豪密科技第 16 期密评实操能力验证培训 - 2025/02/22 上午
有幸参加了公司安排的豪密科技第 16 期密评实操能力验证培训,本文是第九课 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》和 GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》学习与使用的培训内容。
概述——GB/T 39786-2021 来源、定位是什么?
颁布实施:2019 年 10 月 26 日,《密码法》颁布,于 2020 年 1 月 1 日正式实施。
《密码法》有关条款
- 第二十二条 国家建立和完善商用密码标准体系。
- 第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
- 第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位……
《密码法》条款执行
- 作为商用密码技术标准体系中一个国家标准,GB/T 39786-2021 成为对重要的网络和信息系统,特别是关键信息基础设施使用商用密码进行保护的基本要求,用于信息系统密码应用方案设计的依据。
- 基于 GB/T 39786-2021 编制的密码应用与测评技术文件成为密评机构实施密评活动必须遵循的技术规范。
- 密码管理部门和有关部门依据 GB/T 39786-2021、GB/T 43207-2023 等对重要网络和信息系统运营者使用商用密码进行保护提出要求;按照《商用密码检测机构管理办法》《商用密码应用安全性评估管理办法》等对密评机构开展密评实施监管。
GB/T 39786-2021 来源
- GM/T 0054-2018《信息系统密码应用基本要求》
- 基本情况:GM/T 0054-2018 按照物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面,以及单独的管理层面,分别描述每层中第一级到第四级信息系统的密码应用要求。
- 应用:GM/T 0054-2018 作为信息系统密码……
- GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
- 基本情况:GB/T 39786-2021 在 GM/T 0054 基础上编制而成……
- 应用:……
GB/T 39785-2021 与网络安全等级保护的关系
- 密评与等保测评保持衔接:《密码法》第二十七条规定:“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评”。这项规定决定了密码应用安全性评估与等级保护测评的衔接性。对于 GB/T 22239 中规定的安全要求,GB/T 39786-2021 不再重复规定,而是聚焦在 GB/T 22239 未细致规定的密码应用方面,形成二者既相互补充,又可相互独立实施的格局。对于同时具备等级保护测评、密码应用测评资质的机构,可以充分协调两类评估活动,做到一次现场完成两类评估。
- 密评与等保测评对象范围保持一致
- 信息系统所应遵循的密码应用等级,目前是参照等保定级的。信息系统根据 GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》完成定级备案后,其密码应用等级也相应确定,即等保定级为第一级的对应第一级密码应用基本要求,等保定级为第二级的对应第二级密码应用基本要求,以此类推。从密评机构的视角来看,信息系统完成等保定级是启动密评的基础,密评对象的范围最好也与等保定级范围保持一致,以减少密评对象包含不同等级所带来的复杂性。
- 需注意的是,GB/T 22239 将等级保护要求进一步细分为信息安全类要求(S)、服务保证类要求(A)、其他安全保护类要求(G),等保定级对象可能出现不同类不同级的情况,例如 S2A3。整体的等保定级结果,是“就高不就低”的,例如对于 S2A3、S……
等保像体检,密评像做 CT
GB/T 39786-2021 简介——GB/T 39786-2021 有哪些内容?编制特点是什么?
