亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

國家標(biāo)準(zhǔn)《信息系統(tǒng)密碼應(yīng)用基本要求》密評(píng)要點(diǎn)

國家標(biāo)準(zhǔn)

3月9日,國家市場監(jiān)管總局、國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布公告,正式發(fā)布國家標(biāo)準(zhǔn)GB/T39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》(下稱《基本要求》),將于2021年10月1日起實(shí)施。這是貫徹落實(shí)《中華人民共和國密碼法》,指導(dǎo)商用密碼應(yīng)用與安全性評(píng)估工作的一項(xiàng)基礎(chǔ)性標(biāo)準(zhǔn),對(duì)于規(guī)范和引導(dǎo)信息系統(tǒng)合規(guī)、正確、有效應(yīng)用密碼,切實(shí)維護(hù)國家網(wǎng)絡(luò)空間與信息安全具有重要意義。

2018年,國家密碼管理局發(fā)布實(shí)施了密碼行業(yè)標(biāo)準(zhǔn)的密碼應(yīng)用基本要求(下稱“行標(biāo)”)。與行標(biāo)相比,《基本要求》結(jié)合近年來國內(nèi)商用密碼應(yīng)用與安全性評(píng)估工作實(shí)踐對(duì)部分內(nèi)容進(jìn)行了優(yōu)化、調(diào)整,和現(xiàn)有的網(wǎng)絡(luò)安全等級(jí)保護(hù)相呼應(yīng),《基本要求》同樣對(duì)信息系統(tǒng)密碼應(yīng)用劃分為自低向高的五個(gè)等級(jí),提出密碼保障能力逐級(jí)增強(qiáng)的要求。網(wǎng)絡(luò)和信息系統(tǒng)管理部門按照業(yè)務(wù)實(shí)際情況選擇相應(yīng)級(jí)別的密碼保障技術(shù)能力及管理能力。

總體上《基本要求》從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全等四個(gè)層面提出了密碼應(yīng)用技術(shù)要求,保障信息系統(tǒng)的實(shí)體身份真實(shí)性、重要數(shù)據(jù)的機(jī)密性/完整性、操作行為的不可否認(rèn)性,并從管理制度、人員管理、建設(shè)運(yùn)行、應(yīng)急處置等四方面整體提出密碼應(yīng)用管理要求,以提供管理方面的密碼應(yīng)用安全保障。從而對(duì)安全性評(píng)估產(chǎn)生積極的指導(dǎo)作用。

《基本要求》總體而言有以下看點(diǎn),在密碼應(yīng)用安全性評(píng)估的角度值得關(guān)注(細(xì)微語句增刪或語序調(diào)整不在此處列舉):

1、數(shù)量精簡,內(nèi)容優(yōu)化合理

各級(jí)基本要求的數(shù)量上比行標(biāo)有所精簡,優(yōu)化調(diào)整了內(nèi)容,更為合理。

 2、應(yīng)用技術(shù)框架更為完善

行標(biāo)的密碼功能要求(機(jī)密性、完整性等)、管理要求,在《基本要求》更科學(xué)的搭建成密碼應(yīng)用技術(shù)框架,進(jìn)行總體概括。

 3、第三方密碼服務(wù)機(jī)構(gòu)服務(wù)范圍擴(kuò)大

行標(biāo)的密碼服務(wù)單純是第三方CA服務(wù);而在《基本要求》中則擴(kuò)展到物理、網(wǎng)絡(luò)等不同層面均可使用第三方提供的密碼服務(wù),但“應(yīng)經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證合格”。

 4、密碼管理力度進(jìn)一步強(qiáng)化

行標(biāo)中獨(dú)立的密鑰管理部分,在《基本要求》中則是分別在管理制度、人員管理和建設(shè)運(yùn)行等層面具體要求,并沒有降低或削弱控制力度。另外,《基本要求》在附件單獨(dú)形成“密鑰生存周期管理”,方便管理部門根據(jù)需求編制密碼管理制度。

5、強(qiáng)化控制力度放寬技術(shù)要求

在以往的評(píng)估工作實(shí)踐中對(duì)終端的密碼模塊/產(chǎn)品要求爭議較大的,《基本要求》進(jìn)行優(yōu)化,強(qiáng)化控制力度放寬技術(shù)要求,使評(píng)估結(jié)果更貼近實(shí)際。

對(duì)比

要了解關(guān)于密碼模塊這個(gè)較大的調(diào)整,先看下面的簡表進(jìn)行對(duì)比:

國家標(biāo)準(zhǔn)《信息系統(tǒng)密碼應(yīng)用基本要求》密評(píng)要點(diǎn)

由上表可以看出,《基本要求》選用密碼模塊安全要求的2018年國標(biāo)版;控制力度統(tǒng)一加強(qiáng)為“應(yīng)采用”;而對(duì)產(chǎn)品選型影響較大的產(chǎn)品安全級(jí)別,則放寬為最高要求三級(jí)模塊,更貼近目前技術(shù)發(fā)展現(xiàn)狀,也更有利于具體項(xiàng)目落地。 

密碼技術(shù)是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐,《密碼法》及相關(guān)法律法規(guī)明確了商用密碼應(yīng)用與安全性評(píng)估的法定要求。此次密碼應(yīng)用行業(yè)標(biāo)準(zhǔn)經(jīng)修改完善后上升為國家標(biāo)準(zhǔn),進(jìn)一步突出了其在商用密碼應(yīng)用標(biāo)準(zhǔn)體系中的基礎(chǔ)性地位?!痘疽蟆烦蔀榻窈竺艽a工作的重要抓手,必將更好的引領(lǐng)我國商用密碼應(yīng)用建設(shè)及安全性評(píng)估走上快車道。

競遠(yuǎn)安全構(gòu)筑安全測(cè)評(píng)、安全測(cè)咨詢、安全保障三位一體服務(wù)體系,為各行業(yè)提供一站式的商用密碼應(yīng)用安全性評(píng)估整體服務(wù)解決方案。作為國家密碼管理局核準(zhǔn)認(rèn)可的第二批商用密碼應(yīng)用安全性評(píng)估試點(diǎn)機(jī)構(gòu),我們致力于推進(jìn)商用密碼應(yīng)用產(chǎn)業(yè)發(fā)展,提高各單位商用密碼應(yīng)用水平,致力于構(gòu)建具有中國特色的網(wǎng)絡(luò)空間密碼應(yīng)用安全防護(hù)體系。同時(shí),我們履行廣東省商用密碼協(xié)會(huì)副會(huì)長單位的職能,以專業(yè)可靠的服務(wù)精神,充分發(fā)揮創(chuàng)新引領(lǐng)作用,積極開拓市場,為會(huì)員和各行業(yè)提供更有價(jià)值的服務(wù)與支持。

規(guī)范引用及對(duì)照:

GM/T0024-2014

《信息安全技術(shù) 密碼模塊安全要求》

GM/T0054-2018

《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》

GB/T37092-2018

《信息安全技術(shù) 密碼模塊安全要求》

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)