网络安全等级保护2.0解读（网络安全等级保护）

每一件事务都有一个从成到毁的过程，信息系统有自身的一个生命周期，讨论信息系统生命周期时，网络安全保护工作密码技术占很大的比重。所以，在考量网络安全过程中，自然少不了密码技术中密钥的管理，密钥也有自身的生命周期，密钥管理包括密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节。

密钥管理对于保证密钥全生存周期的安全性是至关重要的，可以保证密钥（除公钥外）不被非授权的访问、使用、泄露、修改和替换，可以保证公钥不被非授权的修改和替换。信息系统的应用与数据层面的密钥体系由业务系统根据密码应用需求在密码应用方案中明确。

了解密钥生命周期管理，如果未进行等级保护测评或密评前，则有助于从前期开始着手开展合规工作，看看自身开展工作中有哪些欠缺；如果在测评过程中了解，则对当次合规有一定助益作用；完成测评工作之后了解，则对日常运维管理中持续改进大有帮助，为持续合规做充足准备。当然，无论你在哪个阶段了解，都能在你日常工作中促进合规工作开展，只是不同时段处理的矛盾点不同而已。

参考文件：

• 《信息系统密码应用测评要求》
• 《信息安全技术 网络安全等级保护基本要求》
• 《信息安全等级保护商用密码技术要求》使用指南

网络安全等级保护：等级保护中的密码技术

小型企业网络安全指南之四：使用密码保护数据

信息系统密码应用高风险判定指引思维导图