商用密码测评基本要求

1基本情况1.1 商用密码应用安全性评估商用密码应用安全性评估（以下简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。

《密码法》第二十七条规定“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”。

《商用密码应用安全性评估管理办法（试行）》第三条规定“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。

重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统”。

第十条规定“关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次，测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行”。

《国家政务信息化项目建设管理办法（国办发〔2019〕57 号）》中对政务信息系统的商用密码应用与评估工作提出了相应要求。

由此可知，关基、政务等领域必须开展商用密码应用建设与评估工作。

为了有效推进密评工作，在密码相关主管部门的推动下，GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》、GM/T 0115—2021《信息系统密码应用测评过程指南》、GM/T 0116—2021《信息系统密码应用测评要求》《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》和《商用密码应用安全性评估FAQ》等标准和指导性文件相继出台，为密评工作的快速开展奠定了良好基础。

1.2 密评目前存在的主要问题密码技术应用具有专业性较强、技术复杂度高的特点，通常与业务系统联系紧密。

《信息安全等级保护商用密码技术要求》使用指南《<信息安全等级保护商用密码技术要求>使用指南》编写组目录一、引言 (5)二、密码框架保护 (9)1、信息系统密码保护框架 (9)2、密码保护技术体系 (10)2.1、密码基础设施 (13)2.2、密码设备 (13)2.3、密码服务 (13)2.4、密码技术支撑的安全服务 (14)三、密码保护实施要求 (16)1、集成单位选择 (16)2、方案设计、产品选型与集成实施 (16)2.1商用密码系统建设方案的设计 (16)2.2产品选用 (17)2.3商用密码系统建设方案的实施 (17)3、系统安全测评 (17)4、日常维护与管理 (19)5、安全监督检查 (19)附录一：第一级信息系统密码保护 (20)1、第一级基本技术要求中的密码技术应用需求分析 (20)1.1物理安全 (20)1.2网络安全 (20)1.3主机安全 (21)1.4应用安全 (21)1.5数据安全及备份恢复 (22)1.6总结 (22)2、密码通用技术要求 (23)2.1功能要求 (23)2.2密钥管理要求 (23)2.4密码实现机制 (24)2.5密码安全防护要求 (24)3、典型示例 (24)3.1信息系统概述 (24)3.2密码保护需求 (24)3.3密码保护系统设计 (24)3.4密码保护系统部署 (25)附录二：第二级信息系统密码保护 (27)1、第二级基本技术要求中的密码技术应用需求分析 (27)1.1物理安全 (27)1.2网络安全 (27)1.3主机安全 (28)1.4应用安全 (29)1.5数据安全及备份恢复 (30)1.6总结 (31)2、密码通用技术要求 (31)2.1功能要求 (31)2.2密钥管理要求 (32)2.3密码配用策略要求 (33)2.4密码实现机制 (33)2.5密码安全防护要求 (33)3、典型示例 (34)3.1信息系统概述 (34)3.2密码保护需求 (34)3.3密码保护系统设计 (34)3.4密码保护系统部署 (36)附录三：第三级信息系统密码保护 (37)1、第三级基本技术要求中的密码技术应用需求分析 (37)1.1物理安全 (37)1.3主机安全 (39)1.4应用安全 (40)1.5数据安全及备份恢复 (42)1.6总结 (43)2、密码通用技术要求 (43)2.1功能要求 (43)2.2密钥管理要求 (45)2.3密码配用策略要求 (46)2.4密码实现机制 (47)2.5密码安全防护要求 (47)3、典型示例 (48)3.1信息系统概述 (48)3.2密码保护需求 (48)3.3密码保护系统设计 (50)3.4密码保护系统部署 (51)附录四：第四级信息系统密码保护 (54)1、第四级基本技术要求中的密码技术应用需求分析 (54)1.1物理安全 (54)1.2网络安全 (54)1.3主机安全 (56)1.4应用安全 (58)1.5数据安全及备份恢复 (60)1.6总结 (61)2、密码通用技术要求 (62)2.1功能要求 (62)2.2密钥管理要求 (64)2.3密码配用策略要求 (66)2.4密码实现机制 (66)2.5密码安全防护要求 (66)3.1防伪税控系统概述 (67)3.2密码保护需求 (68)3.3密码保护系统设计 (70)3.4密码保护系统部署 (72)附录五：第一至四级基本技术要求中的密码技术应用需求汇总 (74)一、引言信息安全等级保护制度是国家信息安全保障工作的基本制度。

