密评二:基于GB/T39786一2021要求解读

2022-6-28 406 6/28

规定内容

从通用要求、技术要求、管理要求三方面对密评系统做出要求。

其中技术要求分为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面。

管理要求分为管理制度、人员管理、建设运行、应急处置四个方面。

法规适用对象

通用要求适用于第一至第五级密评系统,技术要求和管理要求适用于第一至第四级密评系统。

功能维度

技术要求,保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的不可否认性;
管理要求,保障信息系统的管理安全。

通用要求解读

[qzdypre]法规原文

第一级到第五级的信息系统应符合以下通用要求:
a)信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求;
b)信息系统中使用的密码技术应遵循密码相关国家标准和行业标准;
C)信息系统中使用的密码产品、密码服务应符合法律法规的相关要求。[/qzdypre]

信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求

包含:

1.对称算法 SM1(标准未公开,采用专用硬件加密芯片)

2.SM4、SM7(智能卡专用)

3.非对称算法 SM2

4.杂凑算法 SM3

5.标识算法 SM9

6.流加密算法 ZUC

信息系统中使用的密码技术应遵循密码相关国家标准和行业标准

包含:

1.随机数生成技术,保证密钥生成安全,采用真随机数发生器。

2.签名验证技术,保证信息的真实性、完整性、不可否认性。所用算法: SM2+SM3、SM9+SM3。

3.加解密技术,保证信息的机密性。所用算法:SM1、SM4、SM7。

4.消息鉴别码(MAC)技术,保证信息的完整性,所用算法:SM3+密钥。

信息系统中使用的密码产品、密码服务应符合法律法规的相关要求

使用的密码产品应通过商用密码产品认证,目前国家密码管理局已发布的产品名录包含28类产品(第一批22类+第二批6类)。

认证名录第一批认证名录第二批

使用的密码服务或者机构应该获得国家密码局的相关标准或者认证。

电子认证许可机构电子政务认证服务机构标准规范

未完待续

 

- THE END -
Tag:

Tenkms

12月01日00:02

最后修改:2023年12月1日
0

非特殊说明,本博所有文章均为博主原创。

共有 0 条评论