密評標準升級了哪些內容
【時間】2021-04-30
【編輯】Admin
【瀏覽量】
【等級保護QQ交流群】881590869
2021年3月9日,《信息安全技術 信息系統密碼應用基本要求》(GB/T 39786-2021)(以下簡稱GB39786)正式發布,于2021年10月1日起實施。GB39786為《信息系統密碼應用基本要求》(GM/T 0054-2018)(以下簡稱0054)標準的國標升級版,標準內容更加規范,要求更加明確,邏輯更加清晰,同時對于密評實際執行過程中遇到的問題也做了相應的修訂,使得密評工作能夠更加有序、快速的加以推進。本文主要針對等保三級信息系統的密碼應用基本要求進行分析。首先第三級中采用的密碼產品,具有商用密碼產品認證證書是基礎條件,同時相比之前0054中的安全要求,GB39786中要求達到《信息安全技術 密碼模塊技術要求》(GB/T 37092-2018)二級及以上安全要求即可。其次第三級中的密碼應用基本要求主要包括:通用要求、對真實性和機密性的技術要求、管理要求。通用要求就是密碼算法、密碼技術、密碼產品和密碼服務的合規性要求。管理要求由管理制度、人員管理、建設運行和應急處置等四個密碼應用管理維度構成。技術要求還是從物理和環境安全、網絡和通訊安全、設備和計算安全、應用和數據安全四個層面提出。物理和環境安全中,第三級的要求從之前的“應”全部改為了“宜”,該部分內容可以根據實際情況在密碼改造方案中暫不涉及。網絡和通訊安全中,第三級“應”的要求包括兩項內容:對通信實體進行身份鑒別,保證通信實體身份的真實性;保證通信過程中重要數據的機密性。針對身份鑒別和重要數據的機密性保護,海泰方圓有完善的瀏覽器+SSL VPN密碼改造方案。設備和計算安全中,第三級“應”的要求包括兩項內容:對登錄設備的用戶進行身份鑒別,保證用戶身份的真實性;遠程管理設備時,建立安全的信息傳輸通道。針對身份鑒別,海泰方圓有完善的通過數字證書、動態口令等實現的密碼改造方案;針對安全通道的建立,海泰方圓有完善的國密通信中間件密碼改造方案。應用和數據安全中,第三級“應”的要求包括三項內容:對登錄用戶進行身份鑒別,保證應用系統用戶身份的真實性;保證信息系統應用的重要數據在傳輸過程中的機密性;保證信息系統應用的重要數據在存儲過程中的機密性。針對身份鑒別,可以采用設備和計算安全中相同的密碼改造方案;針對傳輸過程的數據機密性保護,可以采用網絡和通訊中相同的密碼改造方案實現信道級數據的機密性保護,也可以采用海泰方圓的數據加解密服務實現信源級數據的機密性保護;針對存儲過程的數據機密性保護,海泰方圓有完善的數據加解密密碼改造方案。
