信息系统密码应用基本要求|国标GBT39786-2021与行标GMT0054-2018对比

这篇具有很好参考价值的文章主要介绍了信息系统密码应用基本要求|国标GBT39786-2021与行标GMT0054-2018对比。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

        根据2021年3月9日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2021年第3号),全国信息安全标准化技术委员会归口的GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》国家标准(以下简称国标)正式发布,并于2021年10月1日起实施 。

        与行标GMT0054-2018相比,国标将在全国范围多行业内适用,且其他各级标准不得与国标相抵触,GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》将成为未来很长时间信息系统安全标准体系中的主体。

        要注意的是2017年我国修订了标准化法,“在公布国家标准之后,该项行业标准即行废止”的叙述已删除。国家标准发布实施之后,行业标准、团体标准与国标不符的,分为两种情况:与强制性国标冲突的条文,自动作废;与推荐性国家标准冲突的,未公布作废的行业标准、团体标准仍可选择性执行。简单来说,行业标准和国家标准是并行的,如果发生冲突则以国家标准为准。

        在GBT39786-2021之后,一系列标准和文件均以该标准为基础,包括:

        (1)GMT0115-2021 信息系统密码应用测评要求

        (2)GMT0116-2021 信息系统密码应用测评过程指南

        (3)信息系统密码应用高风险判定指引

        (4)商用密码应用安全性评估量化评估规则

        (5)商用密码应用安全性评估报告模板(2023版)

        (6)商用密码应用安全性评估 FAQ (第二版)

        具体内容上对比国标和行标的具体异同。

结构 GMT0054-2018 GBT39786-2021 差异分析
引言 对“密码技术”、“密码”和“可、宜、应”定义解释。
范围

标准规定信息系统商用密码应用的基本要求。

适用范围用于指导、规范和评估信息系统中的商用密码应用。

规定信息系统第一级到第四级4个技术层面和4个管理层面要求。(说明第五级)

在本标准基础之上,各领域与行业可结合本领域与行业的密码应用需求来指导,规范信息系统密码应用。

增加信息系统等级(1-5级)
规范性引用文件

GMT0005 随机性检测规范

GMT0028密码模块安全技术要求

GMT0036采用接触卡的门禁系统密码应用技术指南

GMZ4001-2013密码术语

GBT37092密码模块安全要求
术语和定义 14个术语定义 去掉解密、密码算法和数字签名
微缩语 MAC
总体要求 密码算法、密码技术、密码产品和密码服务 作为通用要求提出,密码产品和服务应符合法律法规的相关要求。 增加通用要求
密码功能要求 机密性(4)、完整性(11)、真实性(6)和不可否认性(实体行为)应用场景和保护对象

技术框架,提出4个技术要求,4个管理要求。具体要求维度,按照机密性(4)、完整性(10,删除可信计算技术建立从系统到应用的信任链)、真实性(6,修改可信计算技术的平台身份鉴别)和不可否认性(数据原发和接收行为)。具体4个密码应用管理维度(管理制度、人员管理、建设运行和应急处置)。

要求等级描述(第1-5级),不同等级密码应用基本要求简表附录A。

删除可信计算技术相关,增加要求等级描述
技术要求

按照4个安全层面(总则、等级保护第1级-第四级)展开。

指标要求:

(a)物理和环境安全-身份鉴别(可宜应)、电子门禁记录数据完整性(可宜应应)、视频记录数据完整性(--应)

(b)网络和通信安全-身份鉴别(可宜应应)、通信数据完整性(可可宜应)、通信数据机密性(可宜应应)、访问控制信息完整性(可宜应应)、集中管理通道安全(--应应)

(c)设备和计算安全-身份鉴别(可宜应应)、访问控制信息完整性(可宜应应)、敏感标记完整性(可宜应应)、日志记录完整性(可宜应应)、远程管理身份鉴别信息机密性(-宜应应)重要程序或文件完整性(--应应)

(d)应用和数据安全-身份鉴别(可宜应应)、访问控制(可宜应应)、数据传输安全(可宜应应)、数据存储安全(可宜应应)、日志记录完整性(可宜应应)、重要应用程序的加载和卸载(--应应)、抗抵赖(---应)

