00密评建设方案V1.1.doc

1、密评建设方案目录一、 背景1二、 建设原则22.1 总体性原则22.2 完备性原则22.3 适用性原则2三、 建设方案33.1 总体架构33.2 详细建设方案43.3 通用评测建设43.3.1密码算法和密码技术合规性43.3.2密钥管理安全性53.4 密码应用测评建设63.4.1物理和环境安全63.4.2网络和通信安全133.4.3设备和计算安全233.4.4应用和数据安全373.4.5管理制度543.4.6人员管理583.4.7建设运行623.4.8应急处置663.5 风险分析和评价6864一、 背景当今世界，网络空间正在加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域、国家安全的新战

2、场。密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑，是国家安全的重要战略资源，也是国家实现安全可控信息技术体系弯道超车的重要突破口。近年来，国内密码应用形势并不乐观。一是应用不广泛；二是应用不规范；三是密码应用不安全。为解决当前密码应用存在的突出问题，国家颁布实施了网络安全法、密码法、网络安全审查办法、国家政务信息化项目建设管理办法等一系列法律法规，对密码应用安全性评估提出要求，希望通过密码应用安全性评估促进商用密码的使用和管理规范。二、 建设原则122.1 总体性原则密码应用建设方案需做好顶层设计，明确应用需求和预期目标，与信息系统整体网络安全保护等级相结合，通过体系化的设计形成

3、涵盖技术、管理、实施保障的整体方案，有效落实密码应用相关要求。2.2 完备性原则密码应用建设方案需紧密结合信息系统业务应用实际与安全保护等级，站在整体角度，通过自上而下的体系化设计，综合考虑物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等层面的密码应用需求。2.3 适用性原则信息系统密码应用测评要求是密码应用的通用要求，在密码应用方案设计中不能机械照搬，或简单地对照每项要求堆砌密码产品，应通过体系化、分层次的设计，形成包括密码支撑总体架构、密码基础设施建设部署、密钥管理体系构建、密码产品部署及管理等内容的总体方案。通过密码应用方案设计，为实现基本要求在信息系统中的落地创造条件。

4、三、 建设方案33.1 总体架构整个系统架构，基于信息安全技术信息系统密码应用评测要求相关标准规范以及量化评估体系，通过制定符合要求的密钥管理制度和安全管理制度并使用支持国密算法且具备商用密码产品认证证书的相关密码产品，满足在密码算法和密码技术合规性、密钥管理安全、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全以及安全制度管理等层面的密码应用需求。3.2 详细建设方案详细建设方案按照信息系统密码应用基本要求第三级别的标准设计。3.3 通用评测建设3.3.1 密码算法和密码技术合规性3.3.1.1 评测对象及指标要求n 测评对象信息系统中的密码产品、密码服务以及密码算法实现和密码

5、技术实现。n 测评指标1. 信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。2. 信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。3.3.1.2 建设建议该项评测指标不单独判定符合性，需要结合信息系统相关的软、硬件密码产品情况。信息系统相关软、硬件应采用密码产品进行保护；密码产品须采用国密算法，且在信息系统中正确使用，起到保护业务数据的作用；采用的密码产品须取得商密产品认证证书。3.3.2 密钥管理安全性3.3.2.1 评测对象及指标要求n 测评对象信息系统中的密钥体系，以及相应的密码产品、密码服务以及密码算法实现和密码技术实现。n 测评指标1.

6、 信息系统中使用的密码产品、密码服务应符合法律法规的相关要求。2. 采用的密码产品，达到GB/T37092二级及以上安全要求。3. 采用的密码服务，符合法律法规的相关要求，需依法接受检测认证的，应经商用密码认证机构认证合格。3.3.2.2 建设建议该项评测指标不单独判定符合性，需要结合信息系统相关的软、硬件密码产品情况。信息系统中密钥体系中的密钥（除公钥外）不能被非授权的访问、使用、泄露、修改和替换，公钥不能被非授权的修改和替换；密码产品的配置和使用均须正确，如其使用手册中说明的部署条件和安全策略；用于密钥管理和密码计算的密码产品须取得商密产品认证证书。3.4 密码应用测评建设3.4.1 物理

7、和环境安全3.4.1.1 整体建设方案通过部署基于密码技术且取得商用密码产品认证证书的电子门禁系统和视频监控系统来保证重要区域进入人员身份的真实性；电子门禁系统进出记录数据的存储完整性；视频监控音像记录数据的存储完整性。3.4.1.2 身份鉴别（高风险）3.4.1.2.1 评测对象及指标要求n 测评对象信息系统所在机房等重要区域及其电子门禁系统。n 测评指标采用密码技术进行物理访问身份鉴别，保证重要区域进入人员身份的真实性。3.4.1.2.2 建设建议部署基于密码技术的电子门禁系统，对重要物理区域（如计算机集中办公区、设备机房等）出入人员的身份进行鉴别。部署的电子门禁系统须采用国密算法，且具备