GB/T 39786-2021 基本情况
GB/T 39786-2021 在 GM/T 0054-2018 基础上编制而成,标准规定了信息系统第一级到第四级的密码应用的基本要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用管理要求。
标准适用于指导、规范信息系统密码应用的规划、建设、运行及测评。在本标准的基础上,各领域与行业可结合本领域与行业的密码应用需求来指导、规范信息系统密码应用。
标准定义术语包括:机密性、数据完整性、真实性、不可否认性、加密、密钥、密钥管理、身份鉴别、消息鉴别码、动态口令、访问控制,共计 11 个。
标准给出了信息系统密码应用技术框架(密码应用技术要求维度、密码应用管理要求维度)、密码应用基本要求等级描述、通用要求。
标准详细给出第一级到第四级密码应用基本要求。
信息系统密码应用基本要求包括:通用要求和基本应用要求。
- 通用要求
- 密码算法
- 密码技术
- 密码产品和服务
- 基本应用要求
- 应用技术要求
- 应用和数据
- 物理和环境
- 网络和通信
- 设备和计算
- 管理要求
- 管理制度
- 人员管理
- 建设运行
- 应急处置
- 应用技术要求
- 附录部分:密钥管理
GB/T 39786-2021 与 GM/T 0054-2018 两个标准的差异:与 GM/T 0054-2018《信息系统密码应用基本要求》相比,GB/T 39786 加强了与国家标准 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》相衔接,明确了不同等级信息系统所使用的密码产品的安全级别要求。该标准结合近年来商用密码应用与安全性评估工作实践对部分内容进行了优化,按照信息系统安全等级分别提出了相应的密码应用要求。主要的变化有四个方面:
行文结构的变化
GM/T 0054 采用了“先分层,后分级”的行文结构,按照物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面,以及单独的管理层面,分别描述每层中第一级到第四级信息系统的密码应用要求。
GB/T 39786 则改为了“先分级,后分层”的行文结构,按照信息系统密码应用第一级到第五级……
完整性要求的变化
GB/T 39786-2021 总体上将 GM/T 0054-2018 第三集对完整性要求的约束程度由“应”调整为“宜”,第四级维持“应”。这项调整的主要原因是与 GB/T 22239-2019 形成更好的衔接。
在 GB/T 22239-2019 中,对于网络安全等级保护第三级的数据完整性要求是“应采用校验技术或密码技术”进行完整性保护,见 GB/T 22239-2019 的 8.1.2.2 和 8.1.4.7;对于网络安全等级保护第四级提出“应采用密码技术”进行完整性保护……
密钥管理要求的变化
相比于 GM/T 0054 在正文中对不同等级信息系统提出环节逐渐增多的密钥管理要求的做法,GB/T 39786 在正文中重点对密钥管理与使用提出管理性质的要求,将密钥管理生命周期所涉及技术环节内容移至资料性附录 A。
这项调整是从标准衔接和可操作性角度考虑的。GM/T 0054 对密钥生命周期各环节的要求,本质上是对实现密钥产生、存储、分发、使用等功能的密码产品的技术要求,这些密钥管理的能力基本上是由密码产品来实现的。如前所述,密码应用安全性评估并不对密码产品进行重复检测,而是直接采信密码产品检测认证的结果。从与 GB/T 37092 衔接的角度,GB/T 39786-2021 就不宜再重复规定密码产品的密钥管理安全能力。
故此,GB/T 39786-2021 一方面在通用要求部分对密钥管理所依托的密码产品和密码服务进行约束,另一方面从 GB/T 37092 不涉及的管理角度对密钥管理提出要求,如 8.5“管理制度”中要求密码应用安全管理制度包含密钥管理的制度、8.6“人员管理”中要求设置密钥管理员等。而将原……
需要注意的是,这并不意味着密钥管理不重要。事实上,密钥生命周期管理对信息系统密码应用安全来说是至为关键的,密码应用方案中应以独立的密钥管理章节详细说明信息系统涉及的密钥,包括其用途、生命周期涉及的环节,以及每个环节上使用了何种密码产品进行了何种保护。在密钥管理制度中,也应清晰说明密钥管理的相关方及其职责,在密钥各生命周期环节的操作规程,以及违反操作规程的惩处措施。
在测评时,密评机构应审查密码应用方案的密钥管理部门是否涵盖了各个层面所有的密钥、是否每个密钥的生命周期环节保护描述清晰、……
关于“应”、“宜”、“可”和“不适用”项
GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》从测评的角度出发,对测评实践中如何把握“应”“宜”或“可”进行了解释:
“应”表示应该、只准许
对于“应”的条款,密评人员应按照第 6 章和第 7 章中相应的测评指标要求进行测评和结果判定。
如根据信息系统的密码应用方案和方案评估意见,密评人员应判定信息系统确实不存在与测评指标相关的密码应用需求,则相应测评指标为“不适用”;否则,相关条款纳入测评和结果判定范围。
“宜”表示推荐、建议
对于“宜”的条款,密评人员应确认信息系统是否具有已通过评估的密码应用方案。
如信息系统没有通过评估的密码应用方案,或方案评估意见中未对“不适用”项作出明确说明,则“宜”的条款纳入测评和结果判定范围。
如信息系统有已通过评估的密码应用方案,且方案评估意见中对“宜”条款作出了明确说明,则密评人员应根据信息系统的密码应用方案和方案评估意见决定是否纳入测评和结果判定范围。
如未纳入测评和结果判定范围,则密评人员应……
……
“可”表示可以、允许
对于“可”的条款,由信息系统责任方自行决定是否纳入测评和结果判定范围。
如信息系统责任方确认纳入测评和结果判定范围,且密评人员经核实后判定信息系统不存在与测评指标相关的密码应用需求,则密评人员应在密码应用安全性评估报告中体现核实过程和结果,相应测评指标为“不适用”
……
“不适用”项可能有以下 3 种情况
条款所对应的保护对象或安全需求不存在:例如对于“应采用密码技术保证设备种的重要信息资源安全标记的完整性”,如果不对信息资源设定安全标记,则本项的保护对象不存在,在测评时相应指标设定为“不适用”。
根据信息系统的密码应用方案和方案评审意见确定是否作为“不适用”项:需要注意的是,这种“不适用”的情况仅针对“宜”的条款。当然,在这种情况下认定为“不适用”项密评机构仍有责任进一步核实,若评估认为所描述的风险控制措施无效或不足以控制风险,则仍需将其纳入测评范围。
有信息系统责任单位自行决定是否作为“不适用”项:需要注意的是,这种“不适用”的……
基于 GB/T 39786-2021 密评技术文件——基于 GB/T 39786-2021 的密评技术文件有哪些?
