2023信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引

信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引二〇二三十二月目 錄1范圍 .-1-2規(guī)范性引用文件-1-3術(shù)語和定義-1-4概述-1-5通用要求-1-5.1密碼算法-1-5.2密碼技術(shù)-2-5.3密碼產(chǎn)品和密碼服務(wù)-2-6物理和環(huán)境安全-2-6.1身份鑒別-2-7網(wǎng)絡(luò)和通信安全-3-7.1身份鑒別-3-7.2通信過程中重要數(shù)據(jù)的機(jī)密性-3-7.3安全接入認(rèn)證-4-8設(shè)備和計算安全-4-8.1身份鑒別-4-8.2遠(yuǎn)程管理通道安全-4-9應(yīng)用和數(shù)據(jù)安全-5-9.1身份鑒別-5-9.2重要數(shù)據(jù)傳輸機(jī)密性-5-9.3重要數(shù)據(jù)存儲機(jī)密性-6-9.4重要數(shù)據(jù)存儲完整性-6-9.5不可否認(rèn)性-6-10密碼應(yīng)用管理要求-6-10.1具備密碼應(yīng)用安全管理制度-7-10.2制定密碼應(yīng)用方案-7-A（資料性附錄）密鑰管理安全問題-8-I--PAGE9-信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引范圍本文件依據(jù)GB/TAAAAA《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》有關(guān)條款，給出了信息系統(tǒng)密碼應(yīng)用過程中可能存在的高風(fēng)險安全問題。本文件適用于指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用的規(guī)劃、建設(shè)、運(yùn)行及測評。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/TAAAAA信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GM/TBBBB信息系統(tǒng)密碼應(yīng)用測評要求GM/Z4001—2013密碼術(shù)語術(shù)語和定義GB/TAAAAA、GM/TBBBB和GM/Z4001－2013中界定的術(shù)語和定義適用于本文件，以及下列術(shù)語和定義適用于本文件。3.1安全問題 securityissues資產(chǎn)中能被威脅所利用的弱點。3.2緩解措施 mitigationmeasure是指可以降低威脅利用安全問題導(dǎo)致安全事件發(fā)生可能性的安全措施。概述GB/TAAAAA5求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問題是否存在。行及測評時應(yīng)結(jié)合具體場景進(jìn)行合理判定。通用要求密碼算法該部分包括以下內(nèi)容：指標(biāo)要求：信息系統(tǒng)中使用的密碼算法應(yīng)符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求。適用范圍：所有級別信息系統(tǒng)。安全問題：采用存在安全問題或安全強(qiáng)度不足的密碼算法對重要數(shù)據(jù)進(jìn)行保護(hù)，如MD5、DES、SHA-1、RSA（不足2048比特）等密碼算法；采用安全性未知的密碼算法，如自行設(shè)計的密碼算法、經(jīng)認(rèn)證的密碼產(chǎn)品中未經(jīng)安全性論證的密碼算法?？赡艿木徑獯胧簾o。風(fēng)險評價：上述安全問題一旦被威脅利用后，可能會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。密碼技術(shù)該部分包括以下內(nèi)容：指標(biāo)要求：信息系統(tǒng)中使用的密碼技術(shù)應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。適用范圍：所有級別信息系統(tǒng)。安全問題：SSH1.0SSL2.0SSL3.0TLS1.0等；采用安全性未知的密碼技術(shù)，如未經(jīng)安全性論證的自行設(shè)計的密碼通信協(xié)議、經(jīng)認(rèn)證的密碼產(chǎn)品中未經(jīng)安全性論證的密碼通信協(xié)議等。可能的緩解措施：無。風(fēng)險評價：上述安全問題一旦被威脅利用后，可能會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。密碼產(chǎn)品和密碼服務(wù)該部分包括以下內(nèi)容：指標(biāo)要求：信息系統(tǒng)中使用的密碼產(chǎn)品、密碼服務(wù)應(yīng)符合法律法規(guī)的相關(guān)要求。適用范圍：所有級別信息系統(tǒng)。安全問題：采用自實現(xiàn)且未提供安全性證據(jù)的密碼產(chǎn)品；采用存在高危安全漏洞的密碼產(chǎn)品，如存在Heartbleed漏洞的OpenSSL產(chǎn)品；密碼產(chǎn)品的使用不滿足其安全運(yùn)行的前提條件，如其安全策略或使用手冊說明的部署條件；選用的密碼服務(wù)提供商不具有相關(guān)資質(zhì)；存在密鑰管理相關(guān)安全問題（參見附錄A）。