信息系统密码应用调查表

信息系统口令密码和密钥管理The final edition was revised on December 14th, 2020.信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求，以及信息系统口令、密码和密钥管理。

本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。

2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

1994 国务院中华人民共和国计算机信息系统安全保护条例国务院273号令商用密钥管理条例1998 国家保密局中华人民共和国计算机信息系统保密管理暂行规定2000 国家保密局中华人民共和国计算机信息系统国际联网保密管理规定2003 公司网络与信息安全管理办法（试行）2006 公司信息网防病毒运行统计管理规范（试行）2006 公司信息网用户行为规范（试行）3术语与定义以下术语和定义适用于本标准。

信息系统信息系统是用系统思想建立起来的，以电子计算机为基本信息处理手段，以现代通讯设备为基本传输工具，且能为管理决策提供信息服务的人机系统。

即，信息系统是一个由人和计算机等组成的，能进行管理信息的收集、传输、存储、加工、维护和使用的系统。

密钥密钥是一组信息编码，它参与密码的“运算”，并对密码的“运算”起特定的控制作用。

密钥是密码技术中的重要组成部分。

在密码系统中，密钥的生成、使用和管理至关重要。

密钥通常是需要严格保护的，密钥的失控将导致密码系统失效。

4职责信息中心职责4.1.2 信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管，指导相关部门设置应用系统的口令、密码和密钥；指导各用户设置开机口令。

信息中心各专职职责4.1.3 网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。

编号：DCB2014- XXXXXX信息系统基本情况调查表四川省软件和信息系统工程测评中心2016年月日说明1、请提供信息系统的最新网络结构图（拓扑图）。

A、应该标识出网络设备、服务器设备和主要终端设备及其名称。

B、应该标识出服务器设备的IP地址。

C、应该标识网络区域划分等情况。

D、应该标识网络与外部的连接等情况。

E、应该能够对照网络结构图说明所有业务流程和系统组成。

（如果一张图无法表示，可以将核心部分和接入部分分别画出，或以多张图表示。

）2、请根据信息系统的网络结构图填写各类调查表。

XXXXXX信息系统工程网络结构图（拓扑图）：调查表清单表1-1 单位基本情况表1-2 参与人员名单表1-3 物理环境情况表1-4 信息系统基本情况表1-5 承载业务（服务）情况调查表1-6 信息系统网络结构（环境）情况调查表1-7 外联线路及设备端口（网络边界）情况调查表1-8 网络设备情况调查表1-9 安全设备情况调查表1-10 服务器设备情况调查表1-11 终端设备情况调查表1-12 系统软件情况调查表1-13 应用系统软件情况调查表1-14 业务数据情况调查表1-15 数据备份情况调查表1-16 应用系统软件处理流程调查表1-17 业务数据流程调查表1-18 管理文档情况调查表1-19 安全威胁情况调查表1-1 单位基本情况表1-2 参与人员名单表1-3 物理环境情况表1-4 信息系统基本情况表1-5 信息系统承载业务（服务）情况2、业务信息类别一栏填写：a)国家秘密信息 b)非密敏感信息（机构或公民的专有信息） c)可公开信息。

3、重要程度栏填写：非常重要、重要、一般。

表1-6 信息系统网络结构（环境）情况表1-7 外联线路及设备端口（网络边界）情况表1-8 网络设备情况表1-9 安全设备情况表1-10 服务器设备情况2、包括数据存储设备。

表1-11 终端设备情况2、包括专用终端设备以及网管终端、安全设备控制台等。

设计应用技术术故障等非人为因素的威胁，也包含人员失误和恶意攻击等人为因素的威胁。

利用密码技术可以有效阻断外界对信息系统重要场所、监控设备的直接入侵，并确保监控记录不被恶意篡改。

2.2　网络和通信安全需部署符合国密标准的安全套接层（Secure Socket Layer，SSL）虚拟专用网络（Virtual Private Network，VPN）安全网关，对通过电子政务外网访问安徽省信用平台的用户终端进行身份鉴别，建立安全数据传输通道，保证网络边界访问控制信息的完整性，防止访问控制信息被非法篡改。