GB/T 39786-2021 与 GB/T 43207-2023
密码应用方案种专门单列一个小节,其中,给出密码应用合规性对照表。
该对照表以 GB/T 39786-2021 为标准,针对方案种各指标要求,对照密码技术应用点,在指标要求适用时,给出采用密码保障措施对指标的符合性判定自评结果;如果指标要求不适用,给出采取缓解及替代性措施的说明。
GB/T 39786-2021 与密码应用方案评估
密评人员施行密码应用方案评估时,有一项重要工作:核查密码应用应用合规性对照表自查情况。依据 GB/T 39786-2021,结合密码应用方案种密码应用具体需求,核查指标适用情况/不适用情况,采取的密码保障措施与指标要求的符合性情况,以及对应不适用指标采取缓解及替代性措施对风险缓解的有效性。
GB/T 39786-2021 与密码应用方案评估报告编制
方案评估报告中需要根据系统密评等级,结合密码应用方案给出各层面安全需求,核查测评指标适用情况后,按模板在报告给出指标适用情况及论证说明。
基于 GB/T 39786-2021 的配套测评文件
为了配合 GB/T 39786-2021 的实施,更好地指导和规范密评活动,中国密码学会密评联委会组织制定了如下配套测评文件:
《信息系统密码应用测评要求》(GB/T 43206-2023、行标 GM/T 0115-2021)。依照 GB/T 39786-2021,规定了信息系统不同等级密码应用的测评要求;
《商用密码应用安全性评估测评实施指引》《商用密码应用安全性评估测评工具指引》细化了 GB/T 43206-2023 具体实施。
《信息系统密码应用测评过程指南》(GM/T 0116-2021)。指导了信息系统密码应用的测评过程,包括测评准备活动、方案编制活动……
《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》。是《信息系统密码应用测评要求》的有力补充,充分体现了密评的“综合判定、保住底线”的思路。
《商用密码应用安全性评估报告模板(2023 版)》-系统密评报告。从规范测评过程、分析、结果描述角度给出了密评报告的模板,囊括了《信息系统密码应用测评要求》《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》的相关要求内容。
这几个文件都是依据 GB/T 39786-2021 的指标要求实施使用。另外,测评实施要求之下新增两个配套的指导性技术文件:《商用密码应用安全性评估测评实施指引》和《商用密码应用安全性评估测评工具指引》
GB/T 39786-2021 与 GB/T 43206-2023
按照 GB/T 43206-2023 对信息系统实施测评,依据 GB/T 39786-2021 对密码应用基本要求的指标,结合系统密码应用方案和方案评估报告,核查系统实际安全需求、密码应用场景……
例如通用测评要求中对密码算法、技术、产品、服务等测评指标明确要求满足行业标准……
GB/T 39786-2021 与 GM/T 0115-2021
作为行标 GM/T 0115-2021 技术要求上比国标 GB/T 43206-2023 要求高,测评时除需要符合 GB/T 43206-2021 对指标符合性做定性判定外(符合/部分符合/不符合/不适用),还须做定量判定(量化评估)。另外,通用测评要求中对密码算法、技术、产品、服务等测评指标明确要求满足行业标准(GB/T 39786-2021)增加了适用到第五级。
GB/T 39786-2021 与量化评估
对测评对象量化打分是对测评结果与测评指标符合性定量描述,对测评对象 DAK 判定是整个量化评估的基础。
为区分不同测评指标对应测评单元下密码应用安全防护措施重要程度,计算各层面的量化评估时采用了不同权重,使用加权平均值方式计算层面量化评估值。
GB/T 39786-2021 与高风险判定
风险判定依据各测评单元对应测评指标判定出现不符合、部分符合问题情况,做风险分析。当出现高风险项时,直接给出高风险判定。
GB/T 39786-2021 与系统密评报告编制
系统密评报告是将“测”+“评”按照密评报告模板要求的方式编制而成。报告明确要求给出测评的基本指标、不适用指标及特殊指标。这项工作是在系统密评等级确定后,首先必须完成的一项工作。是整个测评的基础,决定着测评质量。
