GB/T 39786整体上按照不同的密码应用级别,针对每个级别分别提出技术要求和管理要求,随着级别的提升,对密码应用的要求程度越来越强。其中对于不同级别的技术要求,又从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面分别提出,而各个级别、各个层面均需要共同遵循标准第5章所提出的通用要求。
与GM/T 0054相比,GB/T 39786加强了与国家标准GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》(以下简称GB/T 22239)[3]的衔接,明确了不同等级信息系统所使用的密码产品的安全级别要求,并结合密评工作实践对内容进行了优化,使之更为科学合理。其中主要的变化有四个方面。
1.行文结构的变化
GM/T 0054采用了“先分层,后分级”的行文结构,按照物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面,以及单独的管理层面,分别描述每层中第一级到第四级信息系统的密码应用要求。
GB/T 39786则改为了“先分级,后分层”的行文结构,按照信息系统密码应用第一级到第五级,分别描述每级的密码应用技术要求和管理要求,其中第五级为“略”。这种变化使得相应级别信息系统的责任单位,能够更为直观的查阅标准。
2.完整性要求的变化
GB/T 39786总体上将GM/T 0054第三级对完整性要求的约束程度由“应”调整为“宜”,第四级维持“应”。这项调整的主要原因是与GB/T 22239形成更好的衔接。
在GB/T 22239中,对于网络安全等级保护第三级的数据完整性要求是“应采用校验技术或密码技术”进行完整性保护,见GB/T 22239—2019的8.1.2.2和8.1.4.7;对于网络安全等级保护第四级提出“应采用密码技术”进行完整性保护,见GB/T 22239—2019的9.1.2.2。为与上述网络安全等级保护要求相衔接,特在GB/T 39786中做出本调整。
需要说明的是,信息系统责任单位对于约束程度为“宜”的条款要求,并非可以随意选择不遵循该条款(即“不适用”),相关细节将在本文第四章描述。
3.对密码产品安全性级别要求的变化
GM/T 0054对于第三级信息系统,对密码产品的配用采用了“宜采用符合GM/T 0028的三级及以上”的描述。在工作实践中发现这种描述使得三级系统对于“宜”的解释空间较大,甚至会出现采用一级产品是否符合要求的争议。
为明确对密码产品安全性的门槛,GB/T 39786对第三级信息系统的密码产品配用要求更改为“应达到GB/T 37092—2018《信息安全技术密码模块安全要求》(以下简称GB/T 37092)[4]二级及以上”,仍维持第四级信息系统的密码产品“应达到GB/T 37092三级及以上”的要求。这样既降低了主观解释的不确定性,使得密码应用和安全性评估的客观依据更为明确,也使得第三级和第四级系统有了显著区分。
需要说明的是,信息系统所使用密码产品的安全级别遵循GB/T 37092,经商用密码产品认证后确定,在产品认证证书上标明。商用密码应用安全性评估活动中,不对具体密码产品做考察,而是在确保实际使用的密码产品与产品认证证书的一致性后,直接采信产品检测认证的结果。对于应取得而未取得认证证书的商用密码产品,《信息系统密码应用高风险判定指引》将其视作高风险项之一。
4.密钥管理要求的变化
相比于GM/T 0054在正文中对不同等级信息系统提出环节逐渐增多的密钥管理要求的做法,GB/T 39786在正文中重点对密钥管理与使用提出管理性质的要求,将密钥管理生命周期所涉及技术环节内容移至资料性附录A。
这项调整是从标准衔接和可操作性角度考虑的。GM/T 0054对密钥生命周期各环节的要求,本质上是对实现密钥产生、存储、分发、使用等功能的密码产品的技术要求,这些密钥管理的能力基本上是由密码产品来实现的。如前所述,密码应用安全性评估并不对密码产品进行重复检测,而是直接采信密码产品检测认证的结果。从与GB/T 37092衔接的角度,GB/T 39786就不宜再重复规定密码产品的密钥管理安全能力。故此,GB/T 39786一方面在通用要求部分对密钥管理所依托的密码产品和密码服务进行约束,另一方面从GB/T 37092不涉及的管理角度对密钥管理提出要求,如8.5“管理制度”中要求密码应用安全管理制度包含密钥管理的制度、8.6“人员管理”中要求设置密钥管理员等。而将原0054中对密钥管理的技术要求修改后移入资料性附录。