商用密码应用安全性评估管理办法一、引言随着信息技术的迅猛发展，商用密码应用在企业和个人之间的通信中起到了至关重要的作用。

为确保商用密码应用的安全性，保护敏感信息不被非法获取和篡改，商用密码应用安全性评估管理办法应运而生。

本文将介绍商用密码应用安全性评估的目的和重要性，并提出相应的管理办法。

二、商用密码应用安全性评估目的商用密码应用安全性评估是为了评估商用密码应用系统的安全性，包括系统的机密性、完整性、可用性和可信度等各个方面。

通过评估，可以发现系统中的潜在安全风险，提供相应的改进建议，提高系统的整体安全水平。

三、商用密码应用安全性评估管理办法1. 评估准备阶段在开始安全性评估之前，必须进行评估准备，包括确定评估范围、建立评估组织、定义评估目标和规划评估流程等。

评估组织应包含专业的安全专家和相关技术人员，确保评估的专业性和可行性。

评估目标要明确具体，以便评估的结果能够给出有针对性的建议。

2. 安全性评估方法商用密码应用安全性评估应采用多种方法，包括静态分析、动态测试、安全扫描等，以确保评估的全面性和准确性。

静态分析可以通过审查源代码或配置文件等来发现潜在的安全隐患；动态测试可以模拟实际攻击场景，发现系统的漏洞和弱点；安全扫描可以检查系统的网络安全配置和漏洞情况。

3. 评估结果分析与报告撰写评估结束后，评估组织应对评估结果进行分析，并撰写详细的评估报告。

报告应包括评估的整体结论、发现的安全漏洞和风险、改进建议等内容。

报告要清晰明了，便于相关人员理解和参考，并注明评估的有效期限。

4. 改进建议的实施与跟踪评估报告中提出的改进建议应得到相应的重视和实施。

相关部门应根据报告中的建议，及时调整商用密码应用系统的安全策略和措施，提高系统的安全性。

同时，评估组织要跟踪改进建议的实施情况，确保改进措施的有效性。

四、商用密码应用安全性管理制度建设除了安全性评估外，建立健全的商用密码应用安全性管理制度也是确保商用密码应用安全的重要手段。

商用密码应用安全性评估及其相关标准作者：谢宗晓董坤祥甄杰来源：《中国质量与标准导报》2022年第02期1 概述商用密码应用安全性评估（以下简称：密评），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

这是继网络安全等级保护（以下简称：等级保护）之后，信息安全领域又一体系化的制度，至于称为“评估”还是“测评”，并不重要，其框架大致都遵循了传统的检测认证工作，这一点也可以从相关公文1）中得到验证。

和等级保护一样，密评也有法律依据。

《中华人民共和国网络安全法》第二十一条明确指出：国家实行网络安全等级保护制度。

《中华人民共和国密码法》的第二十七条规定如下：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

2 密评相关标准检测认证的标准体系与ISO/IEC 27000标准族的设计基本都是一致的，其来源为ISO 9000标准族的框架，大致包括：要求类标准、指南类标准，如实施指南、测评（或检测、评估）等指南、机构要求（可能包括人员要求）类的认可标准。

例如，国家标准中的网络安全等级保护系列标准架构主要包括：GB/T 22240、GB/T 22239、GB/T 25058、GB/T 25070、GB/T 28448和GB/T 28449等。

其关系大致如图1所示。

密评标准体系的设计大致也遵循了这样的架构。

一般而言，要求类标准是其中最基础的。

GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》是密评体系中的要求类标准，其前身为GM/T 0054—2018，该标准沿用了GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》的框架，将信息系统密码应用自低向高划分为五个等级。

