根据2021年3月9日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2021年第3号),全国信息安全标准化技术委员会归口的GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》国家标准(以下简称国标)正式发布,并于2021年10月1日起实施 。
与行标GMT0054-2018相比,国标将在全国范围多行业内适用,且其他各级标准不得与国标相抵触,GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》将成为未来很长时间信息系统安全标准体系中的主体。
要注意的是2017年我国修订了标准化法,“在公布国家标准之后,该项行业标准即行废止”的叙述已删除。国家标准发布实施之后,行业标准、团体标准与国标不符的,分为两种情况:与强制性国标冲突的条文,自动作废;与推荐性国家标准冲突的,未公布作废的行业标准、团体标准仍可选择性执行。简单来说,行业标准和国家标准是并行的,如果发生冲突则以国家标准为准。
在GBT39786-2021之后,一系列标准和文件均以该标准为基础,包括:
(1)GMT0115-2021 信息系统密码应用测评要求
(2)GMT0116-2021 信息系统密码应用测评过程指南
(3)信息系统密码应用高风险判定指引
(4)商用密码应用安全性评估量化评估规则
(5)商用密码应用安全性评估报告模板(2023版)
(6)商用密码应用安全性评估 FAQ (第二版)
具体内容上对比国标和行标的具体异同。
| 结构 | GMT0054-2018 | GBT39786-2021 | 差异分析 |
| 引言 | 对“密码技术”、“密码”和“可、宜、应”定义解释。 | 无 | |
| 范围 | 标准规定信息系统商用密码应用的基本要求。 适用范围用于指导、规范和评估信息系统中的商用密码应用。 |
规定信息系统第一级到第四级4个技术层面和4个管理层面要求。(说明第五级) 在本标准基础之上,各领域与行业可结合本领域与行业的密码应用需求来指导,规范信息系统密码应用。 |
增加信息系统等级(1-5级) |
| 规范性引用文件 | GMT0005 随机性检测规范 GMT0028密码模块安全技术要求 GMT0036采用接触卡的门禁系统密码应用技术指南 GMZ4001-2013密码术语 |
GBT37092密码模块安全要求 | |
| 术语和定义 | 14个术语定义 | 去掉解密、密码算法和数字签名 | |
| 微缩语 | MAC | 无 | |
| 总体要求 | 密码算法、密码技术、密码产品和密码服务 | 作为通用要求提出,密码产品和服务应符合法律法规的相关要求。 | 增加通用要求 |
| 密码功能要求 | 机密性(4)、完整性(11)、真实性(6)和不可否认性(实体行为)应用场景和保护对象 | 技术框架,提出4个技术要求,4个管理要求。具体要求维度,按照机密性(4)、完整性(10,删除可信计算技术建立从系统到应用的信任链)、真实性(6,修改可信计算技术的平台身份鉴别)和不可否认性(数据原发和接收行为)。具体4个密码应用管理维度(管理制度、人员管理、建设运行和应急处置)。 要求等级描述(第1-5级),不同等级密码应用基本要求简表附录A。 |
删除可信计算技术相关,增加要求等级描述 |
| 技术要求 | 按照4个安全层面(总则、等级保护第1级-第四级)展开。 指标要求: (a)物理和环境安全-身份鉴别(可宜应应)、电子门禁记录数据完整性(可宜应应)、视频记录数据完整性(--应应) (b)网络和通信安全-身份鉴别(可宜应应)、通信数据完整性(可可宜应)、通信数据机密性(可宜应应)、访问控制信息完整性(可宜应应)、集中管理通道安全(--应应) (c)设备和计算安全-身份鉴别(可宜应应)、访问控制信息完整性(可宜应应)、敏感标记完整性(可宜应应)、日志记录完整性(可宜应应)、远程管理身份鉴别信息机密性(-宜应应)、重要程序或文件完整性(--应应) (d)应用和数据安全-身份鉴别(可宜应应)、访问控制(可宜应应)、数据传输安全(可宜应应)、数据存储安全(可宜应应)、日志记录完整性(可宜应应)、重要应用程序的加载和卸载(--应应)、抗抵赖(---应) |
