发布日期:2021-03-31
3月9日,国家市场监督管理总局、中国国家标准化管理委员会发布GB/T 39786《信息安全技术 信息系统密码应用基本要求》(简称“国标”),正式替代原有的GM/T 0054《信息系统密码应用基本要求》(简称“行标”),成为商用密码应用安全性评估的测评依据。国标正式实施时间为2021年10月1号。
商用密码应用安全性评估活动,即依据信息安全等级保护的国家标准或行业标准,按照商用密码应用安全性评估管理要求,在系统规划阶段,责任单位应当依据商用密码应用安全性有关标准,制定商用密码应用建设方案,组织专家或委托测评机构对商用密码应用建设方案进行评估;在系统建设完成后以及运行阶段,由测评机构对信息系统所采用商用密码技术、产品、算法和服务的合规性、正确性、有效性进行评估。
依据的标准由行标变更为国标后,商用密码应用安全性评估活动的主要变化包括:
01
行标主要基于总体要求、密码功能性要求、密码应用技术要求、密钥管理以及安全管理五个方面进行合规性、正确性、有效性测评。
国标主要是基于通用要求、密码应用技术要求和密码应用管理要求三个方面进行合规性、正确性、有效性测评。通用要求包含密码算法、密码技术、密码产品、密码服务以及密钥管理等方面;密码应用技术要求包含物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;密码应用管理要求包含管理制度、人员管理、建设运行和应急管理。
从测评要求上看:一是国标相较于行标在整体框架上进行了调整,由行标的总体要求、密码功能性要求、密码应用技术要求、密钥管理以及安全管理五个方面调整为通用要求、密码应用技术要求和密码应用管理要求三方面。二是相关标准的行业适应性和安全性更强,对一些标准要求有所放宽,而类似于密码服务、密钥管理之类指标的标准要求却有所增强。
02
行标测评指标分为一到四级指标,其中技术要求指标内容如下:
密钥管理要求如下:
安全管理要求如下:
国标指标要求分为一到四级指标,其中技术要求指标内容如下:
管理要求指标如下:
在技术要求模块,国标相较于行标,一级到三级要求都有不同程度的下降,测评指标有一定的变化,主要体现在以下几点:
国标减少了对密钥管理大模块的测评;
在网络和通信层面把原有的集中管理通道安全变为了接入认证;
在设备和计算层面把原有的重要程序文件的完整性后增加了重要程序文件的来源真实性;
在应用和数据层面增加了重要敏感标记的完整性。
在安全管理模块,国标相较于行标,要求有所增加,主要体现在以下几点:
在管理制度层面,增加了密钥管理规则和建立操作规程,对密钥的安全性管理要求更加严格;
在人员管理层面减少乐密码设备的正确使用,增加了建立密码应用岗位责任制度,更加强调了密码应用的安全性;
在运行建设层面,更加明确了密码的建设运行相关的安全要求,增加了密码方向的功放演练。