密码技术是保障网络与信息安全的核心技术和基础支撑,《密码法》及相关法律法规明确了商用密码应用与安全性评估的法定要求。在密码应用迅速普及的同时,各行业也纷纷出台了相关标准、要求,将密码工作作为重点,开展“过密评”的相关工作。

2021年3月,国家市场监管总局、国家标准化管理委员会发布公告,国家密码应用与安全性评估的关键标准GB/T39786—2021《信息安全技术信息系统密码应用基本要求》(以下简称“GB/T39786”)正式发布,GB/T 39786是贯彻落实《中华人民共和国密码法》、指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准,对于规范引导信息系统密码合规、正确、有效应用具有重要意义。

1. 开端与发展

2018年,为指导当时即将启动的商用密码应用安全性评估试点工作,国家密码管理局发布了密码行业标准GM/T 0054-2018《信息系统密码应用基本要求》。该标准制定以来,充分验证了“GM/T 0054-2018”的科学性和可行性,也为GB/T 39786的制订带来了丰富的实践经验。

2021年3月, GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》正式发布。“GB/T 39786-2021”在“GM/T 0054-2018”的基础上进一步修改完善,制订发布为国家标准,其完备性、合理性、可操作性都得到了进一步提升,突出了其在商用密码应用标准体系中的基础性地位。

2. 更迭与演变

主要变化1:与等保2.0的衔接

密码应用基本要求框架也参照等保,按等级要求逐级增强提出了密码应用要求, 针对等保2.0,做了对应衔接。

如等保2.0有如下要求:

✔ 8.14.7 b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

✔ 8.14.8 b) 应采用教研技术保证争议数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

本标准三级中要求:

✔应采用密码技术保证信息系统应用的重要数据传输的机密性。

✔应采用密码技术保证信息系统应用的重要数据传输的完整性。

✔应采用密码技术保证信息系统应用的重要数据存储的机密性。

✔应采用密码技术保证信息系统应用的重要数据存储的完整性。

主要变化2:增加技术框架

✔ 密码应用技术要求维度:

技术要求主要由机密性、完整性、真实性、不可否认性四个密码安全功能维度构成(原0054密码为功能要求)。

✔ 密码应用管理要求维度:

密码应用管理要求是基于信息系统密码应用管理要求层面、信息系统密码应用管理组织要求层面,考虑制度建设、人员管理、建设运行、应急处置的制度流程及执行情况。

✔ 密码应用能力等级定义:

信息系统密码应用安全具有自低向高逐级增强的四个要求等级,依次为起始级、发展级、稳建级、成熟级,并用一、二、三、四表示,要求等级的定义如下:

✔ 等级1-起始级:是指具备随机、无序、自主的密码应用安全能力水平。

✔ 等级2-发展级:是指具备主动、非体系化的密码应用安全执行能力水平。

✔ 等级3-稳建级:是指具备正式的、规范的、密码应用安全执行能力水平。

✔ 等级4-成熟级:是指具备正式的、规范的、主动防御、密码应用安全执行能力水平。

主要变化3:“应、宜、可”的解释

“应”:表示应该、要求,是要求型描述,表明符合标准满足的要求。

“宜”:表示推荐、建议,是推荐型描述,表示该条款是首选但不是必须要求。

“可”:表示可以、允许,是陈述型描述,表示在标准的界限内所允许的条款。

3. 分析与解读

从行标到国标的演进,侧面印证了密码应用逐步从部分行业拓展到各行各业,从少数应用延伸到越来越多的应用……密码技术作为网络安全的基础核心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技术。GB/T39786是贯彻落实《中华人民共和国密码法》,指导商用密码应用与安全性评估工作的一项基础性标准,对于规范和引导信息系统合规、正确、有效应用密码,切实维护国家网络与信息安全具有重要意义。

信息系统密码应用技术框架与基本要求

GB/T39786提供了信息系统密码应用的技术框架,并将应用系统密码应用基本要求分为5级,每一级又分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面提出了密码应用技术要求,以保障信息系统从机密性、完整性、真实性、不可否认性四个维度满足标准要求;从管理制度、人员管理、建设运行和应急处置四个方面提出了密码应用管理要求。

GB/T39786还为信息系统责任单位提供了第一级~第四级密码应用基本要求汇总列表,其中对各模块要求程度用“应、宜、可”为主要参考项,具体如下。

密钥管理方面,与GB/T37092完美衔接

密钥管理的能力基本上是由密码产品来实现的,信息系统所使用密码产品的安全级别遵循GB/T 37092—2018《信息安全技术密码模块安全要求》(以下简称GB/T 37092)。考虑到与GB/T 37092的衔接性,GB/T 39786未重复规定密码产品的密钥管理安全能力,而是一方面在通用要求部分对密钥管理所依托的密码产品和密码服务进行约束,另一方面从GB/T 37092不涉及的管理角度对密钥管理提出要求。

与GB/T39786相关的配套文件与其他标准

为了配合GB/T 39786的实施,更好地指导和规范密评活动,中国密码学会密评联委会组织制定了《信息系统密码应用测评要求》《信息系统密码应用测评过程指南》《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板(2020版)》五个测评类指导性文件,并于2020年12月在国家密码管理局官方网站发布,2021年、2022年均发布更新,标准化工作也在有序推进中。递进关系如下图所示。

QxEtEevK0S.png

  • 《信息系统密码应用测评要求》依照GB/T 39786,规定了信息系统不同等级密码应用的测评要求;

  • 《信息系统密码应用测评过程指南》指导了信息系统密码应用的测评过程,包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动,规范了各项测评活动及其工作任务;

  • 《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》是《信息系统密码应用测评要求》的有力补充,充分体现了密评的“综合判定、保住底线”的思路;

  • 《商用密码应用安全性评估报告模板(2020版)》从结果规范角度给出了密评报告的模板,囊括了《信息系统密码应用测评要求》《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》的相关内容。

除GB/T39786外,密码行业标准化委员会也制订发布了一批针对具体应用场景的密码应用技术要求和指南行业标准。这些标准聚焦电子保单、远程移动支付、手机银行、电子招投标、云服务、区块链、云计算等不同的行业与应用场景,就信息系统密码应用的要求在特定信息系统中作了进一步规范,供各行业领域信息系统责任单位参考。

1ciMUXENQz.png