标准规范下载简介
GB_T 39786-2021 信息安全技术 信息系统密码应用基本要求.pdf简介:
GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》是由中国国家标准管理机构发布的一项信息安全技术标准。该标准的全称为《信息安全技术 信息系统密码应用基本要求》,于2021年发布,主要针对信息系统中的密码应用提供了一套全面的要求和指导。
该标准的主要目的是为了规范和指导密码在信息系统中的安全应用,包括密码的选用、存储、传输、管理和使用等方面。它强调了密码在保护信息安全中的关键作用,要求密码策略必须符合强度、安全性和管理的有效性,以防止密码泄露、猜测和暴力破解等风险。
标准中详细规定了密码的生成、加密、解密、更新、撤销和验证等各个环节的操作方法,以及密码策略的制定、实施和审计等方面的要求。它旨在提升信息系统密码使用的安全性,保护用户数据的隐私和完整性,防止因密码管理不当带来的安全风险。
总的来说,GB/T 39786-2021是信息安全领域的一项重要标准,对于推动我国信息系统密码应用的规范化、标准化具有重要意义。
GB_T 39786-2021 信息安全技术 信息系统密码应用基本要求.pdf部分内容预览:
本标准规定了信息系统第一级到第四级的密码应用的基本要求,从信息系统的物理和环境安全、网 络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术 要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用管理 要求。 注:第五级密码应用仅在本标准中描述通用要求,第五级密码应用技术要求和管理要求不在本标准中描述。 本标准适用于指导、规范信息系统密码应用的规划、建设、运行及测评。在本标准的基础之上,各领 域与行业可结合本领域与行业的密码应用需求来指导、规范信息系统密码应用
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T37092信息安全技术密码模块安全要求
T∕CECS768-2020公寓建筑设计标准.pdf4.1信息系统密码应用技术框架
本标准从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层 面提出密码应用技术要求,保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的 不可否认性;并从信息系统的管理制度、人员管理、建设运行和应急处置四个方面提出密码应用管理要 求,为信息系统提供管理方面的密码应用安全保障
4.1.2密码应用技术要求维度
技术要求主要由机密性、完整性、真实性、不可否认性四个密码安全功能维度构成,具体保护对象或 用场景描述如下: a)机密性技术要求保护对象 使用密码技术的加解密功能实现机密性,信息系统中保护的对象为: 1)身份鉴别信息; 2)密钥数据; 3)传输的重要数据; 4)信息系统应用中所有存储的重要数据。 b)完整性技术要求保护对象 使用基于对称密码算法或密码杂凑算法的消息鉴别码机制、基于公钥密码算法的数字签名机 制等密码技术实现完整性,信息系统中保护的对象为: 1)身份鉴别信息; 2)密钥数据:
3)目志记录; 4)访问控制信息; 5)重要信息资源安全标记; 6)重 重要可执行程序; 7)视频监控音像记录; 8)电子门禁系统进出记录; 9)传输的重要数据; 10)信息系统应用中所有存储的重要数据。 1 真实性技术要求应用场景 使用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码机制、基于公钥密码算法 的数字签名机制等密码技术实现真实性,信息系统中应用场景为: 1)进人重要物理区域人员的身份鉴别; 2)通信双方的身份鉴别; 3) 网络设备接入时的身份鉴别; 4)重 重要可执行程序的来源真实性保证; 5)登录操作系统和数据库系统的用户身份鉴别; 6)应用系统的用户身份鉴别。 d)不可否认性技术要求保护对象 使用基于公钥密码算法的数字签名机制等密码技术来保证数据原发行为的不可否认性和数据 接收行为的不可否认性。
4.1.3密码应用管理要求维度
第 一级到第五级的信息系统应符合以下通用要求: a) 信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有 要求; b) 信息系统中使用的密码技术应遵循密码相关国家标准和行业标准; C) 信息系统中使用的密码产品、密码服务应符合法律法规的相关要求
第一级到第五级的信息系统应符合以下通用要求: a) 信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关 要求; 信息系统中使用的密码技术应遵循密码相关国家标准和行业标准; C) 信息系统中使用的密码产品、密码服务应符合法律法规的相关要求
本级要求包括: 日) 可采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; D) 可采用密码技术保证电子门禁系统进出记录数据的存储完整性; ·》 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格。
本级要求包括: 日) 2 可采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; D) 可采用密码技术保证通信过程中数据的完整性; C) 可采用密码技术保证通信过程中重要数据的机密性; d) 1 可采用密码技术保证网络边界访问控制信息的完整性; 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格。
本级要求包括: 日) 可采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; bD) 可采用密码技术保证系统资源访问控制信息的完整性; C) 可采用密码技术保证日志记录的完整性; 1) 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格
