本文共计5412个字,预计阅读时间需15分钟。
亲爱的读者们,关于3月29日发布的《深度解读 | 密评行标升国标,改了哪些?》,文中几张图片出现了细节性错误,小编及团队深表歉意。今天,我们将修正版的文章再次发布,详细勘误清单在文章末尾,并附上《行标版与国标版的对比》PPT”!(注:国标PDF版和《行标版与国标版的对比》PDF版,请关注公众号并回复关键字“39786”获取!)
根据2021年3月9日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2021年第3号),全国信息安全标准化技术委员会归口的GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》国家标准(以下简称国标)正式发布,并于2021年10月1日起实施,将代替现行GM/T 0054-2018《信息系统密码应用基本要求》(以下简称行标)。
“密码应用基本要求”从行业标准上升为国家标准,是商用密码应用与安全性评估工作的重要里程碑。与行标相比,国标将在全国范围多行业内适用,且其他各级标准不得与国标相抵触,GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》将成为未来很长时间信息系统安全标准体系中的主体。本标准是网络运营者、系统承建者在信息系统规划、建设、运行阶段设计密码应用方案的重要依据,是密码测评机构开展密码应用安全性评估的顶层准则,也是密码管理部门进行监督检查的重要抓手,对有效规范商用密码应用,促进我国密码事业发展,切实保障网络空间安全,具有不可替代的重要作用。
综合来看,国标相对于行标,有了以下重要变化:第一,相关技术要求更加规范和合规,比如关于密钥生存周期管理的环节和建议说明作出更全面、细致的规定;第二,相关标准的行业适应性和安全性更强,主要表现在一些标准要求有所放宽,而类似于密码服务、密钥管理之类指标的标准要求却有所增强。本文将全面对比国标版与行标版的主要内容,梳理不同的信息系统安全等级在密码应用方面的技术要求和管理要求。
行标的框架主体是物理和环境安全、网络和通信安全、设备和计算安全、应用与数据安全等指标,而等级保护要求作为内容形式。国标的框架主体改为等级保护要求,而物理和环境安全、网络和通信安全、设备和计算安全等指标作为内容形式,保持了与“等保2.0”的衔接。
行标只分析等级保护第一级到第四级信息系统要求,而国标除第一级到第四级的要求外,还增加了第五级信息系统等级要求的接口,对于第五级密码应用技术要求和管理要求,仍有更多扩展空间。
国标对密钥生存周期的管理进行了更细致的说明,将密钥分为产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节,并就每一个环节进行了详细说明(附录请关注并下载PDF版查看详细内容)。
国标新增技术框架概述,对整体内容的框架作了调整,国标技术框架主要分为技术要求和管理要求。对行标中的“密钥管理”和“安全管理”,合并为管理要求,具体变化如下图。
图:GM/T 0054-2018主要技术框架图
图:GB/T 39786-2021主要技术框架图
技术要求的标准变化
图:物理和环境安全关于国标、行标之间的指标对比
最后,在该部分的内容叙述中,国标对“密码技术的真实性功能、完整性功能”统一称之为“密码技术”,相对来讲,这样的描述方式适用性更强,更为严谨。
最后,在该部分的内容叙述中,国标对行标中的相关内容进行了删减,一些技术流程被去掉,比如指标体系“通信过程中重要数据的机密性”相关内容叙述中,国标将“使用密码技术的机密性和真实性功能来实现防截获、防假冒、防重用”直接去掉。
图:设备和计算安全关于国标、行标之间的指标对比
最后,在该部分的内容叙述中,国标去掉了一定的技术性描述,比如在“身份鉴别”中,国标去掉了“身份标识具有唯一性”等的技术性描述,降低了技术属性,提高了行业属性。
图:应用和数据安全关于国标、行标之间的指标对比
最后,在该部分的内容叙述中,国标去掉了一定的限制性文字,比如在“重要数据传输完整性”中,国标去掉了“包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等”,去掉该部分文字,增加了国标的场景适用性,利于多行业推广。
管理要求的标准变化
图:管理制度关于国标、行标之间的指标对比
最后,从该部分的内容描述中,有一点发生了明显变化,行标要求“应制定密码应用安全管理制度”,而国标则称“应具备密码应用安全管理制度”,细微的变化,表明了国标对“应用安全管理制度”的一种重视,“应用安全管理制度”成为企业的必备项。
图:人员管理关于国标、行标之间的指标对比
最后,在该部分的内容叙述中,指标“建立密码应用岗位责任制度”进行了细化描述,分别从关键安全岗位设定、多人共管机制、账号的多人共享、背景调查等一一作了说明。
图:建设运行关于国标、行标之间的指标对比
最后,在该部分的内容叙述中,指标“制定密钥安全管理策略”中表示,应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要求参照附录B。这里着重提出了附录B,而附录B中,对密钥生存周期管理的各个环节提出了详细的建议(具体内容请关注并下载PDF )。
图:应急处置关于国标、行标之间的指标对比
最后,在该部分的内容叙述中,指标“应急策略”,行标内容中的“事件”,在国标中被具体化表述为“密码应用安全事件”,表述更加场景化。
炼石作为一家数据安全创新公司,坚持密码技术自主创新,在做好现有各项服务的基础上,持续打磨技术和产品,不断提高密码服务能力,为我国密码安全产业的发展贡献力量!
本文改动的图片共五张,以下是勘误说明:【图:物理和环境安全关于国标、行标之间的指标对比】关于国标第三级的指标“身份鉴别”和“电子门禁记录数据存储完整性”的要求均为“宜”,而不是图中的“应”。
【图:设备和计算安全关于国标、行标之间的指标对比】关于国标第一级、第二级的指标“重要信息资源安全标记完整性”的要求均为“不作要求”,而不是图中的“可”。
【图:管理制度关于国标、行标之间的指标对比】关于国标的指标“制度执行过程记录”改为“制度执行过程记录留存”。
【图:建设运行关于国标、行标之间的指标对比】关于行标的指标“实施”改为“运行”。
【图:应急处置关于国标、行标之间的指标对比】关于国标的指标“应急预案”改为“应急策略”。
注:国标PDF版和《行标版与国标版的对比》PDF版,请关注公众号并回复关键字“39786”获取!
声明:本文观点仅限于作者观点,仅限于参考!如有更多观点,欢迎留言评论!
炼石网络是一家基于密码与系统安全技术的数据安全创新公司,提倡“以数据为中心的新安全理念”,自主研发了CASB业务数据安全平台和高性能国密产品,开创性的实现免开发改造应用、敏捷实施细粒度数据保护,该产品入选工信部2020年网络安全技术应用试点示范推荐项目,并夺得第七届互联网安全大会(ISC 2019)首届“创新独角兽沙盒大赛”总冠军。基于AOE面向切面数据安全技术,将安全与业务在技术上解耦、但又在能力上融合交织 ,实现主体到应用内用户、客体到字段级的防护,打造“以密码技术为核心,访问控制、审计等多种安全技术互相融合”的实战化数据安全防护体系。炼石为政府、金融、教育医疗文旅、工业央企商业等行业用户,提供个人信息保护、商业秘密保护以及国密合规改造方案,让数据共享更安全、更有价值。
微信号:炼石网络CipherGateway
本文始发于微信公众号(炼石网络CipherGateway):(更新版) 深度解读 | 密评行标升国标,改了哪些?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论