可能的緩解措施：無。風(fēng)險評價：上述安全問題一旦被威脅利用后，可能會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。物理和環(huán)境安全身份鑒別該部分包括以下內(nèi)容：指標(biāo)要求：采用密碼技術(shù)進(jìn)行物理訪問身份鑒別，保證重要區(qū)域進(jìn)入人員身份的真實性。安全問題：存在第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問題；未采用動態(tài)口令機(jī)制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對重要區(qū)域進(jìn)入人員進(jìn)行身份鑒別；針對人員身份真實性的密碼技術(shù)實現(xiàn)機(jī)制不正確或無效?？赡艿木徑獯胧夯谏镒R別技術(shù)（如指紋等）對進(jìn)入人員進(jìn)行身份鑒別；重要區(qū)域出入口配備專人值守并進(jìn)行登記，且采用視頻監(jiān)控系統(tǒng)進(jìn)行實時監(jiān)控等。風(fēng)險評價：（如指紋等保證了人員身份真實性，可酌情降低風(fēng)險等級；若未采用密碼技術(shù)對重要區(qū)域進(jìn)入人員進(jìn)行身份鑒別，或針對人員身份真實性的密碼技控系統(tǒng)進(jìn)行實時監(jiān)控等，可酌情降低風(fēng)險等級。網(wǎng)絡(luò)和通信安全身份鑒別該部分包括以下內(nèi)容：指標(biāo)要求：采用密碼技術(shù)對通信實體進(jìn)行身份鑒別（第二級到第三級）/雙向身份鑒別（級），保證通信實體身份的真實性。安全問題：5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問題；信息系統(tǒng)與網(wǎng)絡(luò)邊界外建立網(wǎng)絡(luò)通信信道時，未采用動態(tài)口令機(jī)制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）技術(shù)對通信實體進(jìn)行身份鑒別（第二級和第三級）/雙向身份鑒別（第四級）；通信實體身份真實性實現(xiàn)機(jī)制不正確或無效；采用的密碼產(chǎn)品未獲得商用密碼認(rèn)證機(jī)構(gòu)頒發(fā)的商用密碼產(chǎn)品認(rèn)證證書（適用時）?？赡艿木徑獯胧簾o。風(fēng)險評價：上述安全問題一旦被威脅利用后，可能會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。通信過程中重要數(shù)據(jù)的機(jī)密性該部分包括以下內(nèi)容：指標(biāo)要求：采用密碼技術(shù)保證通信過程中重要數(shù)據(jù)的機(jī)密性。安全問題：5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問題；信息系統(tǒng)與網(wǎng)絡(luò)邊界外的通信實體建立網(wǎng)絡(luò)通信信道時，未采用密碼技術(shù)的加解密功能對通信過程中重要數(shù)據(jù)進(jìn)行機(jī)密性保護(hù)；敏感信息或通信報文機(jī)密性實現(xiàn)機(jī)制不正確或無效；采用的密碼產(chǎn)品未獲得商用密碼認(rèn)證機(jī)構(gòu)頒發(fā)的商用密碼產(chǎn)品認(rèn)證證書（適用時）?？赡艿木徑獯胧涸凇皯?yīng)用和數(shù)據(jù)安全”層面針對重要數(shù)據(jù)傳輸采用符合要求的密碼技術(shù)進(jìn)行機(jī)密性保護(hù)。風(fēng)險評價：若未采用密碼技術(shù)的加解密功能對通信過程中敏感信息或通信報文進(jìn)行機(jī)密性保合要求的密碼技術(shù)進(jìn)行機(jī)密性保護(hù)，可視為等效措施。安全接入認(rèn)證該部分包括以下內(nèi)容：指標(biāo)要求：采用密碼技術(shù)對從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行接入認(rèn)證，確保接入設(shè)備身份的真實性。安全問題：存在第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問題；未采用動態(tài)口令機(jī)制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行接入認(rèn)證；安全接入認(rèn)證的實現(xiàn)機(jī)制不正確或無效；采用的密碼產(chǎn)品未獲得商用密碼認(rèn)證機(jī)構(gòu)頒發(fā)的商用密碼產(chǎn)品認(rèn)證證書（適用時）?？赡艿木徑獯胧簾o。風(fēng)險評價：上述安全問題一旦被威脅利用后，可能會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。