GB/T 39786 与 GB/T 43201:二级、三级系统密码应用具体要求详解
- 2026-03-20
- 日常记录
- 暂无评论
- 4 次阅读
一、背景与标准定位
GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》规定了不同等级信息系统在物理和环境、网络和通信、设备和计算、应用和数据四个层面的密码应用要求,是商用密码应用的合规基准。
GB/T 43201-2023《信息安全技术 信息系统密码应用测评要求》则是对 39786 的落地评测标准,规定了各层面各项要求如何量化评判,是密评工作的直接依据。
两个标准配套使用:前者定要求,后者定评法。
二、整体框架对比
| 维度 | 二级系统 | 三级系统 |
|---|---|---|
| 对应等保级别 | 等保二级 | 等保三级 |
| 整体要求强度 | 基础合规 | 较高强度 |
| 算法要求 | 使用商用密码算法 | 使用商用密码算法,部分场景强制 |
| 密钥管理 | 基本要求 | 全生命周期管理 |
| 密码产品 | 建议使用认证产品 | 应使用认证产品 |
| 测评结论 | 符合 / 基本符合 / 不符合 | 同左,但容忍度更低 |
三、物理和环境层面
二级要求
- 重要区域(机房、设备间)的门禁系统宜采用商用密码技术
- 视频监控数据存储宜保证完整性
- 电子门禁记录数据宜采用密码技术保护
三级要求
- 重要区域门禁系统应采用商用密码技术实现身份鉴别
- 视频监控数据存储应采用密码技术保证完整性,防止篡改
- 电子门禁记录应采用密码技术进行完整性保护,记录不可否认
- 对进入重要区域的人员应进行基于密码的身份鉴别,不能仅靠密码口令
三级与二级的核心差异:二级多为"宜"(建议),三级多为"应"(强制)。
四、网络和通信层面
二级要求
身份认证:
- 通信双方宜使用密码技术进行身份认证
- 跨网络边界的访问宜采用基于密码的认证
数据传输:
- 敏感数据在网络传输中宜使用密码技术保证机密性
- 传输数据完整性宜受到保护
典型实现方式: 部署 SSL VPN(采用 SM2/SM4),通信链路使用 TLS 协议(需支持国密套件)
三级要求
身份认证(强制):
- 通信双方应使用密码技术进行身份认证,不允许仅使用口令认证
- 跨网络边界的设备接入应基于数字证书(SM2)完成双向认证
- 身份认证凭据应由商用密码产品生成和保护
数据传输(强制):
- 重要数据在网络传输中应使用密码技术保证机密性(如 SM4 加密)
- 所有网络传输数据应采用密码技术保证完整性(如 HMAC-SM3)
- 应防止传输数据被截获、篡改、重放
协议要求:
- VPN 通道应使用符合 GM/T 系列标准的密码协议
- TLS 通信应支持 SM2/SM3/SM4 密码套件,并优先协商国密套件
五、设备和计算层面
二级要求
身份鉴别:
- 设备登录宜采用密码技术进行身份鉴别
- 运维人员远程访问系统宜使用基于密码的认证(如堡垒机+数字证书)
系统资源访问控制:
- 访问控制策略的配置数据宜受完整性保护
日志:
- 系统日志宜采用密码技术保证完整性,防止日志被篡改
三级要求
身份鉴别(强制):
- 所有用户(包括管理员)登录系统设备应采用商用密码技术进行身份鉴别
- 系统管理员应使用基于 SM2 数字证书的双因子认证
- 远程管理通道应使用密码技术保证机密性和完整性(禁止使用明文协议如 Telnet)
访问控制:
- 访问控制信息(策略、权限配置)应采用密码技术保证完整性
- 重要系统资源的访问记录应受到完整性保护且不可抵赖
系统防护:
- 系统软件及重要配置的完整性应受到密码技术保护(如启动度量、配置签名验证)
- 应使用经认证的密码模块(密码卡/密码机)来完成密码运算,不能仅依赖软实现
日志(强制):
- 系统日志应采用密码技术保证完整性,并应确保日志数据不可篡改、不可否认
- 日志存储宜与主系统分离,完整性验证密钥妥善保管
