DB3404T 8-2023 商用密碼應(yīng)用安全性評(píng)估服務(wù)指南

ICS35.0403404GuidetocommercialpasswordsecurityassessmentserviceI本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由淮南市密碼管理局提出并歸口。本文件起草單位：安徽省公眾電子認(rèn)證有限公司、淮南市密碼管理局、淮南市數(shù)據(jù)資源管理局、淮南市標(biāo)準(zhǔn)化研究院、安徽科測(cè)信息技術(shù)有限公司、淮南市公眾信息技術(shù)研究院。本文件主要起草人：孔韋杰、姚禹、陳洋、趙雅潔、朱雅茹、孫正、蔡霽、廖香子。1商用密碼安全性評(píng)估服務(wù)指南本文件規(guī)定了淮南市商用密碼應(yīng)用安全性評(píng)估服務(wù)的術(shù)語和定義、服務(wù)對(duì)象、評(píng)估內(nèi)容、服務(wù)流程和密碼應(yīng)用措施。本文件適用于指導(dǎo)、規(guī)范淮南市信息系統(tǒng)商用密碼應(yīng)用的規(guī)劃、建設(shè)、運(yùn)維及測(cè)評(píng)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T37033-2018信息安全技術(shù)射頻識(shí)別系統(tǒng)密碼應(yīng)用技術(shù)要求GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GM/T0022-2014IPSecVPN技術(shù)規(guī)范GM/T0023-2014IPSecVPN網(wǎng)關(guān)產(chǎn)品規(guī)范GM/T0024-2014SSLVPN技術(shù)規(guī)范GM/T0025-2014SSLVPN網(wǎng)關(guān)產(chǎn)品規(guī)范GM/T0036-2014采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用技術(shù)指南GM/T0054-2018信息系統(tǒng)密碼應(yīng)用基本要求GM/Z0001-2013密碼術(shù)語中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2021年版）》3術(shù)語和定義GM/T0054-2018、GB/T39786-2021、GM/Z0001-2013界定的以及下列術(shù)語和定義適用于本文件。評(píng)估服務(wù)在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)網(wǎng)絡(luò)和信息系統(tǒng)中，對(duì)其密碼應(yīng)用的合規(guī)性、正確性、有效性等進(jìn)行的評(píng)估服務(wù)。商密委員會(huì)專家2 34網(wǎng)絡(luò)和通信安全7.2.1部署IPSecVPN類產(chǎn)品（符合GM/T0022-2014《IPSecVPN技術(shù)規(guī)范》、GM/T0023-2014《IPSecVPN網(wǎng)關(guān)產(chǎn)品規(guī)范》等標(biāo)準(zhǔn)實(shí)現(xiàn)通信雙方的身份鑒別，通信過程中敏感數(shù)據(jù)的機(jī)密性、完整性保護(hù)；7.2.2部署SSLVPN類產(chǎn)品（符合GM/T0024-2014《SSLVPN技術(shù)規(guī)范》、GM/T0025-2014《SSLVPN網(wǎng)關(guān)產(chǎn)品規(guī)范》等標(biāo)準(zhǔn)），實(shí)現(xiàn)通信雙方的身份鑒別，通信過程中敏感數(shù)據(jù)的機(jī)密性、完整性保護(hù)。7.2.3其他符合國(guó)家標(biāo)準(zhǔn)要求的產(chǎn)品設(shè)備和計(jì)算安全7.3.1部署智能密碼鑰匙、智能IC卡或其它具備身份鑒別功能的密碼產(chǎn)品，對(duì)登錄的用戶進(jìn)行身份鑒別；7.3.2為遠(yuǎn)程管理搭建安全通信鏈路（如SSL通道），保護(hù)鑒別信息的機(jī)密性；7.3.3部署可信計(jì)算密碼支撐平臺(tái)、簽名驗(yàn)簽服務(wù)器或服務(wù)器密碼機(jī)，實(shí)現(xiàn)可信計(jì)算能力，建立從系統(tǒng)到應(yīng)用的信任鏈，保護(hù)重要信息的完整性，保證計(jì)算環(huán)境的安全可信。