國家標準

3月9日,國家市場監管總局、國家標準化管理委員會發布公告,正式發布國家標準GB/T39786-2021《信息安全技術 信息系統密碼應用基本要求》（下稱《基本要求》）,將于2021年10月1日起實施。這是貫徹落實《中華人民共和國密碼法》,指導商用密碼應用與安全性評估工作的一項基礎性標準,對于規范和引導信息系統合規、正確、有效應用密碼,切實維護國家網絡空間與信息安全具有重要意義。

2018年,國家密碼管理局發布實施了密碼行業標準的密碼應用基本要求（下稱“行標”）。與行標相比,《基本要求》結合近年來國內商用密碼應用與安全性評估工作實踐對部分內容進行了優化、調整，和現有的網絡安全等級保護相呼應，《基本要求》同樣對信息系統密碼應用劃分為自低向高的五個等級，提出密碼保障能力逐級增強的要求。網絡和信息系統管理部門按照業務實際情況選擇相應級別的密碼保障技術能力及管理能力。

總體上《基本要求》從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等四個層面提出了密碼應用技術要求，保障信息系統的實體身份真實性、重要數據的機密性/完整性、操作行為的不可否認性，并從管理制度、人員管理、建設運行、應急處置等四方面整體提出密碼應用管理要求，以提供管理方面的密碼應用安全保障。從而對安全性評估產生積極的指導作用。

《基本要求》總體而言有以下看點，在密碼應用安全性評估的角度值得關注（細微語句增刪或語序調整不在此處列舉）：

1、數量精簡，內容優化合理

各級基本要求的數量上比行標有所精簡，優化調整了內容，更為合理。

 2、應用技術框架更為完善

行標的密碼功能要求（機密性、完整性等）、管理要求，在《基本要求》更科學的搭建成密碼應用技術框架，進行總體概括。

 3、第三方密碼服務機構服務范圍擴大

行標的密碼服務單純是第三方CA服務；而在《基本要求》中則擴展到物理、網絡等不同層面均可使用第三方提供的密碼服務，但“應經商用密碼認證機構認證合格”。

 4、密碼管理力度進一步強化

行標中獨立的密鑰管理部分，在《基本要求》中則是分別在管理制度、人員管理和建設運行等層面具體要求，并沒有降低或削弱控制力度。另外，《基本要求》在附件單獨形成“密鑰生存周期管理”，方便管理部門根據需求編制密碼管理制度。

5、強化控制力度放寬技術要求

在以往的評估工作實踐中對終端的密碼模塊/產品要求爭議較大的，《基本要求》進行優化，強化控制力度放寬技術要求，使評估結果更貼近實際。

對比

要了解關于密碼模塊這個較大的調整，先看下面的簡表進行對比：

由上表可以看出，《基本要求》選用密碼模塊安全要求的2018年國標版；控制力度統一加強為“應采用”；而對產品選型影響較大的產品安全級別，則放寬為最高要求三級模塊，更貼近目前技術發展現狀，也更有利于具體項目落地。 

密碼技術是保障網絡與信息安全的核心技術和基礎支撐,《密碼法》及相關法律法規明確了商用密碼應用與安全性評估的法定要求。此次密碼應用行業標準經修改完善后上升為國家標準,進一步突出了其在商用密碼應用標準體系中的基礎性地位。《基本要求》成為今后密碼工作的重要抓手，必將更好的引領我國商用密碼應用建設及安全性評估走上快車道。

競遠安全構筑安全測評、安全測咨詢、安全保障三位一體服務體系，為各行業提供一站式的商用密碼應用安全性評估整體服務解決方案。作為國家密碼管理局核準認可的第二批商用密碼應用安全性評估試點機構，我們致力于推進商用密碼應用產業發展，提高各單位商用密碼應用水平，致力于構建具有中國特色的網絡空間密碼應用安全防護體系。同時，我們履行廣東省商用密碼協會副會長單位的職能，以專業可靠的服務精神，充分發揮創新引領作用,積極開拓市場，為會員和各行業提供更有價值的服務與支持。

規范引用及對照：

GM/T0024-2014

《信息安全技術 密碼模塊安全要求》

GM/T0054-2018

《信息安全技術 信息系統密碼應用基本要求》

GB/T37092-2018

《信息安全技術 密碼模塊安全要求》