将4个安全层面中的总则合并成通用要求。

按照第1级到4级展开,每个等级包括4个安全层面。

指标体系:

(a)物理和环境安全-身份鉴别(可宜宜应)、电子门禁记录数据存储完整性(可可宜应)、视频监控记录数据存储完整性(--宜应)

(b)网络和通信安全-身份鉴别(可宜应应)、通信数据完整性(可可宜应)、重要数据机密的机密性(可宜应应)、网络边界访问控制信息的完整性(可可宜应)、安全接入认证(--可宜)

(c)设备和计算安全-算法鉴别(可宜应应)、远程管理通道安全(--应应)、系统资源控制信息完整性(可可宜应)、重要信息资源安全标记完整性(--宜应)、日志记录完整性(可可宜应)、重要可执行程序完整性和来源真实性(--宜应)

(d)应用和数据安全-身份鉴别(可宜应应)、访问控制信息完整性(可可宜应)、重要信息资源安全标记完整性(--宜应)、重要数据传输机密性(可宜应应)、重要数据存储机密性(可宜应应)、重要数据传输完整性(可宜宜应)、重要数据存储完整性(可宜宜应)、不可否认性(--宜应)

整体结构变化,从1-4等级维度展开。适当降低部分指标的要求(2、3等级),更新部分测评指标。
密钥管理 密钥管理按照信息系统第1-4级分别要求,包括密钥生成、密码存储、密钥分发、密钥导入和导出、密钥使用、密钥备份和恢复、密钥归档、密钥销毁。 附录B 密钥生存周期管理 不再按照系统等级来分别要求密钥管理过程,而是通过密码产品安全等级要求保证密码管理安全。
安全管理

安全管理

(a)制度-制定密码安全管理制度(可宜应应)、定期修改安全管理制度(可宜应应)、明确管理制度发布流程(-宜应应)、制度执行过程记录留存(---应)

(b)人员-了解并遵守密码相关法律法规(应应应应)、正确使用密码相关产品(应应应应)、建立岗位责任及人员培训制度(-应应应)、建立关键岗位人员保密制度和调离制度(-应应应)、设置密码管理和技术岗位并定期考核(--应应)、背景调查(---应)

(c)规划(可宜应应)、建设(可宜应应)、运行(可宜应应)

(d)应急预案(-应应应)、事件处置(可应应应)、向有关主管部门上报处置情况(--应应)

管理要求

(a)管理制度-具备密码应用安全管理制度(应应应应)、密钥管理规则(应应应应)、建立操作规程(-应应应)、定期修改安全管理制度(--应应)、明确管理制度发布流程(--应应)、制度执行过程记录留存(--应应)

(b)人员管理-了解并遵守密码相关法律法规和密码管理制度(应应应应)、建立密码应用岗位责任制度(-应应应)、建立上岗人员培训制度(-应应应)、定期进行安全岗位人员考核(--应应)、建立关键岗位人员保密制度和调离制度(应应应应)

(c)制定密码应用方案(应应应应)、制定密钥安全管理策略(应应应应)、制定实施方案(应应应应)、投入运行前进行密码应用安全性评估(可宜应应)、定期开展密码应用安全性评估及攻防对抗演习(--应应)

(d)应急策略(可应应应)、事件处置(--应应)、向有关主管部门上报处置情况(--应应)文章来源地址https://www.toymoban.com/news/detail-438383.html

增加一些指标,提高部分指标要求。在管理要求中强调了密钥管理的内容。
附录A 安全要求对照表 不同级别密码应用基本要求汇总列表 技术要求中通用要求统一(包括密码服务和密码产品),密钥管理不再单独作为指标,在GMT0115-2021中将密钥管理作为通用要求,不单独判定符合性。
附录B 密码行业标准列表 密钥生存周期管理 只是给出密钥生存周期管理各环节的管理建议。

到了这里,关于信息系统密码应用基本要求|国标GBT39786-2021与行标GMT0054-2018对比的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 《信息系统密码应用测评过程指南-GM/T 0116》--学习笔记

    a) 客观公正性原则 测评实施过程中, 测评方应保证在符合国家密码管理部门要求及最小主观判断情形下, 按照与被测 单位共同认可的密评方案, 基于明确定义的测评方式和解释, 实施测评活动。 b) 可重用性原则 测评工作可重用已有测评结果, 包括商用密码检测认证结果

