密評標(biāo)準(zhǔn)升級了哪些內(nèi)容
【時間】2021-04-30
【編輯】Admin
【瀏覽量】
【等級保護(hù)QQ交流群】881590869
2021年3月9日�����,《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》(GB/T 39786-2021)(以下簡稱GB39786)正式發(fā)布�,于2021年10月1日起實(shí)施�����。GB39786為《信息系統(tǒng)密碼應(yīng)用基本要求》(GM/T 0054-2018)(以下簡稱0054)標(biāo)準(zhǔn)的國標(biāo)升級版���,標(biāo)準(zhǔn)內(nèi)容更加規(guī)范,要求更加明確��,邏輯更加清晰�����,同時對于密評實(shí)際執(zhí)行過程中遇到的問題也做了相應(yīng)的修訂,使得密評工作能夠更加有序��、快速的加以推進(jìn)�。本文主要針對等保三級信息系統(tǒng)的密碼應(yīng)用基本要求進(jìn)行分析。首先第三級中采用的密碼產(chǎn)品���,具有商用密碼產(chǎn)品認(rèn)證證書是基礎(chǔ)條件����,同時相比之前0054中的安全要求����,GB39786中要求達(dá)到《信息安全技術(shù) 密碼模塊技術(shù)要求》(GB/T 37092-2018)二級及以上安全要求即可。其次第三級中的密碼應(yīng)用基本要求主要包括:通用要求�����、對真實(shí)性和機(jī)密性的技術(shù)要求�����、管理要求���。通用要求就是密碼算法���、密碼技術(shù)����、密碼產(chǎn)品和密碼服務(wù)的合規(guī)性要求�����。管理要求由管理制度�����、人員管理����、建設(shè)運(yùn)行和應(yīng)急處置等四個密碼應(yīng)用管理維度構(gòu)成��。技術(shù)要求還是從物理和環(huán)境安全�、網(wǎng)絡(luò)和通訊安全、設(shè)備和計(jì)算安全��、應(yīng)用和數(shù)據(jù)安全四個層面提出��。物理和環(huán)境安全中,第三級的要求從之前的“應(yīng)”全部改為了“宜”����,該部分內(nèi)容可以根據(jù)實(shí)際情況在密碼改造方案中暫不涉及。網(wǎng)絡(luò)和通訊安全中���,第三級“應(yīng)”的要求包括兩項(xiàng)內(nèi)容:對通信實(shí)體進(jìn)行身份鑒別�����,保證通信實(shí)體身份的真實(shí)性����;保證通信過程中重要數(shù)據(jù)的機(jī)密性�����。針對身份鑒別和重要數(shù)據(jù)的機(jī)密性保護(hù)�����,海泰方圓有完善的瀏覽器+SSL VPN密碼改造方案�。設(shè)備和計(jì)算安全中,第三級“應(yīng)”的要求包括兩項(xiàng)內(nèi)容:對登錄設(shè)備的用戶進(jìn)行身份鑒別�����,保證用戶身份的真實(shí)性;遠(yuǎn)程管理設(shè)備時�����,建立安全的信息傳輸通道����。針對身份鑒別,海泰方圓有完善的通過數(shù)字證書���、動態(tài)口令等實(shí)現(xiàn)的密碼改造方案����;針對安全通道的建立���,海泰方圓有完善的國密通信中間件密碼改造方案。應(yīng)用和數(shù)據(jù)安全中����,第三級“應(yīng)”的要求包括三項(xiàng)內(nèi)容:對登錄用戶進(jìn)行身份鑒別,保證應(yīng)用系統(tǒng)用戶身份的真實(shí)性����;保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在傳輸過程中的機(jī)密性�����;保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲過程中的機(jī)密性��。針對身份鑒別���,可以采用設(shè)備和計(jì)算安全中相同的密碼改造方案;針對傳輸過程的數(shù)據(jù)機(jī)密性保護(hù)�����,可以采用網(wǎng)絡(luò)和通訊中相同的密碼改造方案實(shí)現(xiàn)信道級數(shù)據(jù)的機(jī)密性保護(hù)���,也可以采用海泰方圓的數(shù)據(jù)加解密服務(wù)實(shí)現(xiàn)信源級數(shù)據(jù)的機(jī)密性保護(hù)���;針對存儲過程的數(shù)據(jù)機(jī)密性保護(hù),海泰方圓有完善的數(shù)據(jù)加解密密碼改造方案����。
