发布日期:2022-02-14 来源:https://baijiahao.baidu.com/s?id=1696898013976456555&wfr=spider&for=pc 浏览次数:2387
2021年3月,国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告(2021年第3号),国家密码应用与安全性评估的关键标准GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》[1](以下简称GB/T 39786)正式发布,将于2021年10月1日正式实施。
GB/T 39786是贯彻落实《中华人民共和国密码法》、指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准。该标准分五个级别,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面提出了密码应用技术要求,从管理制度、人员管理、建设运行和应急处置四个方面提出了密码应用管理要求,对于规范引导信息系统密码合规、正确、有效应用具有重要意义。
作为标准,GB/T 39786没有也不适合在正文中做过多解释说明。为促进GB/T 39786的宣贯落实,作为标准的起草组成员,我们特撰写此文,对GB/T 39786的若干全局性要点进行解析。出于以上目的,同时限于篇幅,本文并不逐条描述标准内容,而是围绕标准的定位、使用等若干广为关心的要点问题展开,希望能够增进信息系统责任单位、商用密码应用安全性评估机构(以下简称“密评机构”)等对标准的理解,促进本标准在密码应用和安全性评估活动中发挥应有的作用。
壹
GB/T 39786的制订过程
GB/T 39786是首次制订,但并非从零开始。2018年,为指导当时即将启动的商用密码应用安全性评估试点工作,国家密码管理局发布了密码行业标准GM/T 0054—2018《信息系统密码应用基本要求》[2](以下简称GM/T 0054)。2018年以来,基于GM/T 0054开展的密码应用和安全性评估工作,充分验证了GM/T 0054的科学性和可行性,也为GB/T 39786的制订带来了丰富的实践经验。此次GB/T 39786在GM/T 0054基础上进一步修改完善,制订发布为国家标准,其完备性、合理性、可操作性都得到进一步提升。
GB/T 39786是在国家密码管理部门的全程指导下制订的。相关领导同志站在法律遵循、政策衔接、管理对接等角度,对标准提出了诸多指导意见;国家密码管理部门多次组织围绕本标准的专题研讨,从密码应用推进与安全性评估体系建设的全局,对本标准提出要求,并对编制组提出的跨部门联络等需求予以积极响应和协助。
GB/T 39786是在各行业领域国家主管部门、商用密码业界同行的悉心帮助下制订完成的。标准起草单位涵盖9家密评试点机构、5家商用密码产业单位、2所大学,具有广泛的代表性。在标准起草阶段,首批密评试点机构、全体信安标委WG3工作组成员单位以及全体密标委应用组成员单位给予了倾心帮助。2019年6月25日至8月8日,信安标委秘书处向工业和信息化部科技司、公安部十一局、国家保密局、国家密码管理局、国家认证认可监督管理委员会、中央网信办网络安全协调局等上级主管部门发函征求意见,并在信安标委官网面向社会公开征求意见。共收到国内外反馈意见67条,标准起草组均进行了认真的处理。
标准于2019年10月经信安标委WG3工作组投票通过,形成送审稿;2019年12月通过信安标委审查,形成报批稿。在报批待发布阶段,国标委对标准行文、用语、格式给予了细致指导,使得标准文字质量日臻完善,为标准的最终发布奠定了良好基础。
贰
GB/T 39786内容概要
及相较GM/T 0054的变化
GB/T 39786整体上按照不同的密码应用级别,针对每个级别分别提出技术要求和管理要求,随着级别的提升,对密码应用的要求程度越来越强。其中对于不同级别的技术要求,又从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面分别提出,而各个级别、各个层面均需要共同遵循标准第5章所提出的通用要求。