8、商密产品认证证书。3.4.1.2.3 评估标准针对单个测评对象：若电子门禁系统正确采用国密标准的密码技术对重要物理区域（如计算机集中办公区、设备机房等）出入人员的身份进行鉴别，且该电子门禁系统获得了商密产品认证证书，则判断结果为符合。若电子门禁系统采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术对重要区域进入人员进行身份鉴别，并且进入人员身份真实性实现机制正确、有效；但是采用的密码技术不符合国密要求或者电子门禁系统未获得商密产品认证证书，则判定结果为部分符合；若电子门禁系统未采用密码产品，则判定结果为不符合。针对本测评单元，对

9、该单元涉及的所有测评对象的判定结果进行汇总，如果判定结果均为符合，则本单元的测评结果为符合；如果判定结果均为不符合，则本单元的测评结果为不符合；否则，本单元的测评结果为部分符合。具体得分见下表：测评指标测评对象结果记录测评对象评分身份鉴别A机房电子门禁系统正确采用国密标准的密码技术对重要物理区域（如计算机集中办公区、设备机房等）出入人员的身份进行鉴别，且该电子门禁系统获得了商密产品认证证书。1B机房电子门禁系统正确采用密码技术对重要物理区域（如计算机集中办公区、设备机房等）出入人员的身份进行鉴别，密码技术未采用国密算法或该电子门禁系统未获得商密产品认证证书。0.5C机房电子门禁系统正确采用密码

10、技术对重要物理区域（如计算机集中办公区、设备机房等）出入人员的身份进行鉴别，密码技术未采用国密算法且该电子门禁系统未获得商密产品认证证书。0.25D机房电子门禁系统未采用密码技术对重要物理区域（如计算机集中办公区、设备机房等）出入人员的身份进行鉴别。03.4.1.2.4 高风险缓解措施采用了基于生物技术（指纹、刷脸等）对人员进行身份鉴别。可酌情降低风险等级。重要区域配备专人值守并进行登记，且采用视频监控进行实时监控。可酌情降低风险等级。3.4.1.3 电子门禁记录数据存储完整性3.4.1.3.1 评测对象及指标要求n 测评对象信息系统所在机房等重要区域及其电子门禁系统。n 测评指标采用密码技术

11、保证电子门禁系统进出记录数据的存储完整性。3.4.1.3.2 建设建议部署基于密码技术的电子门禁系统，电子门禁系统进出记录数据须通过密码算法进行存储完整性保护，且完整性保护机制正确、有效。部署的电子门禁系统须具备商密产品认证证书，保护存储数据完整性的密码算法须为国密算法。3.4.1.3.3 评估标准针对单个测评对象：若电子门禁系统正确采用国密标准的密码技术保护进出记录数据的存储完整性，且该电子门禁系统获得了商密产品认证证书，则判断结果为符合。若电子门禁系统采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术对电子门禁系统进出记录数据进行存储完整

12、性保护，并且完整性保护机制正确、有效；但是采用的密码技术不符合国密要求或者电子门禁系统未获得商密产品认证证书，则判定结果为部分符合。若电子门禁系统未采用密码产品，则判定结果为不符合。针对本测评单元，对该单元涉及的所有测评对象的判定结果进行汇总，如果判定结果均为符合，则本单元的测评结果为符合；如果判定结果均为不符合，则本单元的测评结果为不符合；否则，本单元的测评结果为部分符合。具体得分见下表：测评指标测评对象结果记录测评对象评分电子门禁记录数据存储完整性A机房电子门禁系统正确采用国密标准的密码技术保护进出记录数据的存储完整性，且该电子门禁系统获得了商密产品认证证书。1B机房电子门禁系统正确采用了

13、密码技术对进出记录数据的存储完整性进行了保护，密码技术未采用国密算法或该电子门禁系统未获得商密产品认证证书。0.5C机房电子门禁系统正确采用了密码技术对进出记录数据的存储完整性进行了保护，密码技术未采用国密算法且该电子门禁系统未获得商密产品认证证书。0.25D机房电子门禁系统未采用密码技术对进出记录数据的存储完整性进行保护。03.4.1.4 视频监控记录数据存储完整性3.4.1.4.1 评测对象及指标要求n 测评对象信息系统所在机房等重要区域及其视频监控系统。n 测评指标采用密码技术保证视频监控音像记录数据的存储完整性。3.4.1.4.2 建设建议部署基于密码技术的视频监控系统，并通过密码技术

