根据2021年3月9日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2021年第3号),全国信息安全标准化技术委员会归口的GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》国家标准(以下简称国标)正式发布,并于2021年10月1日起实施,将代替现行GM/T 0054-2018《信息系统密码应用基本要求》(以下简称行标)。
“密码应用基本要求”从行业标准上升为国家标准,是商用密码应用与安全性评估工作的重要里程碑。与行标相比,国标将在全国范围多行业内适用,且其他各级标准不得与国标相抵触,GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》将成为未来很长时间信息系统安全标准体系中的主体。本标准是网络运营者、系统承建者在信息系统规划、建设、运行阶段设计密码应用方案的重要依据,是密码测评机构开展密码应用安全性评估的顶层准则,也是密码管理部门进行监督检查的重要抓手,对有效规范商用密码应用,促进我国密码事业发展,切实保障网络空间安全,具有不可替代的重要作用。
综合来看,国标相对于行标,有了以下重要变化:第一,相关技术要求更加规范和合规,比如关于密钥生存周期管理的环节和建议说明作出更全面、细致的规定;第二,相关标准的行业适应性和安全性更强,主要表现在一些标准要求有所放宽,而类似于密码服务、密钥管理之类指标的标准要求却有所增强。本文将全面对比国标版与行标版的主要内容,梳理不同的信息系统安全等级在密码应用方面的技术要求和管理要求。
一、整体框架变化
1.整体框架横向变纵向
行标的框架主体是物理和环境安全、网络和通信安全、设备和计算安全、应用与数据安全等指标,而等级保护要求作为内容形式。国标的框架主体改为等级保护要求,而物理和环境安全、网络和通信安全、设备和计算安全等指标作为内容形式,保持了与“等保2.0”的衔接。
2.保留第五级密码要求扩展空间
行标只分析等级保护第一级到第四级信息系统要求,而国标除第一级到第四级的要求外,还增加了第五级信息系统等级要求的接口,对于第五级密码应用技术要求和管理要求,仍有更多扩展空间。
3.国标新增“密钥生存周期管理”附录
国标对密钥生存周期的管理进行了更细致的说明,将密钥分为产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节,并就每一个环节进行了详细说明(附录请关注并下载PDF版查看详细内容)。
4.技术框架变化
国标新增技术框架概述,对整体内容的框架作了调整,国标技术框架主要分为技术要求和管理要求。对行标中的“密钥管理”和“安全管理”,合并为管理要求,具体变化如下图。
图:GM/T 0054-2018主要技术框架图
图:GB/T 39786-2021主要技术框架图
二、主体标准内容分析对比
技术要求的标准变化
技术要求的整体框架方面,国标和行标大体一致,而国标有一个意义重大的改变,那就是原行标的指标“密码模块实现”改进为国标“密码产品”,并增加了“密码服务”。首先,“密码产品”方面的基本要求相比行标有重要变化,信息系统等级保护第三级安全要求,从行标的“宜采用GM/T 0028三级及以上”,放宽为国标的“应达到GB/T 37092二级及以上”;对等级保护第二级安全要求,从行标的“宜采用GM/T 0028二级及以上”,放宽为国标的“应达到GB/T 37092一级及以上”。(注:GB/T 37092是GM/T 0028密码模块安全技术要求的国标版本)。其次,“密码服务”成为行业技术要求的必选项,从第一级到第四级要求,“密码服务”的要求级别都是“应”,属于要求型描述,表明符合标准需要满足该条件,与行标相比,“密码服务”方面的要求提高了。下面将对各指标体系的多方面进行行标、国标之间的变化对比分析,因为涉及条款较多,这里仅对具有代表性的相关指标进行了比对。
1、物理和环境安全
综合来看物理和环境安全部分,首先,在指标体系方面,行标和国标没有太大变化,指标名称有所改动,比如行标“电子门禁记录数据完整性”升级为“电子门禁记录数据存储完整性”,整体意思虽然没有发生巨大变化,但描述更加贴切,行标中的“数据完整性”,在国标中,则使用了“数据存储完整性”的说法。
其次,在等级要求方面,国标相对行标,要求有所放宽,尤其是第二级、第三级方面,变动比较明显,比如第三级的“身份鉴别”、“电子门禁记录数据存储完整性”均由“应”改为“宜”,放宽了要求,增加了国标的行业适用性。
图:物理和环境安全关于国标、行标之间的指标对比
最后,在该部分的内容叙述中,国标对“密码技术的真实性功能、完整性功能”统一称之为“密码技术”,相对来讲,这样的描述方式适用性更强,更为严谨。
2、网络和通信安全
综合来看网络和通信安全部分,首先,在指标体系方面,多个指标的描述方式有所改变,国标的最大变化,就是对指标进行了场景化描述,比如行标“通信数据机密性”被称为国标“通信过程中重要数据的机密性”、行标“访问控制信息完整性”被称为国标“网络边界访问控制信息的完整性”等。
其次,在等级要求方面,国标在二级、三级、四级,要求都相对有所放宽,比如第三级中,“通信数据完整性”和“网络边界访问控制信息的完整性”均由“应”放宽为“宜”。
图:网络和通信安全关于国标、行标之间的指标对比
最后,在该部分的内容叙述中,国标对行标中的相关内容进行了删减,一些技术流程被去掉,比如指标体系“通信过程中重要数据的机密性”相关内容叙述中,国标将“使用密码技术的机密性和真实性功能来实现防截获、防假冒、防重用”直接去掉。
3、设备和计算安全