与GM/T 0054相比,GB/T 39786加强了与国家标准GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》(以下简称GB/T 22239)[3]的衔接,明确了不同等级信息系统所使用的密码产品的安全级别要求,并结合密评工作实践对内容进行了优化,使之更为科学合理。其中主要的变化有四个方面。
1 行文结构的变化
GM/T 0054采用了“先分层,后分级”的行文结构,按照物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面,以及单独的管理层面,分别描述每层中第一级到第四级信息系统的密码应用要求。
GB/T 39786则改为了“先分级,后分层”的行文结构,按照信息系统密码应用第一级到第五级,分别描述每级的密码应用技术要求和管理要求,其中第五级为“略”。这种变化使得相应级别信息系统的责任单位,能够更为直观的查阅标准。
2 完整性要求的变化
GB/T 39786总体上将GM/T 0054第三级对完整性要求的约束程度由“应”调整为“宜”,第四级维持“应”。这项调整的主要原因是与GB/T 22239形成更好的衔接。
在GB/T 22239中,对于网络安全等级保护第三级的数据完整性要求是“应采用校验技术或密码技术”进行完整性保护,见GB/T 22239—2019的8.1.2.2和8.1.4.7;对于网络安全等级保护第四级提出“应采用密码技术”进行完整性保护,见GB/T 22239—2019的9.1.2.2。为与上述网络安全等级保护要求相衔接,特在GB/T 39786中做出本调整。
需要说明的是,信息系统责任单位对于约束程度为“宜”的条款要求,并非可以随意选择不遵循该条款(即“不适用”),相关细节将在本文第四章描述。
3 对密码产品安全性级别要求的变化
GM/T 0054对于第三级信息系统,对密码产品的配用采用了“宜采用符合GM/T 0028的三级及以上”的描述。在工作实践中发现这种描述使得三级系统对于“宜”的解释空间较大,甚至会出现采用一级产品是否符合要求的争议。
为明确对密码产品安全性的门槛,GB/T 39786对第三级信息系统的密码产品配用要求更改为“应达到GB/T 37092—2018《信息安全技术密码模块安全要求》(以下简称GB/T 37092)[4]二级及以上”,仍维持第四级信息系统的密码产品“应达到GB/T 37092三级及以上”的要求。这样既降低了主观解释的不确定性,使得密码应用和安全性评估的客观依据更为明确,也使得第三级和第四级系统有了显著区分。
需要说明的是,信息系统所使用密码产品的安全级别遵循GB/T 37092,经商用密码产品认证后确定,在产品认证证书上标明。商用密码应用安全性评估活动中,不对具体密码产品做考察,而是在确保实际使用的密码产品与产品认证证书的一致性后,直接采信产品检测认证的结果。对于应取得而未取得认证证书的商用密码产品,《信息系统密码应用高风险判定指引》将其视作高风险项之一。
4 密钥管理要求的变化
相比于GM/T 0054在正文中对不同等级信息系统提出环节逐渐增多的密钥管理要求的做法,GB/T 39786在正文中重点对密钥管理与使用提出管理性质的要求,将密钥管理生命周期所涉及技术环节内容移至资料性附录A。
这项调整是从标准衔接和可操作性角度考虑的。GM/T 0054对密钥生命周期各环节的要求,本质上是对实现密钥产生、存储、分发、使用等功能的密码产品的技术要求,这些密钥管理的能力基本上是由密码产品来实现的。如前所述,密码应用安全性评估并不对密码产品进行重复检测,而是直接采信密码产品检测认证的结果。从与GB/T 37092衔接的角度,GB/T 39786就不宜再重复规定密码产品的密钥管理安全能力。故此,GB/T 39786一方面在通用要求部分对密钥管理所依托的密码产品和密码服务进行约束,另一方面从GB/T 37092不涉及的管理角度对密钥管理提出要求,如8.5“管理制度”中要求密码应用安全管理制度包含密钥管理的制度、8.6“人员管理”中要求设置密钥管理员等。而将原0054中对密钥管理的技术要求修改后移入资料性附录。
需要注意的是,这并不意味着密钥管理不重要。事实上,密钥生命周期管理对信息系统密码应用安全来说是至为关键的,密码应用方案中应以独立的密钥管理章节详细说明信息系统涉及的密钥,包括其用途、生命周期涉及的环节,以及每个环节上使用了何种密码产品进行了何种保护。在密钥管理制度中,也应清晰说明密钥管理的相关方及其职责,在密钥各生命周期环节的操作规程,以及违反操作规程的惩处措施。在测评时,密评机构应审查密码应用方案的密钥管理部分是否涵盖了各个层面所有的密钥、是否每个密钥的生命周期环节保护描述清晰,以及其保护措施是否能够保障密钥的安全。对于密钥管理的测评,在《信息系统密码应用测评要求》[5]中进行了明确;而在关于密钥管理不当造成的高风险项,在《信息系统密码应用高风险判定指引》[7]中做了清晰规定。
