GBT 39786-2021 信息安全技术 信息系统密码应用基本要求

GBT 39786-2021 信息安全技术 信息系统密码应用基本要求常见问题解答

本指南旨在帮助用户理解GB/T 39786-2021标准的核心内容及实施要点。

1. GBT 39786-2021是什么？

GB/T 39786-2021是中华人民共和国国家标准，规定了信息系统密码应用的基本要求，适用于指导信息系统在规划、设计、建设、运行和维护过程中的密码应用工作。

2. 为什么需要遵循GB/T 39786-2021？

该标准为信息系统提供了一套密码应用的规范性指导，有助于保障信息系统的安全性，满足国家网络安全法规的要求，同时提升系统抵御攻击的能力。

3. 密码应用的基本原则有哪些？

• 合法性：密码应用需符合国家相关法律法规和技术标准。
• 合规性：确保密码算法、协议和实现方式符合国家标准。
• 完整性：密码应用需覆盖信息系统的关键环节。
• 可用性：密码功能不应影响系统的正常运行。

4. 密码应用的主要场景包括哪些？

• 身份认证：如用户登录、设备认证等。
• 数据保护：如数据加密、数据签名等。
• 通信安全：如网络传输加密、消息完整性验证等。
• 关键操作保护：如重要业务操作的签名与审计。

5. 如何选择合适的密码算法？

根据GB/T 39786-2021，推荐使用国家认可的商用密码算法（如SM2、SM3、SM4等）。同时，应避免使用已知存在漏洞或过时的算法。

6. 系统中未使用密码技术会有什么风险？

未使用密码技术可能导致敏感数据泄露、系统被篡改或恶意操作无法追溯等问题，从而严重影响系统的安全性与可信度。

7. 密码应用的生命周期管理包括哪些方面？

• 规划阶段：明确密码需求和应用场景。
• 设计阶段：设计密码方案并进行安全评估。
• 实施阶段：部署密码模块并进行测试。
• 运行阶段：监控密码运行状态并及时更新。
• 废弃阶段：妥善处理密钥和证书。

8. 密码密钥管理有哪些注意事项？

• 密钥生成应采用安全随机数生成器。
• 密钥存储需加密保护。
• 定期更换密钥以降低风险。
• 密钥销毁需确保不可恢复。

9. 如何验证密码应用是否符合标准？

可通过第三方测评机构对信息系统进行密码应用安全性评估（CSEA），确保其符合GB/T 39786-2021的要求。

10. 如果系统已经上线，如何进行密码改造？

首先进行全面的安全评估，识别现有系统的密码应用不足之处；其次制定改造计划，逐步引入符合标准的密码技术和措施；最后通过测评验证改造效果。