密評標(biāo)準(zhǔn)升級了哪些內(nèi)容
【時(shí)間】2021-04-30
【編輯】Admin
【瀏覽量】
【等級保護(hù)QQ交流群】881590869
2021年3月9日,《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》(GB/T 39786-2021)(以下簡稱GB39786)正式發(fā)布,于2021年10月1日起實(shí)施。GB39786為《信息系統(tǒng)密碼應(yīng)用基本要求》(GM/T 0054-2018)(以下簡稱0054)標(biāo)準(zhǔn)的國標(biāo)升級版,標(biāo)準(zhǔn)內(nèi)容更加規(guī)范,要求更加明確,邏輯更加清晰,同時(shí)對于密評實(shí)際執(zhí)行過程中遇到的問題也做了相應(yīng)的修訂,使得密評工作能夠更加有序、快速的加以推進(jìn)。本文主要針對等保三級信息系統(tǒng)的密碼應(yīng)用基本要求進(jìn)行分析。首先第三級中采用的密碼產(chǎn)品,具有商用密碼產(chǎn)品認(rèn)證證書是基礎(chǔ)條件,同時(shí)相比之前0054中的安全要求,GB39786中要求達(dá)到《信息安全技術(shù) 密碼模塊技術(shù)要求》(GB/T 37092-2018)二級及以上安全要求即可。其次第三級中的密碼應(yīng)用基本要求主要包括:通用要求、對真實(shí)性和機(jī)密性的技術(shù)要求、管理要求。通用要求就是密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)的合規(guī)性要求。管理要求由管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置等四個(gè)密碼應(yīng)用管理維度構(gòu)成。技術(shù)要求還是從物理和環(huán)境安全、網(wǎng)絡(luò)和通訊安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全四個(gè)層面提出。物理和環(huán)境安全中,第三級的要求從之前的“應(yīng)”全部改為了“宜”,該部分內(nèi)容可以根據(jù)實(shí)際情況在密碼改造方案中暫不涉及。網(wǎng)絡(luò)和通訊安全中,第三級“應(yīng)”的要求包括兩項(xiàng)內(nèi)容:對通信實(shí)體進(jìn)行身份鑒別,保證通信實(shí)體身份的真實(shí)性;保證通信過程中重要數(shù)據(jù)的機(jī)密性。針對身份鑒別和重要數(shù)據(jù)的機(jī)密性保護(hù),海泰方圓有完善的瀏覽器+SSL VPN密碼改造方案。設(shè)備和計(jì)算安全中,第三級“應(yīng)”的要求包括兩項(xiàng)內(nèi)容:對登錄設(shè)備的用戶進(jìn)行身份鑒別,保證用戶身份的真實(shí)性;遠(yuǎn)程管理設(shè)備時(shí),建立安全的信息傳輸通道。針對身份鑒別,海泰方圓有完善的通過數(shù)字證書、動(dòng)態(tài)口令等實(shí)現(xiàn)的密碼改造方案;針對安全通道的建立,海泰方圓有完善的國密通信中間件密碼改造方案。應(yīng)用和數(shù)據(jù)安全中,第三級“應(yīng)”的要求包括三項(xiàng)內(nèi)容:對登錄用戶進(jìn)行身份鑒別,保證應(yīng)用系統(tǒng)用戶身份的真實(shí)性;保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在傳輸過程中的機(jī)密性;保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲(chǔ)過程中的機(jī)密性。針對身份鑒別,可以采用設(shè)備和計(jì)算安全中相同的密碼改造方案;針對傳輸過程的數(shù)據(jù)機(jī)密性保護(hù),可以采用網(wǎng)絡(luò)和通訊中相同的密碼改造方案實(shí)現(xiàn)信道級數(shù)據(jù)的機(jī)密性保護(hù),也可以采用海泰方圓的數(shù)據(jù)加解密服務(wù)實(shí)現(xiàn)信源級數(shù)據(jù)的機(jī)密性保護(hù);針對存儲(chǔ)過程的數(shù)據(jù)機(jī)密性保護(hù),海泰方圓有完善的數(shù)據(jù)加解密密碼改造方案。