电子公文密码应用规范国家标准《信息安全技术信息系统密码应用基本要求》解读|上海羊羽卓进出口贸易有限公司

国家标准《信息安全技术信息系统密码应用基本要求》解读

政策背景

2018年，为指导当时即将启动的商用密码应用安全性评估试点工作，国家密码管理局发布了密码行业标准GM/T0054-2018《信息系统密码应用基本要求》（以下简称GM/T0054）。该标准制定以来，充分验证了GM/T 0054的科学性和可行性。因此，在2021年3月，国家市场监管总局、国家标准化管理委员会发布公告，正式发布国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》（以下简称GB/T 39786），该标准将于2021年10月1日起实施，主要是为了贯彻落实《中华人民共和国密码法》，指导商用密码应用与安全性评估工作的一项基础性标准，对于规范和引导信息系统合规、正确、有效应用密码，切实维护国家网络与信息安全具有重要意义。

此次GB/T 39786在GM/T 0054基础上进一步修改完善，制订发布为国家标准，其完备性、合理性、可操作性都得到进一步提升，突出了其在商用密码应用标准体系中的基础性地位。

GB/T 39786从两个维度提出了相关要求，分别是技术层面和管理层面，技术层面从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了相关技术要求；管理层面从管理制度、人员管理、建设运行、应急处置等四个方面提出了相关管理要求。与GM/T0054相比， GB/T 39786结合近年来商用密码应用与安全性评估工作实践对部分内容进行了优化，按照信息系统安全等级分别提出了相应的密码应用要求，并且加强了与国家标准GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》（以下简称GB/T 22239）的衔接，明确了不同等级信息系统所使用的密码产品的安全级别要求，并结合密评工作实践对内容进行了优化，使之更为科学合理。

GB/T 39786与等级保护2.0的关系

本标准对信息系统密码应用划分为自低向高的五个等级，参照GB/T 22239的等级保护对象应具备的基本安全保护能力要求，本标准提出密码保障能力逐级增强的要求，用一、二、三、四、五表示。信息系统管理者可按照业务实际情况选择相应级别的密码保障技术能力及管理能力，各等级描述如下:

第一级是信息系统密码应用安全要求等级的最低等级，要求信息系统符合通用要求和最低限度的管理要求，并鼓励使用密码保障信息系统安全;第二级是在第一级要求的基础上，增加操作规程、人员上岗培训与考核、应急预案等管理要求﹐并要求优先选择使用密码保障信息系统安全;第三级是在第二级要求的基础上，增加对真实性、机密性的技术要求以及全部的管理要求；第四级是在第三级要求的基础上，增加对完整性、不可否认性的技术要求;第五级密码应用仅在本标准中描述通用要求第五级密码应用技术要求和管理要求不在本标准中描述。。

密码应用安全性评估与等级保护测评要具备衔接性，在《密码法》第二十七条有明确规定：“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评”。对于GB/T 22239中规定的安全要求，GB/T 39786不再重复要求，而是聚焦在GB/T 22239没有覆盖到的密码应用方面，使二者达到既相互补充又可以相互独立实施。

GB/T 39786框架下的系列密码应用标准

GB/T 39786是信息系统密码应用的纲领性、框架性标准，但是由于各行业和各领域的信息系统存在不同的复杂性，所以很难用一个统一的标准去要求所有信息系统的密码应用。

2018年GM/T 0054发布后，密码行业标准化委员会陆续制订发布了一批针对具体应用场景的密码应用技术要求和指南。随着GB/T 39786的发布，这些标准在将来可能要做少许适应性修订，具体标准如下所示：

GB/T38541——2020信息安全技术电子文件密码应用指南

GM/T 0096—-2020射频识别防伪系统密码应用指南

GB/T 39786——2021信息安全技术信息系统密码应用基本要求

GM/T 0070—2019电子保单密码应用技术要求

GM/T 0072—2019远程移动支付密码应用技术要求

GM/T 0073—2019手机银行信息系统密码应用技术要求

GM/T0074—2019 网上银行密码应用技术要求

GM/T0075—2019银行信贷信息系统密码应用技术要求

GM/T0076—2019银行卡信息系统密码应用技术要求

GM/T 0077——2019银行核心信息系统密码应用技术要求

GM/T 0095—2020电子招投标密码应用技术要求

GM/T 0100—2020人工确权型数字签名密码应用技术要求

基于GB/T 39786的配套测评文件

为了配合GB/T 39786的实施，更好的指导和规范密码测评活动，中国密码学会密评联委会组织制定了五个测评类指导性文件，分别是《信息系统密码应用测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》、《商用密码应用安全性评估报告模板（2020版）》，于2020年12月在国家密码管理局官方网站发布。这五个文件是基本与GB/T 39786同步制订的，都是依据GB/T39786的最新指标要求展开。