    2024年02月15日
    浏览(38)
  • 商用密码应用与安全性评估要点笔记(密评技术测评要求)

    4.4 密码应用技术测评要求 词条 内容 层面 物理和环境安全(包含3个测评单元) 单元-1 身份鉴别(1-4级) 测评指标:采用密码技术进行物理访问身份鉴别,保证重点区域进入人员身份真实性 测评对象:信息系统所在机房等重要区域及其电子门禁系统 测评实施:算法、技术、

    2024年02月04日
    浏览(69)
  • 商用密码应用与安全性评估要点笔记(密评管理测评要求、测评过程指南)

    4.5 密评管理测评要求 词条 内容 层面 管理制度(包括6个测评单元) 单元-1 具备密码应用安全管理制度(1-4级) 测评指标:具备密码应用安全管理制度,包括人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度 测评对象:安全管理制度类文档 测评实施

    2024年02月01日
    浏览(50)
  • 安全监测传感器在大坝应用中的基本要求

    水库是兴水利、除水害的基础设施。然而,随着运行使用年限的增加,许多水库的工程设施都出现了老化和损坏的现象,这严重影响了水库的安全运行和经济效益的发挥,同时也对水库下游的人民群众的生命和财产产生威胁。为了解决水库面临的这些问题,国家要求“十四五

    2024年02月09日
    浏览(46)
  • web系统设计安全性基本要求

    身份鉴别 独立的登录模块:为社会用户和平台运营管理用户提供独立的登录地址、登录界面和身份认证模块,通过防火墙等设备严格限制能够登录WEB应用的用户地址、身份; 双因素认证: 平台运营管理人员:采用用户名/口令+数字证书方式进行身份鉴别; 商户:采用用户名

    2024年01月24日
    浏览(51)
  • 人工智能在信息系统安全中的运用(3),美团网络安全开发工程师岗位职能要求

    图.上下文分析 由于编纂什么行为可以是“正常”的行为是很复杂的,因此 ML (机器学习)模型通过查看历史活动和在对等组中进行比较来为每个用户构建基线。它是如何工作的?在检测到任何异常事件的情况下,评分机制聚集它们以为每个用户提供组合的风险得分。 具有较

    2024年04月14日
    浏览(54)
  • 有关信息化项目建设的的国标

    1.1.1 信息技术服务 (1)GB/T 34960.5-2018《信息技术服务 治理 第5部分:数据治理规范》。GB/T 34960的本部分提出了数据治理的总则和框架,规定了数据治理的顶层设计、数据治理环境、数据治理域及数据治理过程的要求。本部分适用于:a)数据治理现状自我评估,数据治理体

    2024年02月06日
    浏览(52)
  • 国标GB/T 25000.51-2016-信息安全性方法解读及重点分析

    在软件检测领域,GB/T 25000.51-2016 《系统与软件工程 系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》算得上是目前国内对就绪可用软件产品较多参照的软件检测标准,而其中对于软件的信息安全性也做了相关的要求,为测试工

    2024年02月09日
    浏览(40)
  • 学生基本信息管理系统

    目录 一、选题与前期调查 1.选题 2.前期调查 二、人员分工 三、项目描述 1.项目简介 2.项目技术 3.功能需求分析 4.系统细节 四、系统功能运行结果截图展示 五、关键代码 六、使用git管理代码 七、遇到的困难 1.选题 学生基本信息管理系统(2人)等级:C- 功能要求: 1、添加学生

    2024年01月16日
    浏览(123)
  • Win10输入密码不满足密码策略要求的解决方法

    在 Win10 电脑中用户输入密码的时候,收到了不满足密码策略要求的提示,导致用户不能成功设置密码。用户先打开Win10系统的组策略编辑器,点击关闭密码必须符合复杂性要求功能保存即可。以下小编将分享Win10密码不符合策略要求的解决方法步骤,解决后用户随意输入密码

    2024年01月17日
    浏览(120)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包