8 密鑰雙重控制 8 密碼策略 8 密鑰信息的未授權的通告 104 允許使用的工具 10

簡介加密技術可以用來保護信息以防信息泄露或者被控制。通過密碼或者key的加密方式獲取信息。這些加密策略在下列情況下方可使用：在XXX內部使用加密和數字簽名或者在XXX外部信息的傳輸或者其他傳遞。另外，此加密策略包括有關XXX內部信息分類的規則和指導方針，以及XXX員工使用針對算法控制的加密策略。目標讀者該策略要求所有的員工執行此加密策略。信息加密應很好地保護信息，對XXX或者XXX的客戶都是適用的，包括出于一些法律的要求（例如隱私法）或者外部分類要求，需要保護信息。無論基于什么級別的分類，信息的加密是必須的。加密加密是可以保護信息的最基本的技術。使用加密可以確保信息的機密性和完整性。在XXX內部，對稱和非對稱加密技術均可以使用，或者單獨使用或者聯動使用。XXX內部信息必須根據下表1中的不同分類，進行不同的加密。類似于郵件或者即時消息這樣的傳輸信息為端對端的加密，而非客戶端與服務器之間的加密，此類加密是必須的。表SEQTable\*ARABIC1:加密要求公開信息public內部internal機密confidential在外部使用公司的VPNNoYesYes在內部使用公司的VPNNoNoYes發送內部郵件NoYesYes通過聊天軟件進行交流NoYesYes存儲在移動設備中，如筆記本電腦、PDA和手機NoYesYes在外部使用移動的存儲設備NoYesYes在內部使用移動的存儲設備NoNoYes公司內的PC和服務器中NoNoYes通過電話進行交流NoNoNo通過WLAN傳輸NoYesYes加密要求的例外以下列舉了對數據不需要加密的情況：在發送合同或者報價的電子副本的時候無法對數據進行加密（例如，客戶沒有使用加密機制）客戶明確要求數據可以不加密并且獲得XXX同意要求的密鑰長度此章節列舉了推薦的加密算法和要求的密鑰長度。對工具的詳細定義和使用見章節4表SEQTable\*ARABIC2:最小密鑰長度SymmetricCryptography對稱加密Size長度AES2563DES*128Serpent256CAST5128Blowfish448IDEA128Twofish128AsymmetricCryptography非對稱加密RSA*2048ElGamal2048EllipticCurveCryptosystem*192HashFunctionsSHA-1*160RIPE-MD160數字簽名在XXX內部，數字或者電子簽名的使用用于確保信息的完整性和文檔的批準。在客戶或者其他外部機構中的通訊不使用數字簽名，除非合作伙伴有明確的要求。密鑰管理此章節描述了XXX內部密鑰的生命周期，既信息是如何恢復的。信息的恢復至關重要，必須確保所有的加密信息對于員工是可用的職責要求由風險總監授予系統管理員密鑰管理的權限，并簽署授權書。系統管理員簽署崗位職責說明書。密鑰生成密鑰管理員負責密鑰的生成。Key由工具生成，key的最小密鑰長度必須控制！如何選擇volume加密或者對稱加密，密碼長度應超過8位并且包括符號（非字符和數字）的使用。密鑰分發密鑰風險總監監督，密鑰管理員通過公司提供的物理設備拷貝并分發給每個密鑰使用人。密鑰存儲密鑰（含有域名注冊信息、生產服務器密碼、域名管理權限密碼、核心設備的配置文件備份等），采用紙質密函的記錄，安全地存儲在保險柜中，統一交給密鑰管理權限的人保管。員工個人密鑰必須隨身攜帶或存放在上鎖的柜子中，密鑰存儲設備必須與其他個人存儲設備區分存放。在密鑰的存儲過程中，遇到緊急使用密鑰的第三方被信任的使用者，需要提出密鑰開啟使用的工單，在系統總監和項目經理負責人審批確認無誤后，經由密鑰安全管理人員與密鑰使用人同時開啟密函信封，一旦開啟密封信函，使用密鑰后，在3天內需要重新交由密鑰管理員和維護人員重新更新密鑰。以確保密鑰的及時更新，穩定，安全。密鑰變更按照密鑰的管理需求，密鑰變更周期至少每季度一次；在密鑰變更的操作也有重要的密鑰管理人員來完成；手動更改重要密鑰信息，雙人檢查，完成后并記錄下變更的新密鑰，通過上述的存儲方式完成密鑰的安全保管。密鑰過期和廢除涉及到的重要密鑰比如安全登錄Key的最大有效期為2年，在過期之前的前10天做好新的密鑰變更工作；一旦生效，經由密鑰管理人員和操作人員一同操作，人工手動的廢除過期密鑰。在密鑰的廢除與更新工作當中，經由密鑰系統管理員負責密鑰的廢除。并負責收回廢除密鑰。當密鑰過期失效或者發現任何不安全因素，密鑰管理員應立即生成新的密鑰（參見上述密鑰生成流程），并用安全方式廢除舊的密鑰。密鑰雙重控制系統管理員和風險總監分別掌握部分密鑰片斷，必須聚齊所有片斷才能重建整個密鑰。密碼策略密碼不能被輕易猜出。密碼或者密碼中的部分片段不能從一些常用的語言、名字或者車牌照中找到。密碼的創建規則如下：用戶名Username用戶名由字母或數字組成，也可以是字母和數字的組合。用戶名在系統中是唯一的。分配用戶名時，系統檢查用戶名是否被用過。初始密碼密碼初始設置必須保證唯一，且必須第一次使用時更改。用戶密碼分發所有系統用戶的密碼均由系統管理員通過電話或短信通知對應用戶。登錄企圖用戶登陸連續六次失敗，將臨時鎖定此用戶名，必須通過系統管理員重新激活后才能使用。用戶以及密碼不共享所有用戶均單獨授予給人員，其用戶名和密碼均不允許在不同人員間共享。用戶密碼長度用戶密碼至少為6，最多20位用戶密碼格式用戶密碼由字母、數字和符號組成，包含至少一個特殊字符密碼不能跟用戶名一致，且不能包括用戶名密碼區分字母的大小寫，密碼必須包括一個大寫字母不能包括三個連續的同樣的字符密碼有效期所有密碼有效期為90天，到期前10天用戶登陸后提示用戶修改。有效期后拒絕此用戶的登陸，此用戶必須通過系統管理員重新激活后才能使用。密碼修改用戶可以修改自己的密碼，系統管理員也可以為用戶重置密碼，但不能找回原來的密碼。管理員在為用戶修改密碼時，通過電話確認，并回撥通迅錄中的聯系統方式。密碼循環用戶修改密碼時，新密碼必須與以前的4個不同。密碼存儲公司涉及的所有密