六、应用和数据层面
这是密评工作中最复杂、争议最多的层面。
二级要求
用户身份鉴别:
- 应用系统的用户登录宜采用密码技术实现身份鉴别
- 宜支持使用数字证书(Ukey 或软证书)登录
数据完整性:
- 重要业务数据在存储和传输时宜受到完整性保护
- 系统管理数据(用户信息、权限数据)宜完整性受到保护
数据机密性:
- 敏感个人信息、业务机密数据宜加密存储(SM4 或更强)
不可否认性:
- 重要业务操作宜有密码技术支撑的不可否认证据
三级要求
用户身份鉴别(强制):
- 应用系统应采用密码技术对用户身份进行鉴别
- 重要操作(如管理员操作、审批操作)应使用数字证书(SM2)认证,不可仅用口令
- 应防止用户身份伪造、冒充
数据完整性(强制):
- 重要业务数据(合同、报告、审批记录等)存储时应使用密码技术保证完整性
- 数据传输应保证完整性(与网络层要求叠加)
- 系统配置数据、鉴别信息应完整性受到保护
数据机密性(强制):
- 鉴别信息(口令)存储应使用密码技术保护(不可明文或弱哈希存储)
- 敏感业务数据存储应采用 SM4 等对称算法加密
- 重要数据的加密密钥应由密码设备(密码机/密码卡)保护,不可软件明文存储
不可否认性(强制):
- 重要业务操作应使用数字签名(SM2)生成不可否认的操作证据
- 签名验证机制应正确实现,不能仅存签名值而不验证
- 签名时间戳宜经过可信时间源授时
密钥管理(三级特有强调):
- 应用层密钥应由密码设备保护,禁止软件明文存储密钥
- 密钥使用、更新、销毁应有完整的管理制度和技术手段支撑
- 不同用途的密钥应分开管理,不得混用
七、GB/T 43201 测评方法要点
测评单元与赋分
43201 将每个要求项拆解为若干测评单元,分别判定:
- 符合:该项要求完全满足
- 部分符合:核心要求满足,存在次要缺陷
- 不符合:核心要求未满足
最终按加权计算总体得分,三级系统要求得分率更高。
常见高风险不符合项(三级系统)
| 层面 | 典型问题 |
|---|---|
| 网络通信 | VPN 未使用国密协议,仍使用 RSA/AES |
| 设备计算 | 管理员登录仅用口令,无数字证书认证 |
| 应用数据 | 口令明文或 MD5 存储,未使用 SM3 |
| 应用数据 | 重要操作无 SM2 数字签名,无法不可否认 |
| 密钥管理 | 加密密钥硬编码在代码或配置文件中 |
| 密码产品 | 使用未经认证的密码组件(开源 BouncyCastle 直接调用) |
八、二级与三级的实践选型建议
| 需求 | 二级推荐方案 | 三级推荐方案 |
|---|---|---|
| 用户认证 | 国密 SSL + 口令 | SM2 证书 Ukey + 口令双因子 |
| 传输加密 | 国密 TLS 1.3 | 国密 TLS 1.3(强制协商国密套件) |
| 数据加密 | SM4 软实现 | SM4(硬件密码卡/密码机) |
| 签名验签 | SM2 软实现 | SM2(密码机 API 调用) |
| 密钥保护 | 配置文件加密存储 | HSM/密码机保护,KEK 分层管理 |
| 日志完整性 | HMAC-SM3 | HMAC-SM3 + 独立存储 + 定期审计 |
九、小结
GB/T 39786 的二级与三级要求在形式上的差异主要体现在"宜"与"应"的转变,但落地难度差距相当大——三级系统对密码产品的合规性、密钥管理的完备性、不可否认机制的真实有效性要求更为严格,也是密评失分的高发区。
实际项目中,建议提前对照 GB/T 43201 的测评单元逐项自查,重点关注密码产品是否经过认证、密钥是否明文暴露、签名是否真实验证三个核心风险点。
参考标准:GB/T 39786-2021、GB/T 43201-2023、GM/T 0054-2018
本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。
评论区