系统密评须依据 GB/T 39786-2021 确定测评指标,给出各测评对象的指标符合性定性判定,在此基础上给出测评单元的指标符合情况,并按照报告模板格式要求填写给出。
系统密评须依据 GB/T 39786-2021 确定测评指标,给出各测评对象的指标符合量化评估值(测评对象评分),在此基础上给出测评单元得分……
GB/T 39786-2021 使用要点——如何使用 GB/T 39786?
信息系统责任单位使用 GB/T 39786:对于信息系统责任单位来说,GB/T 39786 是制订密码应用方案的直接依据。信息系统责任单位在充分明确自身信息系统业务需求、安全需求的基础上,制定采用密码技术满足安全需求的密码应用方案。对于方案,信息系统责任单位应进行标准符合性自查,结合等保定级情况,逐条对照……
密评机构使用 GB/T 39786:对于密码应用安全性评估机构来说,GB/T 39786-2021 的直接作用是在“规划”阶段用来评估密码应用方案的合规性,以及指标条款的适用性。……
基本原则
GB/T 39786-2021 是密码应用方案编制、系统测试、评估实施、报告编制、密评活动监管的基本依据。是密码应用方案编制方、密评机构、各密码管理局共同使用的技术标准。
按等保定级等级实施密评,将 GB/T 39786-2021 测评指标结合密码应用测评对象实际需求确定对测评对象依据指标实施测评是密评的基本原则。
测评指标适用性判定依据技术标准严格使用。不适用测评指标不意味……
测评指标符合性判定(符合/部分符合/不符合/不适用)与量化评估赋值、高风险判定具有关联性、一致性。
针对测评对象的测评指标符合性定性判定(符合/部分符合/不符合/不适用)、定量赋值是密评的核心,是密评报告编制最重要的工作之一。
系统密评报告包括完整的测评指标确定、测评指标符合性定性判定、量化评估定量判定全过程。方案评估报告不体现对……
系统密评实施过程如下:
依规、依标实施密评
依据规定:密评等级与等保定级一致;密评系统与等保系统一致
依据标准:GB/T ……
按标准的一般性要求结合具体密码应用场景制定测评指标,按测评要求针对实际测评指标具体问题具体分析试试密评
依据具体应用场景:确定测评对象
测评……
围绕测评指标符合性判定实施量化评估、高风险判定。
依据测评指标,针对测评对象密码应用防护措施具体情况做 DAK 判定,给出量化评估值;逐步给出测评单元、测评层面的量化评估值,最终给出系统的量化评估值。
按模板编制密评报告
根据系统的密评等级,结合实际场景按模板要求给出测评指标适用指标、不适用指标……
概述
GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》(以下简称 GB/T 43206-2023)以 GM/T 0115-2021《信息系统密码应用测评要求》为基础编制……
GB/T 43206-2023 依据 GB/T 39786-2021,对应密评等级的指标要求,以测评对象密码应用指标符合性测评为基础,重点针对信息系统密码应用指标符合性实施定性评估,最后结合高风险判定给出测评结论。
作为 GB/T 43206-2023 配套的指导性技术文件,《商用密码应用安全性评估测评实施指引》和《商用密码应用安全性评估测评工具指引》进一步规范了测评作业实施工作,给出了系统密评取证具体范例,非常有利于密评报告编制的规范和统一。
GB/T 43206-2023 简介
按照国标技术文件格式规范,顺序给出前言、范围、规范性使用文件、术语和定义、标准主体内容、附录、参考文献。
内容主体行文顺序
首先,以“通则”形式针对信息系统密码应用测评指标“应”、“宜”、“可”明确给出使用判定方法。
对应 GB/T 39786-2021《信息系统密码应用基本要求》,密评人员依据 GB/T 39786 指标体系“应”、“宜”、“可”要求,结合系统密评等级和实际业务应用,对测评指标是否纳入测评和结果判定范围作出判定,是测评实施第一步,也是最关键的一步。
内容主体对应 GB/T 39786-2021 各等级密码应用要求顺序,按“通用测评要求”,“技术测评要求”、“管理测评要求”顺序编写。便于密评人员对照 GB/T 39786-2021 密码应用要求,使用标准,实施测评。
主要评估行文按“整体测评要求”,“风险分析和评价”,“测评结论”顺序……
内容“层”、“级”描述
先分“层”,再分“级”。先按密码应用“安全层面”分类,再在每个层面下给出不同“密评等级”的指标测评要求。(注意与 GB/T 39786-2021 不同,为啥?)