14、对视频监控音像记录等数据进行完整性保护，且保护机制正确、有效。部署的视频监控系统须具备商密产品认证证书，采用的密码技术须为国密算法。也可以部署证据保全系统，通过采用国密标准的数字签名算法对视频监控音像数据进行数字签名，然后将签名数据和原始数据都存入证据保全系统。采用的签名验签服务器需具备商密产品认证证书。3.4.1.4.3 评估标准针对单个测评对象：若视频监控系统正确采用国密标准的密码技术对视频监控音像记录等数据进行完整性保护，且该视频监控系统获得了商密产品认证证书，则判断结果为符合。若视频监控系统采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密

15、码技术对视频监控音像记录数据进行存储完整性保护，并且完整性保护机制正确、有效；但是采用的密码技术不符合国密要求或者视频监控系统未获得商密产品认证证书，则判定结果为部分符合。若视频监控系统未采用密码产品，则判定结果为不符合。针对本测评单元，对该单元涉及的所有测评对象的判定结果进行汇总，如果判定结果均为符合，则本单元的测评结果为符合；如果判定结果均为不符合，则本单元的测评结果为不符合；否则，本单元的测评结果为部分符合。具体得分见下表：测评指标测评对象结果记录测评对象评分视频监控记录数据存储完整性A机房视频监控系统正确采用国密标准的密码技术对视频监控音像记录等数据进行完整性保护，且该视频监控系统获得

16、了商密产品认证证书。1B机房视频监控系统采用密码技术对视频监控音像记录等数据进行完整性保护，密码技术未采用国密算法或该视频监控系统未获得商密产品认证证书。0.5C机房视频监控系统采用密码技术对视频监控音像记录等数据进行完整性保护，密码技术未采用国密算法且该视频监控系统未获得商密产品认证证书。0.25D机房视频监控系统未采用密码技术对视频监控音像记录等数据进行完整性保护。03.4.2 网络和通信安全3.4.2.1 整体建设方案部署使用国密算法且具备商密产品认证证书的IPSecVPN类或SSLVPN类产品实现通信双方的身份鉴别，保证通信实体身份的真实性，通信过程中数据的完整性，通信过程中重要数据的

17、机密性；实现从外部连接到内部网络的设备进行接入认证，确保接入设备身份的真实性。 部署具有商密产品认证证书的加密防火墙实现对网络边界和系统资源访问控制信息进行完整性保护，防止被非法篡改。3.4.2.2 身份鉴别（高风险）3.4.2.2.1 评测对象及指标要求n 测评对象信息系统与网络边界外建立的网络通信信道，以及提供通信保护功能的设备或组件、密码产品。n 测评指标1. 采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性。2. 采用密码技术对通信实体进行双向身份鉴别，保证通信实体身份的真实性。3.4.2.2.2 建设建议部署使用国密算法的IPSecVPN类或SSLVPN类产品实现通信双方

18、的身份鉴别，保证通信实体身份的真实性；VPN设备须具有商密产品认证证书。3.4.2.2.3 评估标准针对单个测评对象：若信息系统使用国密算法的IPSecVPN类或SSLVPN类产品实现通信双方的身份鉴别，保证通信实体身份的真实性；且VPN产品具有商密产品认证证书，则判断结果为符合。若信息系统使用IPSecVPN类或SSLVPN类产品实现通信双方的身份鉴别，保证通信实体身份的真实性，但VPN类产品未使用国密算法或VPN产品未获得商密产品认证证书，则判断结果为部分符合。若信息系统未使用密码技术实现通信双方的身份鉴别，保证通信实体身份的真实性，则判断结果为不符合。针对本测评单元，对该单元涉及的所有测

19、评对象的判定结果进行汇总，如果判定结果均为符合，则本单元的测评结果为符合；如果判定结果均为不符合，则本单元的测评结果为不符合；否则，本单元的测评结果为部分符合。具体得分见下表：测评指标测评对象结果记录测评对象评分身份鉴别A信息系统使用国密算法的IPSecVPN类或SSLVPN类产品实现通信双方的身份鉴别，保证通信实体身份的真实性；且VPN产品具有商密产品认证证书。1B信息系统使用IPSecVPN类或SSLVPN类产品实现通信双方的身份鉴别，保证通信实体身份的真实性；但VPN产品未使用国密算法或VPN产品未获得商密产品认证证书。0.5C信息系统使用IPSecVPN类或SSLVPN类产品实现通信双

