7.1 PA05數據傳輸加密

7.1 PA05數據傳輸加密

7.1.1　過程域描述

根據組織機構內部和外部的數據傳輸需求，采用適當的加密保護措施，保證傳輸通道、傳輸節點和傳輸數據的安全，防止傳輸過程中數據被截取所引發的數據泄漏。

7.1.2　等級描述

7.1.2.1　等級1: 非正式執行

• 建設：未設立在數據傳輸過程中對傳輸通道和數據內容執行加密管理的崗位和人員。(BP.05.01)
• 流程：未制定明確的對傳輸通道和數據內容進行加密的管理流程，僅根據法律法規和商業合同中的要求，對傳輸通道和相應敏感數據采用加密保護措施。(BP.05.02)

7.1.2.2　等級 2: 計劃跟蹤

• 建設：由數據傳輸的相關業務團隊負責對傳輸通道和數據內容進行加密處理。(BP.05.03)
• 流程：根據法律法規、商業合同中的要求和業務性能的需求，明確組織機構內需要加密傳輸的數據范圍和認可的加密算法。(BP.05.04)

7.1.2.3　等級 3: 充分定義

• 建設：組織機構設立了管理傳輸通道和數據內容加密的崗位和人員負責整體的加密原則和技術的提供，由各業務的技術團隊負責具體場景下的數據傳輸加密實現。(BP.05.05)
• 流程：

1) 根據法律法規的要求以及業務開展的成本和需求，明確組織機構需要對傳輸通道加密的業務場景。(BP.05.06)

2) 在數據分類分級定義的基礎上明確提出對相關類型、級別的數據的加密傳輸要求，針對數據的加密傳輸要求應包含對數據加密算法要求和密鑰的管理要求。(BP.05.07)

• 工具：

1) 提供對傳輸通道兩端進行主體身份鑒別和認證的技術方案和工具。(BP.05.08)

2) 針對關鍵的數據傳輸通道，統一部署傳輸通道加密方案（如采用TLS/SSL方式）。(BP.05.09)

3) 提供對傳輸數據的完整性進行檢測并執行恢復控制的技術方案和工具。(BP.05.10)

4) 提供對數據傳輸安全策略的變更進行審核和監控的技術方案和工具，部署對通道安全配置、密碼算法配置、密鑰管理等保護措施進行審核及監控的技術工具。(BP.05.11)

5) 建設密鑰管理系統提供數據的加密解密、簽名驗簽等功能，并實現對密鑰的全生命周期（生成、存儲、使用、分發、更新、銷毀等）的安全管理。(BP.05.12)

• 能力：

1) 了解市場上主流的安全通道和可信通道建立方案、身份鑒別和認證技術、數據加密算法和國家推薦的數據加密算法，基于具體的業務場景選擇合適的數據傳輸安全管理方式。(BP.05.13)

2) 負責該項工作的人員了解數據加密的算法，并能夠基于具體的業務場景選擇合適的加密技術。(BP.05.14)

7.1.2.4　等級 4: 量化控制

• 流程：制定密鑰管理安全規范，該規范中應明確組織機構內負責密鑰管理的部門及其職責，并配套制定密鑰管理相應的流程。(BP.05.15)
• 工具：

1) 每個傳輸鏈路上的節點都部署了獨立的公鑰/私鑰對和數字證書，以保證各節點有效的身份認證。(BP.05.16)

2) 綜合量化敏感數據加密和數據傳輸通道加密的實現效果和成本，定期審核并調整數據加密的實現方案。(BP.05.17)

3) 組織機構提供固定的數據加密模塊供傳輸功能的開發人員調用，根據不同數據類型和級別進行數據加密處理，保證組織機構內數據加密功能的統一性。(BP.05.18)

7.1.2.5　等級 5: 持續優化

• 工具：

1) 跟進傳輸通道加密保護的技術發展，評估新技術對安全方案的影響，適當引入新技術以應對最新的安全風險。(BP.05.19)

2) 改進數據傳輸加密技術，在保證安全的情況下提升數據使用時的效率。(BP.05.20)