叁
GB/T 39786定位及其配套文件
在密码标准体系之中,GB/T 39786位于“密码应用”大类的“应用要求”子类。
GB/T 39786是信息系统密码应用的纲领性、框架性标准,但并非唯一标准。事实上,由于各行业、各领域信息系统的复杂性,很难用一个统一的标准去精确刻画所有的信息系统密码应用。在GB/T 39786的总框架下,相关标准化组织陆续制订发布了一些针对特定信息系统的密码应用技术要求和指南;密评联委会从测评的角度,也发布了进行密码应用安全性评估活动的一些指导性文件。
1 GB/T 39786框架下的系列密码应用标准
在2018年GM/T 0054发布后,密码行业标准化委员会陆续制订发布了一批针对具体应用场景的密码应用技术要求和指南。这些标准聚焦电子保单、远程移动支付、电子招投标等不同的应用场景,就GM/T 0054的要求在特定信息系统中进行了进一步的具象化,供各行业领域信息系统责任单位参考。随着GB/T 39786的发布,这些标准在将来可能要做少许适应性修订。
表1 GB/T 39786框架下的系列密码应用标准列表
此外,一些相关的密码应用标准正在制订过程中,包括《信息系统密码应用设计指南》和《信息系统密码应用实施指南》等。随着标准化的逐步完善,可为信息系统责任单位提供更多、更有针对性、更细粒度的密码应用指导。
2 基于GB/T 39786的配套测评文件
为了配合GB/T 39786的实施,更好地指导和规范密评活动,中国密码学会密评联委会组织制定了《信息系统密码应用测评要求》[5]《信息系统密码应用测评过程指南》[6]《信息系统密码应用高风险判定指引》[7]《商用密码应用安全性评估量化评估规则》[8]《商用密码应用安全性评估报告模板(2020版)》[9]五个测评类指导性文件,并于2020年12月在国家密码管理局官方网站发布,标准化工作也在有序推进。这五个文件是基本与GB/T 39786同步制订的,都是依据GB/T 39786的最新指标要求展开,内部关系如下图所示。
●《信息系统密码应用测评要求》依照GB/T 39786,规定了信息系统不同等级密码应用的测评要求;
●《信息系统密码应用测评过程指南》指导了信息系统密码应用的测评过程,包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动,规范了各项测评活动及其工作任务;
●《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》是《信息系统密码应用测评要求》的有力补充,充分体现了密评的“综合判定、保住底线”的思路。
●《商用密码应用安全性评估报告模板(2020版)》从结果规范角度给出了密评报告的模板,囊括了《信息系统密码应用测评要求》《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》的相关内容。
3 GB/T 39786与网络安全等级保护的关系
《密码法》第二十七条规定:“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评”。这项规定决定了密码应用安全性评估与等级保护测评的衔接性。对于GB/T 22239中规定的安全要求,GB/T 39786不再重复规定,而是聚焦在GB/T 22239未细致规定的密码应用方面,形成二者既相互补充,又可相互独立实施的格局。对于同时具备等级保护测评、密码应用测评资质的机构,可以充分协调两类评估活动,做到一次现场完成两类评估。
信息系统所应遵循的密码应用等级,目前是参照等保定级的。信息系统根据GB/T 22240—2020《信息安全技术网络安全等级保护定级指南》[10]完成定级备案后,其密码应用等级也相应确定,即等保定级为第一级的对应第一级密码应用基本要求,等保定级为第二级的对应第二级密码应用基本要求,以此类推。从密评机构的视角来看,信息系统完成等保定级是启动密评的基础,密评对象的范围最好也与等保定级范围保持一致,以减少密评对象包含不同等级所带来的复杂性。