不同级别密码应用基本要求汇总表

国家标准GB 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》中的附录C对“应”“宜”或“可”给出了解释：

“应”表示应该、只准许；

“宜”表示推荐、建议；

“可”表示可以、允许；

芯盾时代国密算法改造方案

虽然目前国际加密算法是公开的，但并不意味着一定安全。早在2011年11月，工信部和公安部就通告了RSA1024算法被破解的风险。为了保证算法的安全，国家密码局制定了一系列国产密码算法，完全掌握算法的自主可控权。

2018年国家密码管理局发布了密码行业标准GM/T0054-2018《信息系统密码应用基本要求》。同年，中共中央办公厅印发36号文《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》（以下简称36号文），对金融及关键基础设施行业的国密改造工作进行了明确要求。2020年人行在36号文的基础上颁发140号文《金融领域信息系统国产密码改造基线要求》和《金融领域国产密码改造评价指标体系》，进一步细化了金融行业国密算法改造的相关要求。

芯盾时代国密改造方案

芯盾时代依托核心技术终端密码模块以及国密SSL网关，帮助用户在客户端到系统之间、系统与系统之间、远程运维管理终端与系统之间，实现数据报文及传输通道的国密算法改造，保障数据传输过程中的机密性、完整性以及抗抵赖性。

芯盾时代核心技术优势

具备协同签名能力： 芯盾时代具备商用密码模块二级证书，通过密钥分割技术，可以安全的存储和使用证书及密钥；同时具备协同签名的能力，在商用密码改造过程中实现签名验签的功能。

SEE空间的安全性： SSE空间为独立空间，该空间与系统层通过专用认证接口进行调用，操作系统即使ROOT，也无法直接读取或调动SSE空间的内容。SSE空间内使用了反编译、反调试、等手段保障SSE空间不会被恶意程序跟踪并破解。

根密钥的安全分发： 由生产中心通过密钥管理系统产生业务系统所使用的初始根密钥，人力线下双人保密制度传输分发存储于业务服务器，同步由业务开发人员将业务根密钥预制于相关业务SDK中。在此过程中，根密钥不在互联网中进行在线传递，确保根密钥的安全性。

安全生成加密密钥 ：核心密钥生成方式多样化，可由芯盾软件发布程序统一生成，也可以通过金库模式生成，即芯盾生成A组密钥，用户方生成B组密钥，A+B生成核心密钥，这样可防止单方改变密钥或因密钥泄露造成的信息泄露。

给文件设置密码怕被其他人发现秘密？

在日常生活中，我们常常有些私密的照片和视频，属于自己的隐私，不想被其他人看我们的这些文件，这时候我们可以给这些文件设置一个密码，这样这个世界上就只有我们能打开这些文件了，其他人想看，没门，哈哈哈，下面让我们看看如何操作吧。

1、首先，我们百度搜索360压缩，找的下面360压缩的官网。鼠标点击红框中的Windows下载，下载安装包。

百度搜索

下载安装包

2、下载完成后，鼠标双击安装包，安装360压缩。接下来按照程序的引导，完成程序的安装。

双击安装包

3、安装完成后，我们找到我们要添加密码的文件，在文件上点击鼠标右键，然后点击鼠标左键选择添加到压缩文件。

添加到压缩文件

4、在弹出的框框上鼠标左键点击添加密码这几个字

添加密码

5、在第一个框框输入一个密码，在第二个框框再输入一次密码，两次密码要一样哦。然后鼠标左键点击确定。返回上个界面后鼠标左键点击立即压缩。建议密码要8位以上包含数字和和英文字母，不要使用12345678这种简单的，被其他人猜到就不好了。如果你的密码包含大小写英文字符和数字还有特殊字符，8位以上，这世界除了你自己，估计没有第二个人能打开这个文件了！