2.3　设备和计算安全设备和计算安全层面使用的密码算法、密码技术、密码服务和密钥管理，由国密安全浏览器、符合《服务器密码机技术规范》（GM/T 0030—2014）的服务器密码机、符合《智能密码钥匙技术规范》（GM/ T 0027—2014）的智能密码钥匙（UKey）、数字证书组成，实现设备与计算层的功能需求。

以上的密码产品符合《信息安全技术密码模块安全要求》（GM/T 37092—2018）的2级要求。

2.4　应用和数据安全需部署符合国密标准的服务器密码机，应用通过调用服务器密码机，对登录平台的用户和管理员的身份鉴别数据、重要应用业务数据、虚拟机镜像文件等进行传输机密性、完整性保护，以及存储的机密性和完整性保护，防止重要数据被窃取和被篡改。

密码应用详细指标要求如表1所示。

2.5　国产化需求当前，我国密码技术能力已达到国际先进水平，自主设计的商用密码算法ZUC、SM2和SM9已成为国际标准，并在金融、税务、海关、电力、公安等重要领域的网络和信息系统中广泛应用。

随着政务信息应用的多样化、移动化发展，多数系统要求达到等保三级的安全保障能力，更加强调了各类国产密码的应用。

在系统密码应用中，需依据用户实际需求选择合适的国产密码技术为政务应用提供服务。

3　某信用平台密码应用改造方案根据某信用平台的部署方式和业务功能，在满足总体性、完备性、经济性原则的基础上，设计一套科学合理、目标明确、措施完备的密码应用技术方案。

关于密码技术的调查报告XXX调查目的：1. 掌握加密技术的分类及在电子商务平台中的主流作用；2. 知道对称加密技术和非对称加密技术的各自的特点；3. 了解目前主流的公钥加密技术；4. 了解目前最前沿的加密技术和算法。

调查对像：密码技术调查内容：1. 加密技术的分类及在电子商务平台中的主流作用2. 对称加密技术和非对称加密技术的各自的特点3. 目前主流的公钥加密技术4. 目前最前沿的加密技术和算法调查方式：本次调查本人采用的是观察法和资料法调查时间：2010/3/18调查结果：一、首先我们应了解什么是密码技术：加密技术包括两个元素：算法和密钥。

算法是将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。

在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。

密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。

相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。

对称加密以数据加密标准（DES，DataEncryption Standard）算法为典型代表，非对称加密通常以RSA（Rivest ShamirAd1eman）算法为代表。

对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。

加密技术是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。

因而，加密意味着明文变成密文的过程。

解密为由密文还原成明文的过程。

加密和解密的规则称为密码算法在加密和解密过程中，由加密者和解密者使用的加解密可变参数叫做密钥转换密码是根据某种规则转换明文的顺序，形成密文，最后，根据密钥中数字的顺序按列抄写形成密文。

密码学的概念：著名的密码学者Ron Rivest解释道：“密码学是关于如何在敌人存在的环境中通讯”，自工程学的角度，这相当于密码学与纯数学的异同。

信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求，以及信息系统口令、密码和密钥管理。

本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。

2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所19941998200020032006200633.13.2密钥4职责4.14.1.2部门设置应用系统的口令、密码和密钥；指导各用户设置开机口令。

4.2信息中心各专职职责4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。

4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。

4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。

4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作，参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实，以及网络系统各类分析、统计报告的编制和上报工作。

5管理内容与要求5.1主机与网络设备(含安全防护系统)口令、密码管理5.1.1各类主机、网络设备应有明确的管理员负责管理，管理员负责其管辖范围的账号、口令的设置和更改。

5.1.2各类主机的超级用户口令和网络设备配置口令必须定期更换，更换周期不得超过1个月。

5.1.3各管理员应将口令用信封封存后交网络信息安全员统一保管，如遇管理员出差等情况需打开信封，必须征得信息中心主管同意后方可打开信封使用口令，管理员回来后及时更改口令并重新封存。

