中国密码学会：政务领域政务服务平台密码应用与安全性评估实施指南（41页）.pdf

1、 政务领域政务服务平台政务领域政务服务平台 密码应用与安全性评估实施指南密码应用与安全性评估实施指南 中国密码学会密评联委会中国密码学会密评联委会 二二二四年二四年四四月月 目目 录录 前 言.I 1 场景概述.1 1.1 场景相关政策要求.1 1.2 典型场景介绍.2 1.2.1 场景代表性.2 1.2.2 政务服务平台场景介绍.3 1.3 技术标准和指导性文件.6 2 密码应用需求.7 2.1 风险分析和安全需求.7 2.1.1 物理和环境安全.7 2.1.2 网络和通信安全.7 2.1.3 设备和计算安全.8 2.1.4 应用和数据安全.9 2.1.5 安全管理.10 2.1.6 主要保

2、护对象.10 2.2 场景对密码应用的特殊要求.14 3 密码应用实施指南.14 3.1 典型场景业务的密码应用设计.14 3.1.1 物理和环境安全.15 3.1.2 网络和通信安全.16 3.1.3 设备和计算安全.16 3.1.4 应用和数据安全.16 3.1.5 密钥管理安全.17 3.1.6 安全管理.19 3.1.7 密码应用工作流程示例.20 3.2 密码产品/服务选择和部署.22 3.3 与 GB/T 39786 对照情况说明.24 3.4 注意事项.27 4 密码应用安全性评估实施指南.27 4.1 主要测评指标的选择和确定.27 4.2 主要测评内容.29 4.2.1 现场

3、测评方法.29 4.2.2 测评实施.30 4.3 主要测评结果.36 4.4 注意事项.37 I 前前 言言 为贯彻落实中华人民共和国密码法 商用密码管理条例等法律法规，促进政务领域政务服务平台场景中商用密码的合规、正确、有效应用，依据国家密码政策要求和标准规范，制定本指南。本指南可用于指导各级政务服务平台相关系统建设单位和使用单位以及商用密码应用安全性评估机构规范开展商用密码应用和安全性评估工作，也可供集成单位参考。本指南主要依据 GB/T 39786-2021信息安全技术 信息系统密码应用基本要求等密码应用与安全性评估标准规范编制。本指南中任何与当前或后续发布的密码国家标准和行业标准不一

4、致之处，以相关密码国家标准和行业标准为准。必要时本指南将根据最新的管理要求与相关技术标准进行更新。本指南分为四章。第一章主要梳理政务服务平台典型应用场景；第二章主要对政务服务平台相关风险、密码应用需求、保护对象进行梳理；第三章主要对政务服务平台进行密码应用设计；第四章主要对政务服务平台密码应用安全性评估工作进行梳理。本指南针对网络安全等级保护第三级信息系统密码应用要求进行设计，三级以下及四级信息系统可根据 GB/T 39786 结合系统实际进行相应调整。相关密码应用措施和技术路线不限于固定方式，政务服务平台相关建设单位和使用单位可根据自身已有密码应用基础，结合实际进行密码应用改造，以满足相关密

5、码管理要求。本指南主要起草单位：国家信息中心、中电科网络安全科技股份有限公司、格尔软件股份有限公司、长春吉大正元信息技术股份有限公司、中国科学院信息工程研究所、国家信息技术安全研究中心、智巡密码（上海）检测技术有限公司、西安得安信息技术有限公司、北京信安世纪科技股份有限公司、同智伟业软件股份有限公司、国家密码管理局商用密码检测中心、四川省大数据中心、海南省大数据管理局、福建省密码管理局、安徽省大数据中心。本标准主要起草人：魏连、王笑强、杨绍亮、杜小建、李元龙、南旭东、郭宏杰、郭亓元、王姮力、秦小龙、王小勇、李丹、阎亚龙、马原、魏东宾、牟杰、朱典、冯世宇、徐辉、陈天宇、吴冬宇、刘军荣、王珂、朱立

6、通、王永起、唐鸣、宋晓勇、王泉景。政务领域政务服务平台密码应用与安全性评估实施指南 1 1 场景概述场景概述 1.1 场景相关政策要求场景相关政策要求 商用密码应用安全性评估管理办法（国家密码管理局令第 3 号）要求，重要网络与信息系统建设阶段，其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施，落实商用密码安全防护措施，建设商用密码保障系统。重要网络与信息系统运行前，其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。网络与信息系统未通过商用密码应用安全性评估的，运营者应当进行改造，改造期间不得投入运行。重要网络与信息系统建成运行后，其运营者应当自行或者委托