20、方的身份鉴别，保证通信实体身份的真实性；但VPN产品未使用国密算法且VPN产品未获得商密产品认证证书。0.25D信息系统信息系统未使用密码技术实现通信双方的身份鉴别，保证通信实体身份的真实性。03.4.2.2.4 高风险缓解措施无缓解措施。3.4.2.3 通信数据完整性3.4.2.3.1 评测对象及指标要求n 测评对象信息系统与网络边界外建立的网络通信信道，以及提供通信保护功能的设备或组件、密码产品。n 测评指标采用密码技术保证通信过程中数据的完整性。3.4.2.3.2 建设建议部署使用国密算法的IPSecVPN类或SSLVPN类产品保证通信过程中数据的完整性；VPN设备须具有商密产品认证证书

21、。3.4.2.3.3 评估标准针对单个测评对象：若信息系统使用国密算法的IPSecVPN类或SSLVPN类产品保证通信过程中数据的完整性；且VPN产品具有商密产品认证证书，则判断结果为符合。若信息系统使用IPSecVPN类或SSLVPN类产品保证通信过程中数据的完整性，但VPN类产品未使用国密算法或VPN产品未获得商密产品认证证书，则判断结果为部分符合。若信息系统未使用密码技术保证通信过程中数据的完整性，则判断结果为不符合。针对本测评单元，对该单元涉及的所有测评对象的判定结果进行汇总，如果判定结果均为符合，则本单元的测评结果为符合；如果判定结果均为不符合，则本单元的测评结果为不符合；否则，本单

22、元的测评结果为部分符合。具体得分见下表：测评指标测评对象结果记录测评对象评分身份鉴别A信息系统使用国密算法的IPSecVPN类或SSLVPN类产品保证通信过程中数据的完整性；且VPN产品具有商密产品认证证书。1B信息系统使用IPSecVPN类或SSLVPN类产品保证通信过程中数据的完整性；但VPN产品未使用国密算法或VPN产品未获得商密产品认证证书。0.5C信息系统使用IPSecVPN类或SSLVPN类产品保证通信过程中数据的完整性；但VPN产品未使用国密算法且VPN产品未获得商密产品认证证书。0.25D信息系统信息系统未使用密码技术保证通信过程中数据的完整性。03.4.2.4 通信过程中重要

23、数据的机密性（高风险）3.4.2.4.1 评测对象及指标要求n 测评对象信息系统与网络边界外建立的网络通信信道，以及提供通信保护功能的设备或组件、密码产品。n 测评指标采用密码技术保证通信过程中重要数据的机密性。3.4.2.4.2 建设建议部署使用国密算法的IPSecVPN类或SSLVPN类产品保证通信过程中重要数据的机密性；VPN设备须具有商密产品认证证书。3.4.2.4.3 评估标准针对单个测评对象：若信息系统使用国密算法的IPSecVPN类或SSLVPN类产品保证通信过程中重要数据的机密性；且VPN产品具有商密产品认证证书，则判断结果为符合。若信息系统使用IPSecVPN类或SSLVPN

24、类产品保证通信过程中重要数据的机密性，但VPN类产品未使用国密算法或VPN产品未获得商密产品认证证书，则判断结果为部分符合。若信息系统未使用密码技术保证通信过程中重要数据的机密性，则判断结果为不符合。针对本测评单元，对该单元涉及的所有测评对象的判定结果进行汇总，如果判定结果均为符合，则本单元的测评结果为符合；如果判定结果均为不符合，则本单元的测评结果为不符合；否则，本单元的测评结果为部分符合。具体得分见下表：测评指标测评对象结果记录测评对象评分身份鉴别A信息系统使用国密算法的IPSecVPN类或SSLVPN类产品保证通信过程中重要数据的机密性；且VPN产品具有商密产品认证证书。1B信息系统使用

25、IPSecVPN类或SSLVPN类产品保证通信过程中重要数据的机密性；但VPN产品未使用国密算法或VPN产品未获得商密产品认证证书。0.5C信息系统使用IPSecVPN类或SSLVPN类产品保证通信过程中重要数据的机密性；但VPN产品未使用国密算法且VPN产品未获得商密产品认证证书。0.25D信息系统信息系统未使用密码技术保证通信过程中重要数据的机密性。03.4.2.4.4 高风险缓解措施在“应用和数据安全”层面采用符合国密要求的的密码技术对重要数据进行数据加解密，保障通信过程中重要数据的机密性。即可视为等效措施。3.4.2.5 网络边界访问控制信息的完整性3.4.2.5.1 评测对象及指标要