需要注意的是,这并不意味着密钥管理不重要。事实上,密钥生命周期管理对信息系统密码应用安全来说是至为关键的,密码应用方案中应以独立的密钥管理章节详细说明信息系统涉及的密钥,包括其用途、生命周期涉及的环节,以及每个环节上使用了何种密码产品进行了何种保护。在密钥管理制度中,也应清晰说明密钥管理的相关方及其职责,在密钥各生命周期环节的操作规程,以及违反操作规程的惩处措施。在测评时,密评机构应审查密码应用方案的密钥管理部分是否涵盖了各个层面所有的密钥、是否每个密钥的生命周期环节保护描述清晰,以及其保护措施是否能够保障密钥的安全。对于密钥管理的测评,在《信息系统密码应用测评要求》[5]中进行了明确;而在关于密钥管理不当造成的高风险项,在《信息系统密码应用高风险判定指引》[7]中做了清晰规定。
在密码标准体系之中,GB/T 39786位于“密码应用”大类的“应用要求”子类。
GB/T 39786是信息系统密码应用的纲领性、框架性标准,但并非唯一标准。事实上,由于各行业、各领域信息系统的复杂性,很难用一个统一的标准去精确刻画所有的信息系统密码应用。在GB/T 39786的总框架下,相关标准化组织陆续制订发布了一些针对特定信息系统的密码应用技术要求和指南;密评联委会从测评的角度,也发布了进行密码应用安全性评估活动的一些指导性文件。
1.GB/T 39786框架下的系列密码应用标准
在2018年GM/T 0054发布后,密码行业标准化委员会陆续制订发布了一批针对具体应用场景的密码应用技术要求和指南。这些标准聚焦电子保单、远程移动支付、电子招投标等不同的应用场景,就GM/T 0054的要求在特定信息系统中进行了进一步的具象化,供各行业领域信息系统责任单位参考。随着GB/T 39786的发布,这些标准在将来可能要做少许适应性修订。
此外,一些相关的密码应用标准正在制订过程中,包括《信息系统密码应用设计指南》和《信息系统密码应用实施指南》等。随着标准化的逐步完善,可为信息系统责任单位提供更多、更有针对性、更细粒度的密码应用指导。
2.基于GB/T 39786的配套测评文件
为了配合GB/T 39786的实施,更好地指导和规范密评活动,中国密码学会密评联委会组织制定了《信息系统密码应用测评要求》[5]《信息系统密码应用测评过程指南》[6]《信息系统密码应用高风险判定指引》[7]《商用密码应用安全性评估量化评估规则》[8]《商用密码应用安全性评估报告模板(2020版)》[9]五个测评类指导性文件,并于2020年12月在国家密码管理局官方网站发布,标准化工作也在有序推进。这五个文件是基本与GB/T 39786同步制订的,都是依据GB/T 39786的最新指标要求展开,内部关系如下图所示。
3.GB/T 39786与网络安全等级保护的关系
《密码法》第二十七条规定:“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评”。这项规定决定了密码应用安全性评估与等级保护测评的衔接性。对于GB/T 22239中规定的安全要求,GB/T 39786不再重复规定,而是聚焦在GB/T 22239未细致规定的密码应用方面,形成二者既相互补充,又可相互独立实施的格局。对于同时具备等级保护测评、密码应用测评资质的机构,可以充分协调两类评估活动,做到一次现场完成两类评估。
信息系统所应遵循的密码应用等级,目前是参照等保定级的。信息系统根据GB/T 22240—2020《信息安全技术网络安全等级保护定级指南》[10]完成定级备案后,其密码应用等级也相应确定,即等保定级为第一级的对应第一级密码应用基本要求,等保定级为第二级的对应第二级密码应用基本要求,以此类推。从密评机构的视角来看,信息系统完成等保定级是启动密评的基础,密评对象的范围最好也与等保定级范围保持一致,以减少密评对象包含不同等级所带来的复杂性。