GM/T 0115—2021《信息系统密码应用测评要求》和GM/T 0116—2021《信息系统密码应用测评过程指南》则是针对测评的相关标准。

政务云商用密码标准
政务云和商用密码标准是两个不同的概念，它们各自有不同的含义和应用。

政务云是指政府机构通过云计算技术实现电子政务的运营和管理。

政务云可以提供基础设施、平台和软件三个层面的服务，使得政府机构可以更加高效地管理和利用信息资源，提高公共服务水平。

在政务云中，商用密码标准的应用主要涉及到信息安全和数据保护方面。

商用密码标准是商业环境中密码使用的一种规范化方法，旨在保护商业实体的信息安全，防止未经授权的访问和数据泄露。

在政务云中，商用密码标准可以应用于数据的加密、解密、签名、验证等方面，保证政务数据的机密性、完整性和可用性。

总之，政务云和商用密码标准是两个不同的概念，但它们在信息安全和数据保护方面具有一定的联系。

在实际应用中，政务云需要遵循相应的商用密码标准，确保信息的安全性和机密性。

商用密码安全性评估的介绍
商用密码的安全性评估是一种评估和检测组织或企业使用的密码策略和系统的安全程度的过程。

它通过评估密码的强度、策略的合规性和系统的保护措施来识别潜在的风险和漏洞，并提供改进建议和措施以加强密码的安全性。

商用密码的安全性评估通常包括以下步骤：
1. 收集信息：评估人员将收集关于密码使用和管理的信息，包括密码策略、密码复杂性要求、密码存储和传输的方式等。

2. 评估密码强度：评估人员会对组织或企业使用的密码进行测试，评估其强度和易受攻击的程度。

这可能包括使用密码破解工具、字典攻击和暴力破解等方法。

3. 评估密码策略：评估人员会审核密码策略，包括密码复杂性要求、密码定期更改的要求、密码重用规则等，以确定其符合最佳实践和合规性要求。

4. 评估密码管理和存储：评估人员将审查密码的管理和存储方式，包括密码加密、密码散列、密码传输的加密等，以确保密码在存储和传输过程中的安全性。

5. 系统保护措施评估：评估人员将审查系统对密码的保护措施，包括防火墙、入侵检测系统、访问控制等，以确保系统能有效地保护密码的安全性。

6. 提供改进建议：评估人员将根据评估结果提供改进建议，包括加强密码策略、增强密码强度、改进密码管理和存储方式、加强系统保护措施等，以提高密码的安全性。

商用密码的安全性评估对于组织和企业来说十分重要。

它可以帮助组织评估密码安全性的现状，识别潜在的风险和漏洞，并提供有效的措施和建议以加强密码的安全性。

通过此评估，组织可以提高其对密码的保护，降低密码遭受攻击的风险，保障组织的信息系统和数据的安全。

商用密码量化评估规则2023
2023版的商用密码应用安全性评估量化评估规则主要在以下方面进行了更新:
1.微调部分:更新了5处内容，包括对特定场景下的密码应用安全性评估要求、对不同类型密码应用的安全性评估要求、对密码设备配置和管理的要求、对密码服务的安全性要求以及测试评估方法等。

2.较大更新部分:同样更新了5处内容，包括对密码应用系统的安全性要求、对密码应用的安全性设计要求、对密码应用的安全性测试要求、对密码应用安全性评估的周期和流程要求以及对商用密码应用安全性评估的管理要求等。

此外，《商用密码应用安全性评估管理办法》已于2023年9月11日通过国家密码管理局局务会议审议，自2023年11月1日起正式施行。

该办法旨在规范商用密码应用安全性评估工作，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。

以上信息仅供参考，如有需要，建议您查阅官方公告。

制表：审核：批准：。

金融行业信息系统商用密码应用基本要求随着金融行业的发展，其信息系统的安全性要求也不断提高。

在这种情况下，信息系统的商用密码应用的基本要求是必不可少的。

首先，金融行业的商用密码应用必须具有足够的安全性，这是保护信息系统安全和确保用户信息安全最重要的因素。

为了达到这一要求，金融机构可以采用加密技术和专用设备来保护数据。

同时，还应采取有效的安全措施，及时发现和消除潜在的攻击漏洞。

其次，在金融行业的商用密码应用中，必须采取适当的措施来增强系统的可用性。

比如，金融行业的信息系统可以通过采用单点登录和双因素身份验证技术来提高可用性，确保用户可以快速、安全地进行访问。

此外，可以采用日志分析技术来检测系统中可能存在的恶意行为，防止数据泄露。

此外，金融行业的商用密码应用同样必须满足可管理性的要求，以确保系统的可操作性。

为了实现这一点，金融机构可以采用安全策略管理系统来控制系统的安全性，并采用数据管理系统来实现密码的有效更新。

此外，还要定期检查系统，发现和修复可能存在的漏洞和弱点。

最后，金融行业的商用密码应用应该具有足够的安全性、可用性和可管理性，以确保系统的安全和可靠性。

金融机构应采取有效的措施，加强信息安全管理，尤其是采取加密技术、专用设备、双因素身份验证技术、安全策略管理系统等安全技术，确保信息系统的安全和可靠性。

总之，金融行业信息系统商用密码应用的基本要求是具有足够的安全性、可用性和可管理性，金融机构应采取有效的安全措施，并通过各种安全技术来确保信息系统的安全性和可靠性。

只有金融行业认真落实这些基本要求，才能有效地保护用户和客户的信息安全，确保经济运行的正常稳定。

密码测评建设依据
密码测评的建设主要依据国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》。

该标准规定了信息系统在物理和环境、网络和通信、设备和计算、应用和数据、安全管理等方面的密码应用要求，是开展密码测评工作的重要依据。

具体如下：
1. 物理和环境安全：确保密码相关的物理设施和环境得到适当的保护，防止未授权访问和潜在的安全威胁。

2. 网络和通信安全：在网络传输过程中使用密码技术保护数据不被截获、篡改或伪造。

3. 设备和计算安全：保证使用的设备和计算平台在存储和处理信息时能够有效使用密码技术进行保护。

4. 应用和数据安全：对信息系统中的应用和数据进行加密保护，确保数据的机密性、完整性和可用性。

5. 安全管理：建立和维护一套完整的密码安全管理流程，包括密码策略制定、密钥管理、事件处理等。

此外，中国密码学会密评联委会还制定了《信息系统密码应用测评要求》等相关文件，以指导和规范密码测评活动。

《密码法》第二十七条也明确指出，关键信息基础设施的运营者应当使用商用密码进
行保护，并可以自行或委托商用密码检测机构开展商用密码应用安全性评估。

综上所述，密码测评建设不仅需要遵循国家的标准和法规，还需要结合专业的测评指南和实际操作要求，以确保信息系统的密码应用达到法律法规和技术标准的要求。

通过这些措施，可以有效提升信息系统的安全性，保护关键信息基础设施免受密码攻击的威胁。