設(shè)備和計算安全身份鑒別該部分包括以下內(nèi)容：指標(biāo)要求：采用密碼技術(shù)對登錄設(shè)備的用戶進(jìn)行身份鑒別，保證用戶身份的真實性。安全問題：存在第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問題；未采用動態(tài)口令機(jī)制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對登錄設(shè)備的用戶進(jìn)行身份鑒別；用戶身份真實性的密碼技術(shù)實現(xiàn)機(jī)制不正確或無效?？赡艿木徑獯胧夯谔囟ㄔO(shè)備（如手機(jī)短信驗證）或生物識別技術(shù)（如指紋）保證用戶身份的真實性。風(fēng)險評價：若未采用密碼技術(shù)對登錄設(shè)備的用戶進(jìn)行身份鑒別，或用戶身份真實性的密碼技（如手機(jī)短信驗證（如指紋證用戶身份的真實性，可酌情降低風(fēng)險等級。遠(yuǎn)程管理通道安全該部分包括以下內(nèi)容：指標(biāo)要求：遠(yuǎn)程管理設(shè)備時，采用密碼技術(shù)建立安全的信息傳輸通道。安全問題：存在第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問題；遠(yuǎn)程管理設(shè)備時，未采用密碼技術(shù)建立安全的信息傳輸通道；信息傳輸通道所采用密碼技術(shù)實現(xiàn)機(jī)制不正確或無效；通過不可控網(wǎng)絡(luò)環(huán)境進(jìn)行遠(yuǎn)程管理，且鑒別數(shù)據(jù)以明文形式傳輸?？赡艿木徑獯胧捍罱伺c業(yè)務(wù)網(wǎng)絡(luò)隔離的管理網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程管理；在“網(wǎng)絡(luò)和通信安全”層面使用SSLVPN網(wǎng)關(guān)/IPSecVPN風(fēng)險評價：若遠(yuǎn)程管理設(shè)備時未采用密碼技術(shù)建立安全的信息傳輸通道，或遠(yuǎn)程管理信道所采用密視為等效措施；若在“網(wǎng)絡(luò)和通信安全”層面使用SSLVPN網(wǎng)關(guān)/IPSecVPN使用的密碼技術(shù)符合要求，可視為等效措施。應(yīng)用和數(shù)據(jù)安全身份鑒別該部分包括以下內(nèi)容：指標(biāo)要求：采用密碼技術(shù)對登錄用戶進(jìn)行身份鑒別，保證應(yīng)用系統(tǒng)用戶身份的真實性。安全問題：存在第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問題；未采用動態(tài)口令機(jī)制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對登錄用戶進(jìn)行身份鑒別；用戶身份真實性的密碼技術(shù)實現(xiàn)機(jī)制不正確或無效；采用的密碼產(chǎn)品未獲得商用密碼認(rèn)證機(jī)構(gòu)頒發(fā)的商用密碼產(chǎn)品認(rèn)證證書（適用時）?？赡艿木徑獯胧夯谔囟ㄔO(shè)備（如手機(jī)短信驗證）或生物識別技術(shù)（如指紋）保證用戶身份的真實性。風(fēng)險評價：若未采用密碼技術(shù)對登錄用戶進(jìn)行身份鑒別，或用戶身份真實性的密碼技術(shù)實現(xiàn)（如手機(jī)短信驗證（如指紋身份的真實性，可酌情降低風(fēng)險等級。重要數(shù)據(jù)傳輸機(jī)密性該部分包括以下內(nèi)容：指標(biāo)要求：采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在傳輸過程中的機(jī)密性。安全問題：存在第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問題；未采用密碼技術(shù)的加解密功能對重要數(shù)據(jù)在傳輸過程中進(jìn)行機(jī)密性保護(hù)；重要數(shù)據(jù)傳輸機(jī)密性實現(xiàn)機(jī)制不正確或無效；采用的密碼產(chǎn)品未獲得商用密碼認(rèn)證機(jī)構(gòu)頒發(fā)的商用密碼產(chǎn)品認(rèn)證證書（適用時）?？赡艿木徑獯胧涸凇熬W(wǎng)絡(luò)和通信安全”層面采用符合要求的密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的機(jī)密性。風(fēng)險評價：若未采用密碼技術(shù)的加解密功能對重要數(shù)據(jù)在傳輸過程中進(jìn)行機(jī)密性保護(hù)，或重保證重要數(shù)據(jù)在傳輸過程中的機(jī)密性，可酌情降低風(fēng)險等級。重要數(shù)據(jù)存儲機(jī)密性該部分包括以下內(nèi)容：指標(biāo)要求：采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲過程中的機(jī)密性。