口令的保存、更改和开封启用均要有详细记录。

严禁私自启封。

5.1.4更换账号、口令后，必须立即提交新的密封件交网络信息安全员保管，并重新进行登记，旧的密封件当面销毁。

5.1.5不同权限人员应严格保管、保密各自职责的口令，严格限制使用范围，不得向非相关人员透露，原则上不允许多人共同使用一个帐户和口令。

系统管理员不得拥有数据库管理员（DBA）的权限；数据库管理员不得同时拥有系统管理员的权限；数据库管理员应为不同的不同应用系统的数据5.1.6证，户名、5.1.75.25.2.15.2.25.2.35.2.4借他人。

摘 要：随着《中华人民共和国密码法》的出台，我国对密码应用从顶层做出了战略部署和高度要求。

各政务部门在开展密码应用工作过程中，普遍存在密码管理职能分工不明确的问题。

为研究解决此问题，梳理汇总当前国家法律法规和标准规范明确的密码政策要求，分析政务密码体系架构，总结电子政务典型密码应用，围绕业务应用部门、安全管理部门、认证服务方、密码管理部门四个角色，提出一套基于需求分析、设施建设、电子认证、密码管理和监督的政务密码应用管理体系。

关键词：政务密码；密码应用；密码管理；密码体系中图分类号：TP309 文献标志码：A 文章编号：1009-8054(2021)01-0070-07焦　迪（国家信息中心，北京100045）有关构建政务信息系统密码应用管理体系的建议*文献引用格式：焦迪.有关构建政务信息系统密码应用管理体系的建议[J].信息安全与通信保密,2021(1):70-76.JIAO Di.Suggestions on Establishing the Cryptographic Application Management Systemof Government Information System[J].Information Security and Communications Privacy,2021(1):70-76.Suggestions on Establishing the Cryptographic Application Management System of Government Information SystemJIAO Di（State Information Center, Beijing 100045, China）Abstract: With the promulgation of the "Cryptography Law of the People's Republic of China", out country has made strategic deployments and high requirements for cryptographic applications from the top. In the process of carrying out cryptographic application work in government departments, there is a general problem of unclear division of cryptographic management functions. In order to explore and solve this problem, sort out and summarize the current national laws, regulations and standards of clear cryptographic policy requirements, analyze the government cryptographic system architecture, summarize the typical cryptographic applications of government, and focus on the five roles of business application*收稿日期：2020-09-24；修回日期：2020-12-19 Received date:2020-09-24; Revised date:2020-12-190　引　言密码是国家重要战略资源，是保障网络与信息安全的核心技术和基础支撑。

信息安全风险评估调查表基本信息调查1.单位基本情况单位名称：（公章）联系人：Email：信息安全主管领导（签字）：检查工作负责人（签字）：联系填表时间：职务：单位地址：2.硬件资产情况2.1.网络设备情况网络设备名称型号物理位置所属网络区域 IP地址/掩码/网关系统软件及版本端口类型及数量主要用途是否热备重要程度2.2.安全设备情况安全设备名称型号(软件/硬件) 物理位置所属网络区域 IP 地址/掩码/网关系统及运行平台端口类型及数量主要用途是否热备重要程度2.3.服务器设备情况设备名称型号物理位置所属网络区域 IP地址/掩码/网关操作系统版本/补丁安装应用系统软件名称主要业务应用涉及数据是否热备终端设备名称型号物理位置所属网络区域设备数量 IP 地址/掩码/网关操作系统安装应用系统软件名称2.4.终端设备情况涉及数据主要用途填写说明网络设备包括路由器、网关、交换机等。

安全设备包括防火墙、入侵检测系统、身份鉴别等。

服务器设备包括大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备包括办公计算机、移动存储设备。

重要程度：根据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

3.软件资产情况3.1.系统软件情况系统软件名称版本软件厂商硬件平台涉及应用系统3.2.应用软件情况应用系统软件名称开发商硬件/软件平台 C/S或B/S模式填写说明系统软件包括操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件包括项目管理软件、网管软件、办公软件等。

涉及数据现有用户数量主要用户角色4.服务资产情况4.1.本年度信息安全服务情况服务类型服务方单位名称服务内容服务方式(现场、非现场) 填写说明服务类型包括：1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计；10.安全研发。

5.人员资产情况5.1.信息系统人员情况岗位名称岗位描述人数兼任人数填写说明岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。