信息系统密码应用基本要求|国标GBT39786-2021与行标GMT0054-2018对比

        根据2021年3月9日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2021年第3号),全国信息安全标准化技术委员会归口的GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》国家标准(以下简称国标)正式发布,并于2021年10月1日起实施 。

        与行标GMT0054-2018相比,国标将在全国范围多行业内适用,且其他各级标准不得与国标相抵触,GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》将成为未来很长时间信息系统安全标准体系中的主体。

        要注意的是2017年我国修订了标准化法,“在公布国家标准之后,该项行业标准即行废止”的叙述已删除。国家标准发布实施之后,行业标准、团体标准与国标不符的,分为两种情况:与强制性国标冲突的条文,自动作废;与推荐性国家标准冲突的,未公布作废的行业标准、团体标准仍可选择性执行。简单来说,行业标准和国家标准是并行的,如果发生冲突则以国家标准为准。

        在GBT39786-2021之后,一系列标准和文件均以该标准为基础,包括:

        (1)GMT0115-2021 信息系统密码应用测评要求

        (2)GMT0116-2021 信息系统密码应用测评过程指南

        (3)信息系统密码应用高风险判定指引

        (4)商用密码应用安全性评估量化评估规则

        (5)商用密码应用安全性评估报告模板(2023版)

        (6)商用密码应用安全性评估 FAQ (第二版)

        具体内容上对比国标和行标的具体异同。

结构 GMT0054-2018 GBT39786-2021 差异分析
引言 对“密码技术”、“密码”和“可、宜、应”定义解释。
范围

标准规定信息系统商用密码应用的基本要求。

适用范围用于指导、规范和评估信息系统中的商用密码应用。

规定信息系统第一级到第四级4个技术层面和4个管理层面要求。(说明第五级)

在本标准基础之上,各领域与行业可结合本领域与行业的密码应用需求来指导,规范信息系统密码应用。

增加信息系统等级(1-5级)
规范性引用文件

GMT0005 随机性检测规范

GMT0028密码模块安全技术要求

GMT0036采用接触卡的门禁系统密码应用技术指南

GMZ4001-2013密码术语

GBT37092密码模块安全要求
术语和定义 14个术语定义 去掉解密、密码算法和数字签名
微缩语 MAC
总体要求 密码算法、密码技术、密码产品和密码服务 作为通用要求提出,密码产品和服务应符合法律法规的相关要求。 增加通用要求
密码功能要求 机密性(4)、完整性(11)、真实性(6)和不可否认性(实体行为)应用场景和保护对象

技术框架,提出4个技术要求,4个管理要求。具体要求维度,按照机密性(4)、完整性(10,删除可信计算技术建立从系统到应用的信任链)、真实性(6,修改可信计算技术的平台身份鉴别)和不可否认性(数据原发和接收行为)。具体4个密码应用管理维度(管理制度、人员管理、建设运行和应急处置)。

要求等级描述(第1-5级),不同等级密码应用基本要求简表附录A。

删除可信计算技术相关,增加要求等级描述
技术要求

按照4个安全层面(总则、等级保护第1级-第四级)展开。

指标要求:

(a)物理和环境安全-身份鉴别(可宜应)、电子门禁记录数据完整性(可宜应应)、视频记录数据完整性(--应)

(b)网络和通信安全-身份鉴别(可宜应应)、通信数据完整性(可可宜应)、通信数据机密性(可宜应应)、访问控制信息完整性(可宜应应)、集中管理通道安全(--应应)

(c)设备和计算安全-身份鉴别(可宜应应)、访问控制信息完整性(可宜应应)、敏感标记完整性(可宜应应)、日志记录完整性(可宜应应)、远程管理身份鉴别信息机密性(-宜应应)重要程序或文件完整性(--应应)

(d)应用和数据安全-身份鉴别(可宜应应)、访问控制(可宜应应)、数据传输安全(可宜应应)、数据存储安全(可宜应应)、日志记录完整性(可宜应应)、重要应用程序的加载和卸载(--应应)、抗抵赖(---应)

