中国密码学会：政务领域政务云密码应用与安全性评估实施指南（34页）.pdf

1、 政务领域政务云政务领域政务云 密码应用与安全性评估实施指南密码应用与安全性评估实施指南 中国密码学会密评联委会中国密码学会密评联委会 二二二四年二四年四四月月 政务领域政务云密码应用与安全性评估实施指南 目目 录录 前 言.I 1 场景概述.1 1.1 场景相关政策要求.1 1.2 典型场景介绍.1 1.2.1 场景代表性.1 1.2.2 政务云平台场景介绍.2 1.3 技术标准和指导性文件.3 2 密码应用需求.4 2.1 风险分析和安全需求.4 2.1.1 物理和环境安全.4 2.1.2 网络和通信安全.5 2.1.3 设备和计算安全.6 2.1.4 应用和数据安全.6 2.1.5 安全

2、管理.8 2.1.6 主要保护对象.8 2.2 场景对密码应用的特殊要求.11 3 密码应用实施指南.11 3.1 典型场景业务的密码应用设计.11 3.1.1 物理和环境安全.12 3.1.2 网络和通信安全.12 3.1.3 设备和计算安全.13 3.1.4 应用和数据安全.13 3.1.5 密钥管理安全.14 3.1.6 安全管理.16 3.2 密码产品/服务选择和部署.16 3.3 与 GB/T 39786 对照情况说明.18 3.4 注意事项.20 4 密码应用安全性评估实施指南.21 4.1 主要测评指标的选择和确定.21 4.2 主要测评内容.23 4.2.1 现场测评方法.23

3、 4.2.2 测评实施.24 4.3 主要测评结果.29 政务领域政务云密码应用与安全性评估实施指南 4.4 注意事项.30 政务领域政务云密码应用与安全性评估实施指南 I 前前 言言 为贯彻落实中华人民共和国密码法 商用密码管理条例等法律法规，促进政务领域政务云场景中商用密码的合规、正确、有效应用，依据国家密码政策要求和标准规范，制定本指南。本指南可用于指导各级政务云平台（泛指承载政务信息系统运行的云平台）建设单位、运营单位以及商用密码应用安全性评估机构规范开展商用密码应用和安全性评估工作，也可供集成单位参考。本指南主要依据 GB/T 39786-2021信息安全技术 信息系统密码应用基本要

4、求等密码应用与安全性评估标准规范编制。本指南中任何与当前或后续发布的密码国家标准和行业标准不一致之处，以相关密码国家标准和行业标准为准。必要时本指南将根据最新的管理要求与相关技术标准进行更新。本指南分为四章。第一章主要梳理政务云平台典型应用场景；第二章主要对政务云平台相关风险、密码应用需求、保护对象进行梳理；第三章主要对政务云平台进行密码应用设计；第四章主要对政务云平台密码应用安全性评估工作进行梳理。本指南针对网络安全等级保护第三级信息系统密码应用要求进行设计，三级以下及四级信息系统可根据 GB/T 39786 结合系统实际进行相应调整。相关密码应用措施和技术路线不限于固定方式，政务云平台建设

5、单位和运营单位可根据自身已有密码应用基础，结合实际进行密码应用改造，以满足相关密码管理要求。本指南主要针对云平台管理应用自身密码应用，在满足政务云平台自身密码应用的同时，政务云平台还应根据云上应用需求提供满足密码应用要求的物理环境（门禁、监控）、安全运维方式、公共传输通道（如 IPSec VPN）等云上应用难以解决的必要的公共基础设施密码支撑能力。本指南主要起草单位：国家信息中心、中电科网络安全科技股份有限公司、格尔软件股份有限公司、长春吉大正元信息技术股份有限公司、中国科学院信息工程研究所、国家信息技术安全研究中心、智巡密码（上海）检测技术有限公司、中国信息通信研究院、西安得安信息技术有限公

6、司、北京信安世纪科技股份有限公司、同智伟业软件股份有限公司、国家密码管理局商用密码检测中心、四川省大数据中心、海南省大数据管理局、福建省密码管理局、安徽省大数据中心。本标准主要起草人：魏连、王笑强、杨绍亮、杜小建、李元龙、南旭东、郭宏杰、郭亓元、王姮力、秦小龙、王小勇、李丹、阎亚龙、马原、魏东宾、牟杰、朱典、徐辉、陈天宇、吴冬宇、刘军荣、李佳曦、王珂、朱立通、王永起、李政坪、宋晓勇、王泉景。政务领域政务云密码应用与安全性评估实施指南 1 1 场景概述场景概述 1.1 场景相关政策要求场景相关政策要求 商用密码应用安全性评估管理办法（国家密码管理局令第 3 号）要求，重要网络与信息系统建设阶段，