综合来看设备和计算安全部分,首先,在指标体系方面,指标的名称更加规范化以及场景化,比如行标“远程管理身份鉴别信息机密性”被称为国标“远程管理通道安全”,国标明显更规范化。行标“访问控制信息完整性”被称为国标“系统资源访问控制信息完整性”,更加具有场景化的特点。
其次,在等级要求方面,第一级、第二级、第三级的总体要求均有所放宽,比如第二级中,“远程管理通道安全”“重要信息资源安全标记完整性”均由行标“宜”放宽为“不作要求”,加大了“设备和计算安全”部分指标的行业适用性。
图:设备和计算安全关于国标、行标之间的指标对比
最后,在该部分的内容叙述中,国标去掉了一定的技术性描述,比如在“身份鉴别”中,国标去掉了“身份标识具有唯一性”等的技术性描述,降低了技术属性,提高了行业属性。
4、应用和数据安全
综合来看应用和数据安全部分,首先,在指标体系方面,明显可以看出国标对数据安全的高重视,比如行标中的“数据传输安全”细化为国标中的“重要数据传输机密性”和“重要数据传输完整性”,行标中的“数据存储安全”细化为国标中的“重要数据存储机密性”和“重要数据存储完整性”。最后,行标中的“抗抵赖”也升级为国标中的“不可否认性”,规范性更强。
其次,在等级要求方面,除了大部分指标放宽了要求之外,“不可否认性”指标反而提高了要求,第三级要求中,“不可否认性”由行标“不作要求”升级为国标“宜”,这表明国标对可能涉及法律责任认定的数据安全合规,提出更高要求。
图:应用和数据安全关于国标、行标之间的指标对比
最后,在该部分的内容叙述中,国标去掉了一定的限制性文字,比如在“重要数据传输完整性”中,国标去掉了“包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等”,去掉该部分文字,增加了国标的场景适用性,利于多行业推广。
管理要求的标准变化
行标中的“密钥管理”和“安全管理”合并为国标中的“管理要求”,国标并对“管理要求”中的四个应用管理维度作了说明,管理要求由管理制度、人员管理、建设运行、应急处置四个密码应用管理维度构成,具体如下:
a)密码应用安全管理相关流程制度的制定、发布、修订的规范性要求;
b)密码相关安全人员的密码安全意识以及关键密码安全岗位员工的密码安全能力的培养,人员工作流程要求等;
c)建设运行过程中密码应用安全要求及方案落地执行的一致性和有效性要求;
d)处理密码应用安全相关的应急突发事件的能力要求。
下面将对管理制度、人员管理、建设运行、应急处置四部分从第一级到第四级作相应对比:
1. 管理制度
综合来看管理制度部分,首先,从指标体系方面,国标新增了“密钥管理规则”,表明了国标对“密钥管理规则制定”的重视;新增了“建立操作规程”,提升了对管理人员或操作人员的操作规范化要求。
其次,从标准要求方面,关于指标“密钥管理规则”和“建立操作规程”,国标对密钥管理规则作了一级到四级的统一标准要求“应”,比起行标提高了要求;“建立操作规程”除了第一级标准不作规定外,第二级到第四级的要求均为“应”,表明“操作规范”在企业信息系统保护中的必要性。
图:管理制度关于国标、行标之间的指标对比
最后,从该部分的内容描述中,有一点发生了明显变化,行标要求“应制定密码应用安全管理制度”,而国标则称“应具备密码应用安全管理制度”,细微的变化,表明了国标对“应用安全管理制度”的一种重视,“应用安全管理制度”成为企业的必备项。
2. 人员管理
综合来看人员管理部分,首先,在指标体系方面,国标去掉了行标指标“背景调查”及“正确使用密码相关产品”,并将其相关内容融入了第二项指标“建立密码应用岗位责任制度”,指标架构体系更清晰。
其次,等级要求方面,第一级的关于“建立关键岗位人员保密制度和调离制度”的要求有所提高,从“不作要求”升级为“应”。
图:人员管理关于国标、行标之间的指标对比
最后,在该部分的内容叙述中,指标“建立密码应用岗位责任制度”进行了细化描述,分别从关键安全岗位设定、多人共管机制、账号的多人共享、背景调查等一一作了说明。
3. 建设运行
综合来看建设运行部分,首先,在指标体系方面,行标“规划”、“建设”、“运行”三个指标细化为国标版的“制定密码应用方案”、“制定密钥安全管理策略”、“制定实施方案”、“投入运行前进行密码应用安全性评估”、“定期开展密码应用安全性评估及攻防对抗演习”五个指标,相比行标,国标更加清晰详尽。
其次,等级要求方面,指标体系虽然比以前更加细化,但除了第三级、第四级没有发生变化之外,第一级、第二级要求总体来看有所提高,国标对密码应用方案、密钥安全管理的策略等方面,有了更高的重视。
图:建设运行关于国标、行标之间的指标对比
最后,在该部分的内容叙述中,指标“制定密钥安全管理策略”中表示,应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要求参照附录B。这里着重提出了附录B,而附录B中,对密钥生存周期管理的各个环节提出了详细的建议(具体内容请关注并下载PDF )。
4. 应急处置
综合来看应急处置部分,首先,在指标体系方面,应急处置方面在行标和国标之间并没有发生变化。
其次,在标准要求方面,综合来看变化并不大。只是在“应急策略”部分的要求有所提升,在“事件处置”部分的要求有所降低。
图:应急处置关于国标、行标之间的指标对比
最后,在该部分的内容叙述中,指标“应急策略”,行标内容中的“事件”,在国标中被具体化表述为“密码应用安全事件”,表述更加场景化。
声明:本文来自炼石网络CipherGateway,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。