應(yīng)用和數(shù)據(jù)安全7.4.1部署證書認(rèn)證系統(tǒng)或直接采用具有電子政務(wù)電子認(rèn)證服務(wù)資質(zhì)的機(jī)構(gòu)提供的電子認(rèn)證服務(wù)，為用戶配置智能密碼鑰匙、智能IC卡、移動(dòng)智能終端密碼模塊等具備身份鑒別功能的密碼產(chǎn)品，對(duì)系統(tǒng)用戶身份進(jìn)行管理；7.4.2部署安全認(rèn)證網(wǎng)關(guān)系統(tǒng)，對(duì)訪問應(yīng)用服務(wù)器的用戶進(jìn)行身份鑒別和權(quán)限控制，對(duì)客戶端與服務(wù)器端、應(yīng)用系統(tǒng)之間傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)；7.4.3部署存儲(chǔ)加密產(chǎn)品、服務(wù)器密碼機(jī)或其他密碼模塊，對(duì)存儲(chǔ)的重要數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)；7.4.4部署簽名驗(yàn)簽服務(wù)器、服務(wù)器密碼機(jī)或其他密碼模塊，對(duì)存儲(chǔ)的日志記錄進(jìn)行完整性保護(hù)；7.4.5根據(jù)應(yīng)用系統(tǒng)的需要，部署簽名驗(yàn)簽服務(wù)器、電子簽章系統(tǒng)、時(shí)間戳服務(wù)器等密碼產(chǎn)品，對(duì)收發(fā)的數(shù)據(jù)及相關(guān)操作記錄進(jìn)行簽名，實(shí)現(xiàn)數(shù)據(jù)原發(fā)行為的不可否認(rèn)性和數(shù)據(jù)接收行為的不可否認(rèn)性。5商用密碼安全性評(píng)估指標(biāo)適用情況及論證說明8.1a）宜采用密碼技術(shù)進(jìn)行物理訪問身份鑒別，保證重要區(qū)域進(jìn)入人員身份的真實(shí)宜8.1b）宜采用密碼技術(shù)保證電子門禁系統(tǒng)宜8.1c）宜采用密碼技術(shù)保證視頻監(jiān)控音像宜全8.2a）應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行身應(yīng)8.2b)宜采用密碼技術(shù)保證通信過程中數(shù)宜8.2c)應(yīng)采用密碼技術(shù)保證通信過程中重應(yīng)8.2d)宜采用密碼技術(shù)保證網(wǎng)絡(luò)邊界訪問宜8.2e)可采用密碼技術(shù)對(duì)從外部連接到內(nèi)可8.3a)應(yīng)采用密碼技術(shù)對(duì)登錄設(shè)備的用戶應(yīng)8.3b)遠(yuǎn)程管理設(shè)備時(shí)，應(yīng)采用密碼技術(shù)應(yīng)8.3c)宜采用密碼技術(shù)保證系統(tǒng)資源訪問宜8.3d)宜采用密碼技術(shù)保證設(shè)備中的重要宜8.3e)宜采用密碼技術(shù)保證日志記錄的完宜68.3f)宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序宜全8.4a)應(yīng)采用密碼技術(shù)對(duì)登錄用戶進(jìn)行身應(yīng)8.4b)宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用宜8.4c)宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用宜8.4d)應(yīng)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用應(yīng)8.4e)應(yīng)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用應(yīng)8.4f)宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用宜8.4g)宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用宜宜采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)宜8.5a）應(yīng)具備密碼應(yīng)用安全管理制度，包應(yīng)8.5b）應(yīng)根據(jù)密碼應(yīng)用方案建立相應(yīng)密鑰應(yīng)8.5c）應(yīng)對(duì)管理人員或操作人員執(zhí)行的日應(yīng)8.5d）應(yīng)定期對(duì)密碼應(yīng)用安全管理制度和操作規(guī)程的合理性和適用性進(jìn)行論證和審應(yīng)8.5e）應(yīng)明確相關(guān)密碼應(yīng)用安全管理制度應(yīng)78.5f）應(yīng)具有密碼應(yīng)用操作規(guī)程的相關(guān)執(zhí)應(yīng)8.6a）相關(guān)人員應(yīng)了解并遵守密碼相關(guān)法應(yīng)8.6b)應(yīng)建立密碼應(yīng)用崗位責(zé)任制度，明1)根據(jù)密碼應(yīng)用的實(shí)際情況，設(shè)置密鑰管3)密鑰管理、密碼安全審計(jì)、密碼操作人4)相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號(hào)不得應(yīng)8.6c)應(yīng)建立上崗人員培訓(xùn)制度，對(duì)于涉應(yīng)8.6d)應(yīng)定期對(duì)密碼應(yīng)用安全崗位人員進(jìn)應(yīng)8.6e)應(yīng)建立關(guān)鍵人員保密制度和調(diào)離制應(yīng)8.7a）應(yīng)依據(jù)密碼相關(guān)標(biāo)準(zhǔn)和密碼應(yīng)用需應(yīng)8.7b）應(yīng)根據(jù)密碼應(yīng)用方案，確定系統(tǒng)涉環(huán)節(jié)安全管理要求參照《信息