将4个安全层面中的总则合并成通用要求。

按照第1级到4级展开,每个等级包括4个安全层面。

指标体系:

(a)物理和环境安全-身份鉴别(可宜宜应)、电子门禁记录数据存储完整性(可可宜应)、视频监控记录数据存储完整性(--宜应)

(b)网络和通信安全-身份鉴别(可宜应应)、通信数据完整性(可可宜应)、重要数据机密的机密性(可宜应应)、网络边界访问控制信息的完整性(可可宜应)、安全接入认证(--可宜)

(c)设备和计算安全-算法鉴别(可宜应应)、远程管理通道安全(--应应)、系统资源控制信息完整性(可可宜应)、重要信息资源安全标记完整性(--宜应)、日志记录完整性(可可宜应)、重要可执行程序完整性和来源真实性(--宜应)

(d)应用和数据安全-身份鉴别(可宜应应)、访问控制信息完整性(可可宜应)、重要信息资源安全标记完整性(--宜应)、重要数据传输机密性(可宜应应)、重要数据存储机密性(可宜应应)、重要数据传输完整性(可宜宜应)、重要数据存储完整性(可宜宜应)、不可否认性(--宜应)

整体结构变化,从1-4等级维度展开。适当降低部分指标的要求(2、3等级),更新部分测评指标。
密钥管理 密钥管理按照信息系统第1-4级分别要求,包括密钥生成、密码存储、密钥分发、密钥导入和导出、密钥使用、密钥备份和恢复、密钥归档、密钥销毁。 附录B 密钥生存周期管理 不再按照系统等级来分别要求密钥管理过程,而是通过密码产品安全等级要求保证密码管理安全。
安全管理

安全管理

(a)制度-制定密码安全管理制度(可宜应应)、定期修改安全管理制度(可宜应应)、明确管理制度发布流程(-宜应应)、制度执行过程记录留存(---应)

(b)人员-了解并遵守密码相关法律法规(应应应应)、正确使用密码相关产品(应应应应)、建立岗位责任及人员培训制度(-应应应)、建立关键岗位人员保密制度和调离制度(-应应应)、设置密码管理和技术岗位并定期考核(--应应)、背景调查(---应)

(c)规划(可宜应应)、建设(可宜应应)、运行(可宜应应)

(d)应急预案(-应应应)、事件处置(可应应应)、向有关主管部门上报处置情况(--应应)

管理要求

(a)管理制度-具备密码应用安全管理制度(应应应应)、密钥管理规则(应应应应)、建立操作规程(-应应应)、定期修改安全管理制度(--应应)、明确管理制度发布流程(--应应)、制度执行过程记录留存(--应应)

(b)人员管理-了解并遵守密码相关法律法规和密码管理制度(应应应应)、建立密码应用岗位责任制度(-应应应)、建立上岗人员培训制度(-应应应)、定期进行安全岗位人员考核(--应应)、建立关键岗位人员保密制度和调离制度(应应应应)

(c)制定密码应用方案(应应应应)、制定密钥安全管理策略(应应应应)、制定实施方案(应应应应)、投入运行前进行密码应用安全性评估(可宜应应)、定期开展密码应用安全性评估及攻防对抗演习(--应应)

(d)应急策略(可应应应)、事件处置(--应应)、向有关主管部门上报处置情况(--应应)

增加一些指标,提高部分指标要求。在管理要求中强调了密钥管理的内容。
附录A 安全要求对照表 不同级别密码应用基本要求汇总列表 技术要求中通用要求统一(包括密码服务和密码产品),密钥管理不再单独作为指标,在GMT0115-2021中将密钥管理作为通用要求,不单独判定符合性。
附录B 密码行业标准列表 密钥生存周期管理 只是给出密钥生存周期管理各环节的管理建议。

你可能感兴趣的:(国密标准,密码应用安全性评估,安全,密码学,网络安全,系统安全,安全威胁分析)