需注意的是,GB/T 22239将等级保护要求进一步细分为信息安全类要求(S)、服务保证类要求(A)、其他安全保护类要求(G),等保定级对象可能出现不同类不同级的情况,例如S2A3。整体的等保定级结果,是“就高不就低”的,例如对于S2A3、S3A2,其整体网络安全保护等级都定为三级。目前,密评所参照的是整体网络安全保护等级,不去区分S和A。
肆
关于“应”“宜”“可”
和不适用项的理解
GB/T 39786—2021对于每一个密码应用要求项,采用“应”“宜”或“可”来表达不同的约束程度。国家标准GB 1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》(以下简称GB 1.1)[11]的附录C对“应”“宜”或“可”给出了解释:“应”表示应该、只准许,“宜”表示推荐、建议,“可”表示可以、允许。但对于信息系统责任单位而言,在制定密码应用方案时,如何综合考量“应”“宜”或“可”的要求项哪些需要响应,仅就GB 1.1的这个定义是难以明确的。
为此,《信息系统密码应用测评要求》从测评的角度出发,对测评实践中如何把握“应”“宜”或“可”进行了进一步解释:
——对于“可”的条款,由信息系统责任单位自行决定是否纳入标准符合性测评范围。若纳入测评范围,则密评人员应按照第6章相应的测评指标要求进行测评和结果判定;否则,该测评指标为“不适用”。
——对于“宜”的条款,密评人员根据信息系统的密码应用方案和方案评审意见决定是否纳入标准符合性测评范围;若信息系统没有通过评估的密码应用方案或密码应用方案未做明确说明,则“宜”的条款默认纳入标准符合性测评范围。若纳入测评范围,则密评人员应按照第6章相应的测评指标要求进行测评和结果判定。否则,密评人员应根据信息系统的密码应用方案和方案评审意见,在测评中进一步核实密码应用方案中所描述的风险控制措施使用条件在实际的信息系统中是否被满足,且信息系统的实施情况与所描述的风险控制措施是否一致,若满足使用条件,该测评指标为“不适用”,并在密码应用安全性评估报告中体现核实过程和结果;若不满足使用条件,则应按照第6章相应的测评指标要求进行测评和结果判定。
——对于“应”的条款,密评人员应按照第5章和第6章相应的测评指标要求进行测评和结果判定;若根据信息系统的密码应用方案和方案评审意见,判定信息系统确无与某项或某些项测评指标相关的密码应用需求,则相应测评指标为“不适用”。
从上述文字可以看出,测评指标为“不适用”可能有以下3种情况:
01
条款所对应的保护对象或安全需求不存在。例如对于“应采用密码技术保证设备中的重要信息资源安全标记的完整性”,如果不对信息资源设定安全标记,则本项的保护对象不存在,在测评时相应指标设定为“不适用”。
02
根据信息系统的密码应用方案和方案评审意见确定是否作为“不适用”项。需要注意的是,这种“不适用”的情况仅针对“宜”的条款。当然,在这种情况下认定为“不适用”项,密评机构仍有责任进一步核实,若评估认为所描述的风险控制措施无效或不足以控制风险,则仍需将其纳入测评范围。
03
由信息系统责任单位自行决定是否作为“不适用”项。需要注意的是,这种“不适用”的情况仅针对“可”的条款。信息系统责任单位具有自主选择权,鼓励但不强制采用密码技术满足对应要求。
伍
GB/T 39786的使用
GB/T 39786既是密码应用的纲领性、框架性标准,也是安全性评估的顶层准则。本章站在应用单位和测评机构两个视角,来分别描述GB/T 39786的用途和用法,供各相关方在工作中参考。
1 信息系统责任单位如何使用GB/T 39786
对于信息系统责任单位来说,GB/T 39786是制订密码应用方案的直接依据。信息系统责任单位在充分明确自身信息系统业务需求、安全需求的基础上,制定采用密码技术满足安全需求的密码应用方案。对于方案,信息系统责任单位应进行标准符合性自查,结合等保定级情况,逐条对照GB/T 39786相应级别的要求,自查是符合、部分符合、不符合还是不适用。制定密码应用方案时要重点考虑以下几方面情况:
01
等保定级的范围是什么。对于密码应用方案所涵盖的范围,应与等保定级范围一致,以便于等保测评与密评的协调开展。
02