技术测评要求测评实施顺序
技术测评要求测评实施时,针对测评对象,首先核查采用密码算法、密码技术是否符合通用测评要求。再核查密码产品、密码服务、密钥管理是否符合通用测评要求;最后,针对测评指标,进一步核查……
与 GM/T 0115-2021 的差异
GB/T 43206-2023 特点
测评要求未增加,有删减:相比较 GM/T 0115-2021,GB/T 43206-2023 删去了量化评估的测评要求,降低了技术要求,便于大众理解掌握。
测评机构仍需掌握 GM/T 0115-2021,编制密评报告:密评报告模板是与 GM/T 0115-2021 配套的,密评人员仍然需要实施量化评估,依据 GM/T 0115-2021 定量分析,编制密评报告。
表述更加精炼、清晰
- GB/T 43206-2023 对测评指标“宜”表述更为简洁
- GB/T 43206-2023 去掉测评单元形式语句,结构更清晰、精炼
- 对管理测评要求,给出标题更精炼、规范
- 典型密码功能测评技术预期结果表述更准确
- 小结:方便密评人员实施测评操作。
差异
- 国标中评估结论已经去掉了量化评估,代之以一般性描述
- 国标中增加了术语:测评单元、测评指标、测评对象
- 国标概述部分作了较大的修改(GB/T 43206-2023)
- 去掉“概述”,改为“通则”,且内容仅仅描述测评指标“应”、“宜”、“可”判定。
- 测评指标“宜”的条款判定,强调“密码应用方案”和“方案评估意见”的依据作用,根据方案是否给出“纳入测评和结果判定范围”为界,加以描述。
- 强调信息系统是否有与测评指标相关的密码应用需求实际情况作为判断依据。
- 表述方式精简掉了测评单元的形式
- 测评指标按 GB/T 39786-2021 给出完整表述
- 结果判定部分强调可能存在多个测评对象,作清晰表述
- 区分技术测评要求和管理测评要求
- 修改管理测评要求测评单元表述(将动作表述改为名词描述)
- 典型密码功能测评技术补充说明项且对预期结果修改表述
- 典型密码产品应用测评技术调整描述
GB/T 43206-2021 的使用要点
准确理解测评指标“应”、“宜”、“可”,正确判定指标的“不适用”性:对信息系统……
了解掌握 GB/T 43206-2023 与 GM/T 0115-2021 联系与区别,正确使用两个标准:通过差异比较,了解国标与行标的区别与联系,加强对 GB/T 43206-2023、GM/T 0115-2021 理解,熟悉各自使用特点,掌握使用方法。
掌握与 GB/T 43206-2023 配套的指导性测评技术文件,规范性实施测评:结合《商用密码应用安全性评估测评实施指引》和《商用密码应用安全性评估测评工具指引》使用,利用 GB/T 43206-2023 ……
依据 GM/T 0115-2021 实施量化评估,编制密评报告:量化评估技术未在 GB/T 43206-2023 要求之中,只在……
掌握典型密码功能测评技术:理解典型密码功能实现机制,掌握典型密码功能测评技术原理,在密评实践中灵活运用测评技术。
掌握典型密码产品应用测评技术:熟悉典型密码产品功能和部署场景、使用方法。在密评实践中能按要求对典型密码产品实施测评。
测时按国标测,评时以行标评