发布国家标准GBT39786-2021《信息安全技术信息系统密码应⽤基本要求》2021年3⽉9⽇,《信息安全技术 信息系统密码应⽤基本要求》(GB/T 39786-2021)正式发布,并于2021年10⽉1⽇起实施。“基本要求”从⾏业标准上升为国家标准,是商⽤密码应⽤与安全性评估⼯作的重要⾥程碑,对促进我国密码事业发展,规范密码应⽤,具有重要意义。密码技术作为⽹络安全的基础核⼼技术,是信息保护和⽹络信任体系建设的基础,是保障⽹络空间安全的关键技术。《信息安全技术 信息系统密码应⽤基本要求》(GB/T 39786-2021)标准,以下简称“基本要求”,主要适⽤于指导、规范信息系统密码应⽤的规划、建设、运⾏、测评。在“基本要求”基础上,各个领域与⾏业可以结合本领域⾏业的密码应⽤需求来指导、规范信息系统密码应⽤。“基本要求”从信息系统的物理和环境安全、⽹络和通信安全、设备和计算安全、应⽤和数据安全四个层⾯提出密码应⽤技术要求,保障信息系统的实体⾝份真实性、重要数据的机密性和完整性、操作⾏为的不可否认性;并从信息系统的管理制度、⼈员管理、建设运⾏和应急处置四个⽅⾯提出密码应⽤管理要求,为信息系统提供管理⽅⾯的密码应⽤安全保障。技术要求主要由机密性、完整性、真实性、不可否认性四个密码安全功能维度构成,主要采⽤的技术有基于密码技术的加解密功能,基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术实现完整性。“基本要求”对信息系统密码应⽤划分为⾃低向⾼的五个安全等级。该标准从物理和环境安全、⽹络和通信安全、设备和计算安全、应⽤和数据安全等四个⽅⾯提出了密码应⽤技术要求,以及管理制度、⼈员管理、建设运⾏、应急处置等密码应⽤管理要求。与GM/T0054 -2018《信息系统密码应⽤基本要求》相⽐,该标准结合近年来商⽤密码应⽤与安全性评估⼯作实践对部分内容进⾏了优化,按照信息系统安全等级分别提出了相应的密码应⽤要求。对照学习⽂件可以参考:《信息安全技术 信息系统密码应⽤基本要求》(GB/T 39786-2021)与商⽤密码应⽤安全性评估。电 ⼦ 版 下 载 ⽅ 式如下 :