需注意的是,GB/T 22239将等级保护要求进一步细分为信息安全类要求(S)、服务保证类要求(A)、其他安全保护类要求(G),等保定级对象可能出现不同类不同级的情况,例如S2A3。整体的等保定级结果,是“就高不就低”的,例如对于S2A3、S3A2,其整体网络安全保护等级都定为三级。目前,密评所参照的是整体网络安全保护等级,不去区分S和A。
GB/T 39786—2021对于每一个密码应用要求项,采用“应”“宜”或“可”来表达不同的约束程度。国家标准GB 1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》(以下简称GB 1.1)[11]的附录C对“应”“宜”或“可”给出了解释:“应”表示应该、只准许,“宜”表示推荐、建议,“可”表示可以、允许。但对于信息系统责任单位而言,在制定密码应用方案时,如何综合考量“应”“宜”或“可”的要求项哪些需要响应,仅就GB 1.1的这个定义是难以明确的。
为此,《信息系统密码应用测评要求》从测评的角度出发,对测评实践中如何把握“应”“宜”或“可”进行了进一步解释:
——对于“可”的条款,由信息系统责任单位自行决定是否纳入标准符合性测评范围。若纳入测评范围,则密评人员应按照第6章相应的测评指标要求进行测评和结果判定;否则,该测评指标为“不适用”。
——对于“宜”的条款,密评人员根据信息系统的密码应用方案和方案评审意见决定是否纳入标准符合性测评范围;若信息系统没有通过评估的密码应用方案或密码应用方案未做明确说明,则“宜”的条款默认纳入标准符合性测评范围。若纳入测评范围,则密评人员应按照第6章相应的测评指标要求进行测评和结果判定。否则,密评人员应根据信息系统的密码应用方案和方案评审意见,在测评中进一步核实密码应用方案中所描述的风险控制措施使用条件在实际的信息系统中是否被满足,且信息系统的实施情况与所描述的风险控制措施是否一致,若满足使用条件,该测评指标为“不适用”,并在密码应用安全性评估报告中体现核实过程和结果;若不满足使用条件,则应按照第6章相应的测评指标要求进行测评和结果判定。
——对于“应”的条款,密评人员应按照第5章和第6章相应的测评指标要求进行测评和结果判定;若根据信息系统的密码应用方案和方案评审意见,判定信息系统确无与某项或某些项测评指标相关的密码应用需求,则相应测评指标为“不适用”。
从上述文字可以看出,测评指标为“不适用”可能有以下3种情况:
(1)条款所对应的保护对象或安全需求不存在。例如对于“应采用密码技术保证设备中的重要信息资源安全标记的完整性”,如果不对信息资源设定安全标记,则本项的保护对象不存在,在测评时相应指标设定为“不适用”。
(2)根据信息系统的密码应用方案和方案评审意见确定是否作为“不适用”项。需要注意的是,这种“不适用”的情况仅针对“宜”的条款。当然,在这种情况下认定为“不适用”项,密评机构仍有责任进一步核实,若评估认为所描述的风险控制措施无效或不足以控制风险,则仍需将其纳入测评范围;
(3)由信息系统责任单位自行决定是否作为“不适用”项。需要注意的是,这种“不适用”的情况仅针对“可”的条款。信息系统责任单位具有自主选择权,鼓励但不强制采用密码技术满足对应要求。
五、GB/T 39786的使用
GB/T 39786既是密码应用的纲领性、框架性标准,也是安全性评估的顶层准则。本章站在应用单位和测评机构两个视角,来分别描述GB/T 39786的用途和用法,供各相关方在工作中参考。
1.信息系统责任单位如何使用GB/T 39786
对于信息系统责任单位来说,GB/T 39786是制订密码应用方案的直接依据。信息系统责任单位在充分明确自身信息系统业务需求、安全需求的基础上,制定采用密码技术满足安全需求的密码应用方案。对于方案,信息系统责任单位应进行标准符合性自查,结合等保定级情况,逐条对照GB/T 39786相应级别的要求,自查是符合、部分符合、不符合还是不适用。制定密码应用方案时要重点考虑以下几方面情况:
(1)等保定级的范围是什么。对于密码应用方案所涵盖的范围,应与等保定级范围一致,以便于等保测评与密评的协调开展。
(2)对于“宜”项,建议慎重考虑选择“不适用”。除非有非常过硬或不可抗力的理由外,一般建议遵循“宜”项,以避免信息系统安全的“木桶效应”。确需选择“不适用”,则应详细描述理由和替代性风险控制措施,供方案评估时参考。一般来讲,“宜”的条款“不适用”的理由可以是: