标准规范下载简介
GB_T 39786-2021 信息安全技术 信息系统密码应用基本要求.pdfCT TCCIVIVS. Baselineforinformation system cryptography application
国家市场监督管理总局 发布 国家标准化管理委员会
范围· 规范性引用文件 概述· 4.1 信息系统密码应用技术框架 4.2密码应用基本要求等级描述 通用要求. 第一级密码应用基本要求 6.1物理和环境安全 6.2网络和通信安全 6.3设备和计算安全 6.4应用和数据安全 6.5管理制度 **.. 6.6人员管理 6.7建设运行 6.8应急处置 第二级密码应用基本要求 7.1牛 物理和环境安全 7.2 网络和通信安全 7.3设备和计算安全 7.4应用和数据安全 7.5管理制度 7.6人员管理 7.7建设运行 7.8应急处置 第三级密码应用基本要求 8.1物理和环境安全 8.2网络和通信安全 8.3设备和计算安全 8.4应用和数据安全 8.5管理制度 8.6人员管理 8.7建设运行 8.8应急处置 第四级密码应用基本要求
9.1物理和环境安全 9.2网络和通信安全 9.3设备和计算安全 9.4应用和数据安全 10 9.5管理制度.. ·10 9.6人员管理. 10 9.8应急处置 11 10第五级密码应用基本要求…… 附录A(资料性附录)不同级别密码应用基本要求汇总列表 附录B(资料性附录)密钥生存周期管理·
苏J001-2000 钢木门.pdf9.1物理和环境安全 9.2网络和通信安全 9.3设备和计算安全 9.4应用和数据安全 10 9.5管理制度 9.6人员管理 10 11 9.8应急处置 11 0第五级密码应用基本要求….….……..… 附录A(资料性附录)不同级别密码应用基本要求汇总列表 12 附录B(资料性附录)密钥生存周期管理… 14
本标准按照GB/11.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:北京数字认证股份有限公司、国家密码管理局商用密码检测中心、中国科学院数 据与通信保护研究教育中心、公安部第三研究所、上海交通大学、北京信息安全测评中心、成都卫土通信 息产业股份有限公司、中国金融电子化公司、飞天诚信科技股份有限公司、安徽科测信息技术有限公司, 深圳市网安计算机安全检测技术有限公司、山东省计算中心(国家超级计算济南中心)、中国电子科技集 团公司第十五研究所(信息产业信息安全测评中心)、北京电子科技学院、北京三未信安科技发展有限公 司、兴唐通信科技有限公司。 本标准主要起草人:詹榜华、宋玲妮、罗鹏、邓开勇、夏鲁宁、霍炜、刘健、许长伟、田敏求、傅大鹏、 马原、郑旷昱、陈广勇、黎水林、银鹰、刘芳、肖秋林、张众、李晨肠、张晓溪、杨宏志、朱鹏飞、倪又明、程苏秦 刘健、阎亚龙、高志权、钟博、张文科、刘尚焱
本标准规定了信息系统第一级到第四级的密码应用的基本要求,从信息系统的物理和环境安全、网 络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术 要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用管理 要求。 注:第五级密码应用仅在本标准中描述通用要求,第五级密码应用技术要求和管理要求不在本标准中描述。 本标准适用于指导、规范信息系统密码应用的规划、建设、运行及测评。在本标准的基础之上,各领 域与行业可结合本领域与行业的密码应用需求来指导、规范信息系统密码应用
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T37092信息安全技术密码模块安全要求
4.1信息系统密码应用技术框架
本标准从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层 面提出密码应用技术要求,保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的 不可否认性;并从信息系统的管理制度、人员管理、建设运行和应急处置四个方面提出密码应用管理要 求,为信息系统提供管理方面的密码应用安全保障
4.1.2密码应用技术要求维度
技术要求主要由机密性、完整性、真实性、不可否认性四个密码安全功能维度构成,具体保护对象或 用场景描述如下: a)机密性技术要求保护对象 使用密码技术的加解密功能实现机密性,信息系统中保护的对象为: 1)身份鉴别信息; 2)密钥数据; 3)传输的重要数据; 4)信息系统应用中所有存储的重要数据。 b)完整性技术要求保护对象 使用基于对称密码算法或密码杂凑算法的消息鉴别码机制、基于公钥密码算法的数字签名机 制等密码技术实现完整性,信息系统中保护的对象为: 1)身份鉴别信息; 2)密钥数据:
3)目志记录; 4)访问控制信息; 5)重要信息资源安全标记; 6)重 重要可执行程序; 7)视频监控音像记录; 8)电子门禁系统进出记录; 9)传输的重要数据; 10)信息系统应用中所有存储的重要数据。 1 真实性技术要求应用场景 使用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码机制、基于公钥密码算法 的数字签名机制等密码技术实现真实性,信息系统中应用场景为: 1)进人重要物理区域人员的身份鉴别; 2)通信双方的身份鉴别; 3) 网络设备接入时的身份鉴别; 4)重 重要可执行程序的来源真实性保证; 5)登录操作系统和数据库系统的用户身份鉴别; 6)应用系统的用户身份鉴别。 d)不可否认性技术要求保护对象 使用基于公钥密码算法的数字签名机制等密码技术来保证数据原发行为的不可否认性和数据 接收行为的不可否认性。
4.1.3密码应用管理要求维度
第 一级到第五级的信息系统应符合以下通用要求: a) 信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有 要求; b) 信息系统中使用的密码技术应遵循密码相关国家标准和行业标准; C) 信息系统中使用的密码产品、密码服务应符合法律法规的相关要求
第一级到第五级的信息系统应符合以下通用要求: a) 信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关 要求; 信息系统中使用的密码技术应遵循密码相关国家标准和行业标准; C) 信息系统中使用的密码产品、密码服务应符合法律法规的相关要求
本级要求包括: 日) 可采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; D) 可采用密码技术保证电子门禁系统进出记录数据的存储完整性; ·》 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格。
本级要求包括: 日) 2 可采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; D) 可采用密码技术保证通信过程中数据的完整性; C) 可采用密码技术保证通信过程中重要数据的机密性; d) 1 可采用密码技术保证网络边界访问控制信息的完整性; 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格。
本级要求包括: 日) 可采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; bD) 可采用密码技术保证系统资源访问控制信息的完整性; C) 可采用密码技术保证日志记录的完整性; 1) 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格
本级要求包括: 1 可采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; ) 可采用密码技术保证信息系统应用的访问控制信息的完整性; ) 可采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 1) 可采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; e) 可采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; ) 可采用密码技术保证信息系统应用的重要数据在存储过程中的完整性;
P 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格
使用密码技术的信息系统应符合以下管理制度要求: a) 应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬 件及介质管理等制度; b)应根据密码应用方案建立相应密钥管理规则
使用密码技术的信息系统应符合以下人员管理要求: a) 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; b)应及时终止离岗人员的所有密码应用相关的访问权限、操作权限,
本级要求包括: a)应依据密码相关标准和密码应用需求,制定密码应用方案; b) 应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要 求参照附录B; c)应按照密码应用方案实施建设; d)投入运行前可进行密码应用安全性评估
第二级密码应用基本要求
本级要求包括: Ea)T 宜采用密码技术进行物理访问身份鉴别,保证重要区域进人人员身份的真实性; b) 可采用密码技术保证电子门禁系统进出记录数据的存储完整性; C) 1 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格; d)以上采用的密码产品,应达到GB/T37092一级及以上安全要求
本级要求包括: E) 2 宜采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; b) 可采用密码技术保证通信过程中数据的完整性; C) 宜采用密码技术保证通信过程中重要数据的机密性; d) 可采用密码技术保证网络边界访问控制信息的完整性; e) 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格;
以上采用的密码产品,应达到GB/T37092一级及以上安全要求,
本级要求包括: 日E) 宜采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; b) 1 可采用密码技术保证系统资源访问控制信息的完整性; C) 2 可采用密码技术保证日志记录的完整性; d) 1 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格; e) 以上采用的密码产品JC/T964-2005 墙材工业用自动码坯机.pdf,应达到GB/T37092一级及以上安全要求
本级要求包括: 2 宜采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; D) 可采用密码技术保证信息系统应用的访问控制信息的完整性; C) 宜采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; ? 宜采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; e) 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; F) 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 官g) 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格; h) 以上采用的密码产品,应达到GB/T37092一级及以上安全要求。
使用密码技术的信息系统应符合以下管理制度要求: 日) 应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬 件及介质管理等制度; b) 2 应根据密码应用方案建立相应密钥管理规则; C) 应对管理人员或操作人员执行的日常管理操作建立操作规程。
使用密码技术的信息系统应符合以下人员管理要求: 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; D) 1 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: ) 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位 所需专业技能; d) 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务
使用密码技术的信息系统应符合以下人员管理要求: 1) 1M不 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; D) 1 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限; C) 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗 所需专业技能; d) 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务,
本级要求包括: a) 应依据密码相关标准和密码应用需求,制定密码应用方案; b) 1! 应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要 求参照附录B; C) 应按照应用方案实施建设;
XY-7.4变形监测施工工艺标准投入运行前宜进行密码应用安全性评估
第三级密码应用基本要求
本级要求包括: 宜采用密码技术进行物理访问身份鉴别,保证重要区域进人人员身份的真实性; b) 1 宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; C) 1 宜采用密码技术保证视频监控音像记录数据的存储完整性; d) 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格; e)以上采用的密码产品,应达到GB/T37092二级及以上安全要求