26、求n 测评对象信息系统与网络边界外建立的网络通信信道，以及提供网络边界访问控制功能的设备或组件、密码产品。n 测评指标采用密码技术保证网络边界访问控制信息的完整性。3.4.2.5.2 建设建议建议部署具有访问控制功能的设备实体（如加密防火墙等），采用国密SM2数字签名技术或国密SM3-HMAC实现对网络边界和系统资源访问控制信息（如设备配置信息、安全策略、访问控制列表等）进行完整性保护，防止被非法篡改。加密防火墙设备须具备商密产品认证证书。3.4.2.5.3 评估标准针对单个测评对象：若部署具有访问控制功能的设备实体（如加密防火墙等），并采用国密算法实现对网络边界和系统资源访问控制信息（如设备

27、配置信息、安全策略、访问控制列表等）进行完整性保护。则判断结果为符合。若部署具有访问控制功能的设备实体（如加密防火墙等），并采用密码技术实现对网络边界和系统资源访问控制信息（如设备配置信息、安全策略、访问控制列表等）进行完整性保护。但使用的密码技术不符合国密标准或采用的访问控制设备未获得商密产品认证证书，则判断结果为部分符合。若未使用密码技术的完整性功能来保证网络边界和系统资源访问控制信息的完整性。则判断结果为不符合。针对本测评单元，对该单元涉及的所有测评对象的判定结果进行汇总，如果判定结果均为符合，则本单元的测评结果为符合；如果判定结果均为不符合，则本单元的测评结果为不符合；否则，本单元的测

28、评结果为部分符合。具体得分见下表：测评指标测评对象结果记录测评对象评分身份鉴别A信息系统使用具有访问控制功能的加密防火墙，并采用国密算法的密码技术实现对网络边界和系统资源访问控制信息（包括：设备配置信息、安全策略、访问控制列表等）进行完整性保护，防止被非法篡改。且加密防火墙设备具备商密产品认证证书。1B信息系统使用具有访问控制功能的防火墙，并采用密码技术实现对网络边界和系统资源访问控制信息（如设备配置信息、安全策略、访问控制列表等）进行完整性保护。但使用的密码技术不符合国密标准或采用的访问控制设备未获得商密产品认证证书。0.5C信息系统使用具有访问控制功能的防火墙，并采用密码技术实现对网络边界

29、和系统资源访问控制信息（如设备配置信息、安全策略、访问控制列表等）进行完整性保护。但使用的密码技术不符合国密标准且采用的访问控制设备未获得商密产品认证证书0.25D信息系统未使用密码技术的完整性功能来保证网络边界和系统资源访问控制信息的完整性。03.4.2.6 安全接入认证3.4.2.6.1 评测对象及指标要求n 测评对象信息系统内部网络，以及提供设备入网接入认证功能的设备或组件、密码产品。n 测评指标采用密码技术对从外部连接到内部网络的设备进行接入认证，确保接入设备身份的真实性。3.4.2.6.2 建设建议部署使用国密算法的IPSecVPN类或SSLVPN类产品实现从外部连接到内部网络的设备

30、进行接入认证，确保接入设备身份的真实性；VPN设备须具有商密产品认证证书。3.4.2.6.3 评估标准针对单个测评对象：若使用国密算法的IPSecVPN类或SSLVPN类产品实现从外部连接到内部网络的设备进行接入认证，确保接入设备身份的真实性；且VPN设备具有商密产品认证证书。则判断结果为符合。若使用IPSecVPN类或SSLVPN类产品实现从外部连接到内部网络的设备进行接入认证，确保接入设备身份的真实性；但VPN类产品未使用国密算法或VPN产品未获得商密产品认证证书，则判断结果为部分符合。若未使用密码技术实现从外部连接到内部网络的设备进行接入认证，确保接入设备身份的真实性；则判断结果为不符合。针对本测评单元，对该单元涉及的所有测评对象的判定结果进行汇总，如果判定结果均为符合，则本单元的测评结果为符合；如果判定结果均为不符合，则本单元的测评结果为不符合；否则，本单元的测评结果为部分符合。具体得分见下表：测评指标测评对象结果记录测评对象评分身份鉴别A信息系统使用国密算法的IPSecVPN类或SSLVPN类产品实现从外部连接到内部网络的设备进行接入认证，确保接入设备身份的真实性；且VPN设备具有商密产品认证证书。1B信息系统使用IPSecVPN类或SSLVPN类产品实现从外部连接到内部网络的设备进行接入认证，确