对于“宜”项,建议慎重考虑选择“不适用”。除非有非常过硬或不可抗力的理由外,一般建议遵循“宜”项,以避免信息系统安全的“木桶效应”。确需选择“不适用”,则应详细描述理由和替代性风险控制措施,供方案评估时参考。一般来讲,“宜”的条款“不适用”的理由可以是:
保护对象不存在或安全需求不存在。例如信息系统不对信息资源设定安全标记,则自然不需要遵循“应采用密码技术保证设备中的重要信息资源安全标记的完整性”。
限于技术、管理、业务、环境上的条件约束,难以甚至无法采用密码技术。对于这类情况,要详细说明客观原因和密码技术以外的风险控制措施。
03
不要忽视管理要求。从长期看,信息安全保障是管理因素大于技术因素的,要从信息系统风险控制的角度,结合业务过程充分、周全考虑并切实落实GB/T 39786所规定的管理制度、人员管理、建设运行、应急处置四个方面的管理要求。如果在组织管理、操作规程、人事管理、信息安全管理等制度中已经涉及到所要求的方面,则不必刻意单独为密码管理制定制度文件,而在相应的制度文件中补充体现密码管理的要求即可。
04
务必重视密钥管理。如前所述,密钥安全是密码应用安全的重中之重,要在密码应用方案中以单独章节描述各个层面密码应用所涉及的密钥,明确其种类和生命周期过程保护措施,以及所涉及的密码设备。系统建设过程中,要制定密钥管理制度,清晰说明密钥管理的规则、相关方及其职责,在密钥各生命周期环节的操作规程,以及违反操作规程的惩处措施等。
2 密评机构如何使用GB/T 39786
对于密码应用安全性评估机构来说,GB/T 39786的直接作用是在“规划”阶段用来评估密码应用方案的合规性,以及指标条款的适用性,《信息系统密码应用测评要求》也是基于GB/T 39786的指标给出测评实施和结果判定等要求。因此GB/T 39786是密评机构开展密评工作的基础性标准。
根据信息系统的密码应用方案和方案评审意见,若通过评估的密码应用方案中的要求,高于信息系统相对应的密码应用基本要求等级的指标要求,则应按照密码应用方案中的要求进行测评。例如,根据密码应用需求,对网络安全保护等级第三级的信息系统,选取了网络安全保护等级第四级信息系统的相关指标要求。对上述特殊情况进行测评实施的结论应体现在密码应用安全性评估报告中。
信息系统的商用密码应用测评的最终输出是密码应用安全性评估报告,在报告中应给出各个测评单元(见《测评要求》第6章)的测评结果、整体测评结果(见《测评要求》第7章),以及在进行风险分析和评价(见《测评要求》第8章)后给出的测评结论(见《测评要求》第9章)。其中,整体测评结果是以测评单元的判定结果为基础,经单元间、层面间测评相互弥补后得出的纠正结果;风险分析和评价是对整体测评结果中的不符合项和部分符合项,判断信息系统密码应用在合规性、正确性和有效性方面的不符合所产生的安全问题被威胁利用后对信息系统造成影响的程度;测评结论是由综合得分以及风险分析和评价共同决定,表示信息系统达到相应密码等级保护要求的程度。
参考文献
[1]GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》,国家标准化管理委员会,2021年3月发布
[2]GM/T 0054—2018《信息系统密码应用基本要求》,密码行业标准化技术委员会,2018年2月发布
[3]GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》,国家标准化管理委员会,2019年5月发布
[4]GB/T 37092—2018《信息安全技术密码模块安全要求》,国家标准化管理委员会,2018年12月发布
[5]《信息系统密码应用测评要求》,中国密码学会密评联委会,2020年12月发布
[6]《信息系统密码应用测评过程指南》,中国密码学会密评联委会,2020年12月发布
[7]《信息系统密码应用高风险判定指引》,中国密码学会密评联委会,2020年12月发布
[8]《商用密码应用安全性评估量化评估规则》,中国密码学会密评联委会,2020年12月发布
[9]《商用密码应用安全性评估报告模板(2020版)》,中国密码学会密评联委会,2020年12月发布
[10]GB/T 22240—2020《信息安全技术网络安全等级保护定级指南》,国家标准化管理委员会,2020年4月发布
[11]GB/T 1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》,国家标准化管理委员会,2020年3月发布