将4个安全层面中的总则合并成通用要求。 按照第1级到4级展开,每个等级包括4个安全层面。 指标体系: (a)物理和环境安全-身份鉴别(可宜宜应)、电子门禁记录数据存储完整性(可可宜应)、视频监控记录数据存储完整性(--宜应) (b)网络和通信安全-身份鉴别(可宜应应)、通信数据完整性(可可宜应)、重要数据机密的机密性(可宜应应)、网络边界访问控制信息的完整性(可可宜应)、安全接入认证(--可宜) (c)设备和计算安全-算法鉴别(可宜应应)、远程管理通道安全(--应应)、系统资源控制信息完整性(可可宜应)、重要信息资源安全标记完整性(--宜应)、日志记录完整性(可可宜应)、重要可执行程序完整性和来源真实性(--宜应) (d)应用和数据安全-身份鉴别(可宜应应)、访问控制信息完整性(可可宜应)、重要信息资源安全标记完整性(--宜应)、重要数据传输机密性(可宜应应)、重要数据存储机密性(可宜应应)、重要数据传输完整性(可宜宜应)、重要数据存储完整性(可宜宜应)、不可否认性(--宜应) |
整体结构变化,从1-4等级维度展开。适当降低部分指标的要求(2、3等级),更新部分测评指标。 |
| 密钥管理 | 密钥管理按照信息系统第1-4级分别要求,包括密钥生成、密码存储、密钥分发、密钥导入和导出、密钥使用、密钥备份和恢复、密钥归档、密钥销毁。 | 附录B 密钥生存周期管理 | 不再按照系统等级来分别要求密钥管理过程,而是通过密码产品安全等级要求保证密码管理安全。 |
| 安全管理 | 安全管理 (a)制度-制定密码安全管理制度(可宜应应)、定期修改安全管理制度(可宜应应)、明确管理制度发布流程(-宜应应)、制度执行过程记录留存(---应) (b)人员-了解并遵守密码相关法律法规(应应应应)、正确使用密码相关产品(应应应应)、建立岗位责任及人员培训制度(-应应应)、建立关键岗位人员保密制度和调离制度(-应应应)、设置密码管理和技术岗位并定期考核(--应应)、背景调查(---应) (c)规划(可宜应应)、建设(可宜应应)、运行(可宜应应) (d)应急预案(-应应应)、事件处置(可应应应)、向有关主管部门上报处置情况(--应应) |
管理要求 (a)管理制度-具备密码应用安全管理制度(应应应应)、密钥管理规则(应应应应)、建立操作规程(-应应应)、定期修改安全管理制度(--应应)、明确管理制度发布流程(--应应)、制度执行过程记录留存(--应应) (b)人员管理-了解并遵守密码相关法律法规和密码管理制度(应应应应)、建立密码应用岗位责任制度(-应应应)、建立上岗人员培训制度(-应应应)、定期进行安全岗位人员考核(--应应)、建立关键岗位人员保密制度和调离制度(应应应应) (c)制定密码应用方案(应应应应)、制定密钥安全管理策略(应应应应)、制定实施方案(应应应应)、投入运行前进行密码应用安全性评估(可宜应应)、定期开展密码应用安全性评估及攻防对抗演习(--应应)文章来源:https://www.toymoban.com/news/detail-438383.html (d)应急策略(可应应应)、事件处置(--应应)、向有关主管部门上报处置情况(--应应)文章来源地址https://www.toymoban.com/news/detail-438383.html |
增加一些指标,提高部分指标要求。在管理要求中强调了密钥管理的内容。 |
| 附录A | 安全要求对照表 | 不同级别密码应用基本要求汇总列表 | 技术要求中通用要求统一(包括密码服务和密码产品),密钥管理不再单独作为指标,在GMT0115-2021中将密钥管理作为通用要求,不单独判定符合性。 |
| 附录B | 密码行业标准列表 | 密钥生存周期管理 | 只是给出密钥生存周期管理各环节的管理建议。 |
到了这里,关于信息系统密码应用基本要求|国标GBT39786-2021与行标GMT0054-2018对比的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