本级要求包括: 1 可采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; ) 可采用密码技术保证信息系统应用的访问控制信息的完整性; ) 可采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 1) 可采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; e) 可采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; ) 可采用密码技术保证信息系统应用的重要数据在存储过程中的完整性;
P 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格
使用密码技术的信息系统应符合以下管理制度要求: a) 应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬 件及介质管理等制度; b)应根据密码应用方案建立相应密钥管理规则
使用密码技术的信息系统应符合以下人员管理要求: a) 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; b)应及时终止离岗人员的所有密码应用相关的访问权限、操作权限,
本级要求包括: a)应依据密码相关标准和密码应用需求,制定密码应用方案; b) 应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要 求参照附录B; c)应按照密码应用方案实施建设; d)投入运行前可进行密码应用安全性评估
第二级密码应用基本要求
本级要求包括: Ea)T 宜采用密码技术进行物理访问身份鉴别,保证重要区域进人人员身份的真实性; b) 可采用密码技术保证电子门禁系统进出记录数据的存储完整性; C) 1 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格; d)以上采用的密码产品,应达到GB/T37092一级及以上安全要求
本级要求包括: E) 2 宜采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; b) 可采用密码技术保证通信过程中数据的完整性; C) 宜采用密码技术保证通信过程中重要数据的机密性; d) 可采用密码技术保证网络边界访问控制信息的完整性; e) 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格;
以上采用的密码产品,应达到GB/T37092一级及以上安全要求,
本级要求包括: 日E) 宜采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; b) 1 可采用密码技术保证系统资源访问控制信息的完整性; C) 2 可采用密码技术保证日志记录的完整性; d) 1 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格; e) 以上采用的密码产品,应达到GB/T37092一级及以上安全要求
本级要求包括: 2 宜采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; D) 可采用密码技术保证信息系统应用的访问控制信息的完整性; C) 宜采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; ? 宜采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; e) 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; F) 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 官g) 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格; h) 以上采用的密码产品,应达到GB/T37092一级及以上安全要求。
使用密码技术的信息系统应符合以下管理制度要求: 日) 应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬 件及介质管理等制度; b) 2 应根据密码应用方案建立相应密钥管理规则; C) 应对管理人员或操作人员执行的日常管理操作建立操作规程。
使用密码技术的信息系统应符合以下人员管理要求: 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; D) 1 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: ) 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训GB51174-2017 城镇雨水调蓄工程技术规范.pdf,确保其具备岗位 所需专业技能; d) 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务
使用密码技术的信息系统应符合以下人员管理要求: 1) 1M不 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; D) 1 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限; C) 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗 所需专业技能; d) 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务,
本级要求包括: a) 应依据密码相关标准和密码应用需求,制定密码应用方案; b) 1! 应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要 求参照附录B; C) 应按照应用方案实施建设;
T∕CEMIA 006-2018 膜厚监控用石英晶振片.pdf投入运行前宜进行密码应用安全性评估
第三级密码应用基本要求
本级要求包括: 宜采用密码技术进行物理访问身份鉴别,保证重要区域进人人员身份的真实性; b) 1 宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; C) 1 宜采用密码技术保证视频监控音像记录数据的存储完整性; d) 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格; e)以上采用的密码产品,应达到GB/T37092二级及以上安全要求