安全問題：存在第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問題；未采用密碼技術(shù)的加解密功能對重要數(shù)據(jù)在存儲過程中進(jìn)行機(jī)密性保護(hù)；重要數(shù)據(jù)存儲機(jī)密性實現(xiàn)機(jī)制不正確或無效；采用的密碼產(chǎn)品未獲得商用密碼認(rèn)證機(jī)構(gòu)頒發(fā)的商用密碼產(chǎn)品認(rèn)證證書（適用時）?？赡艿木徑獯胧簾o。風(fēng)險評價：上述安全問題一旦被威脅利用后，可能會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。重要數(shù)據(jù)存儲完整性該部分包括以下內(nèi)容：指標(biāo)要求：采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲過程中的完整性。安全問題：存在第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問題；未采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）法的數(shù)字簽名機(jī)制等密碼技術(shù)對重要數(shù)據(jù)在存儲過程中進(jìn)行完整性保護(hù)；重要數(shù)據(jù)存儲完整性實現(xiàn)機(jī)制不正確或無效；采用的密碼產(chǎn)品未獲得商用密碼認(rèn)證機(jī)構(gòu)頒發(fā)的商用密碼產(chǎn)品認(rèn)證證書（適用時）?？赡艿木徑獯胧簯?yīng)用系統(tǒng)具有符合要求的身份鑒別措施，保證只有授權(quán)人員才能訪問應(yīng)用系統(tǒng)的重要數(shù)據(jù)，且定期對重要數(shù)據(jù)進(jìn)行備份。風(fēng)險評價：若未采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲過程中的完整性，或重要不可否認(rèn)性該部分包括以下內(nèi)容：指標(biāo)要求：在可能涉及法律責(zé)任認(rèn)定的應(yīng)用中，采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實現(xiàn)數(shù)據(jù)原發(fā)行為的不可否認(rèn)性和數(shù)據(jù)接收行為的不可否認(rèn)性。安全問題：存在第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問題；術(shù)對數(shù)據(jù)原發(fā)行為和接收行為實現(xiàn)不可否認(rèn)性；不可否認(rèn)性的密碼技術(shù)實現(xiàn)機(jī)制不正確或無效；采用的密碼產(chǎn)品未獲得商用密碼認(rèn)證機(jī)構(gòu)頒發(fā)的商用密碼產(chǎn)品認(rèn)證證書（適用時）?？赡艿木徑獯胧簾o。風(fēng)險評價：上述安全問題一旦被威脅利用后，可能會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。密碼應(yīng)用管理要求具備密碼應(yīng)用安全管理制度該部分包括以下內(nèi)容：指標(biāo)要求：具備密碼應(yīng)用安全管理制度，包括密碼人員管理、密鑰管理、建設(shè)運(yùn)行、應(yīng)急處置、密碼軟硬件及介質(zhì)管理等制度。安全問題：未建立任何與密碼應(yīng)用安全管理活動相關(guān)的管理制度，或相關(guān)管理制度不適用于當(dāng)前被測信息系統(tǒng)?？赡艿木徑獯胧簾o。風(fēng)險評價：上述安全問題一旦被威脅利用后，可能會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。制定密碼應(yīng)用方案該部分包括以下內(nèi)容：指標(biāo)要求：依據(jù)密碼相關(guān)標(biāo)準(zhǔn)和密碼應(yīng)用需求，制定密碼應(yīng)用方案。安全問題：對于新建信息系統(tǒng)，在規(guī)劃階段未制定密碼應(yīng)用方案或密碼應(yīng)用方案未通過評審?？赡艿木徑獯胧簾o。風(fēng)險評價：上述安全問題一旦被威脅利用后，可能會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。附 錄 A（資料性）（除公鑰外不被非授權(quán)密鑰產(chǎn)生密鑰產(chǎn)生環(huán)節(jié)可能會對密鑰管理造成嚴(yán)重安全隱患的安全問題主要包括：證據(jù)證明隨機(jī)數(shù)發(fā)生器的合理性和正確性；密鑰在不可控的環(huán)境中生成；密鑰協(xié)商之前或協(xié)商過程中沒有驗證對方身份真實性。密鑰分發(fā)密鑰分發(fā)環(huán)節(jié)可能會對密鑰管理造成嚴(yán)重安全隱患的安全問題主要包括：（U盤度無法保證密鑰在分發(fā)過程中的安全性；密鑰在不可控的環(huán)境中分發(fā)時，未使用密碼技術(shù)保護(hù)密鑰的機(jī)密性和完整性。密鑰存儲密鑰存儲環(huán)節(jié)可能會對密鑰管理造成嚴(yán)重安全隱患的安全問題主要包括：密鑰（除公鑰外）以明文形式存儲在不可控的環(huán)境中，且可以被非授權(quán)的訪問、使用、泄露、修改和替換；公鑰存儲在不可控的環(huán)境中，且可以被非授權(quán)的修改和替換；用于加