【信息安全等级保护资讯网】专注网络安全等级保护,欢迎您的光临!
等级保护咨询电话:13865983726
信息安全等级保护资讯网
了解最新等级保护动态及等保资讯
等保测评
等保测评 您的位置:首页>等保测评 >
密评标准新增了哪些内容
时间:2021-05-10阅读量:1929来源:转载关键词:密评 商用密码应用安全性评估 返回列表

2021年3月9日,《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)(以下简称GB39786)正式发布,于2021年10月1日起实施。

GB39786为《信息系统密码应用基本要求》(GM/T 0054-2018)(以下简称0054)标准的国标升级版,标准内容更加规范,要求更加明确,逻辑更加清晰,同时对于密评实际执行过程中遇到的问题也做了相应的修订,使得密评工作能够更加有序、快速的加以推进。

本文主要针对等保三级信息系统的密码应用基本要求进行分析。

首先第三级中采用的密码产品,具有商用密码产品认证证书是基础条件,同时相比之前0054中的安全要求,GB39786中要求达到《信息安全技术 密码模块技术要求》(GB/T 37092-2018)二级及以上安全要求即可。

其次第三级中的密码应用基本要求主要包括:通用要求、对真实性和机密性的技术要求、管理要求

通用要求就是密码算法、密码技术、密码产品和密码服务的合规性要求。

管理要求由管理制度、人员管理、建设运行和应急处置等四个密码应用管理维度构成。

技术要求还是从物理和环境安全、网络和通讯安全、设备和计算安全、应用和数据安全四个层面提出。

物理和环境安全中,第三级的要求从之前的“应”全部改为了“宜”,该部分内容可以根据实际情况在密码改造方案中暂不涉及。

网络和通讯安全中,第三级“应”的要求包括两项内容:对通信实体进行身份鉴别,保证通信实体身份的真实性;保证通信过程中重要数据的机密性。针对身份鉴别和重要数据的机密性保护,海泰方圆有完善的浏览器+SSL VPN密码改造方案。

设备和计算安全中,第三级“应”的要求包括两项内容:对登录设备的用户进行身份鉴别,保证用户身份的真实性;远程管理设备时,建立安全的信息传输通道。针对身份鉴别,海泰方圆有完善的通过数字证书、动态口令等实现的密码改造方案;针对安全通道的建立,海泰方圆有完善的国密通信中间件密码改造方案。

应用和数据安全中,第三级“应”的要求包括三项内容:对登录用户进行身份鉴别,保证应用系统用户身份的真实性;保证信息系统应用的重要数据在传输过程中的机密性;保证信息系统应用的重要数据在存储过程中的机密性。针对身份鉴别,可以采用设备和计算安全中相同的密码改造方案;针对传输过程的数据机密性保护,可以采用网络和通讯中相同的密码改造方案实现信道级数据的机密性保护,也可以采用海泰方圆的数据加解密服务实现信源级数据的机密性保护;针对存储过程的数据机密性保护,海泰方圆有完善的数据加解密密码改造方案。


Copyright © 2020-2021 信息安全等级保护资讯网 All Rights Reserved. 备案号码:皖ICP备19012162号-3
本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。