2021年3月9日,《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)(以下简称GB39786)正式发布,于2021年10月1日起实施。
GB39786为《信息系统密码应用基本要求》(GM/T 0054-2018)(以下简称0054)标准的国标升级版,标准内容更加规范,要求更加明确,逻辑更加清晰,同时对于密评实际执行过程中遇到的问题也做了相应的修订,使得密评工作能够更加有序、快速的加以推进。
本文主要针对等保三级信息系统的密码应用基本要求进行分析。
首先第三级中采用的密码产品,具有商用密码产品认证证书是基础条件,同时相比之前0054中的安全要求,GB39786中要求达到《信息安全技术 密码模块技术要求》(GB/T 37092-2018)二级及以上安全要求即可。
其次第三级中的密码应用基本要求主要包括:通用要求、对真实性和机密性的技术要求、管理要求。
通用要求就是密码算法、密码技术、密码产品和密码服务的合规性要求。
管理要求由管理制度、人员管理、建设运行和应急处置等四个密码应用管理维度构成。
技术要求还是从物理和环境安全、网络和通讯安全、设备和计算安全、应用和数据安全四个层面提出。
物理和环境安全中,第三级的要求从之前的“应”全部改为了“宜”,该部分内容可以根据实际情况在密码改造方案中暂不涉及。
网络和通讯安全中,第三级“应”的要求包括两项内容:对通信实体进行身份鉴别,保证通信实体身份的真实性;保证通信过程中重要数据的机密性。针对身份鉴别和重要数据的机密性保护,海泰方圆有完善的浏览器+SSL VPN密码改造方案。
设备和计算安全中,第三级“应”的要求包括两项内容:对登录设备的用户进行身份鉴别,保证用户身份的真实性;远程管理设备时,建立安全的信息传输通道。针对身份鉴别,海泰方圆有完善的通过数字证书、动态口令等实现的密码改造方案;针对安全通道的建立,海泰方圆有完善的国密通信中间件密码改造方案。
应用和数据安全中,第三级“应”的要求包括三项内容:对登录用户进行身份鉴别,保证应用系统用户身份的真实性;保证信息系统应用的重要数据在传输过程中的机密性;保证信息系统应用的重要数据在存储过程中的机密性。针对身份鉴别,可以采用设备和计算安全中相同的密码改造方案;针对传输过程的数据机密性保护,可以采用网络和通讯中相同的密码改造方案实现信道级数据的机密性保护,也可以采用海泰方圆的数据加解密服务实现信源级数据的机密性保护;针对存储过程的数据机密性保护,海泰方圆有完善的数据加解密密码改造方案。