《政務(wù)“一朵云”安全管理體系規(guī)范 第3部分：密碼應(yīng)用安全性評估（征求意見稿）》

備案號：江DB32（征求意見稿）江蘇省市場監(jiān)督管理局發(fā)布IDB32/TXXXX—XXXX 2規(guī)范性引用文件 3術(shù)語和定義 4評估框架 25評估指南 25.1規(guī)劃階段 25.2建設(shè)階段 45.3運(yùn)行階段 5.3.1方案評估 5.3.2系統(tǒng)評估 6評估結(jié)果 6.1結(jié)果應(yīng)用 6.2結(jié)果備案 7 8 9DB32/TXXXX—XXXX本文件依據(jù)GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》編寫。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由江蘇省數(shù)字政府標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。本文件起草單位：江蘇省大數(shù)據(jù)管理中心。本文件主要起草人：吳中東、忻超、黃敏、劉堯、楊揚(yáng)、王文娟、劉鑫、蔡一凡、谷和DB32/TXXXX—XXXX為加強(qiáng)統(tǒng)籌規(guī)劃，全面提升全省政務(wù)云服務(wù)能力和安全運(yùn)行水平，促進(jìn)政務(wù)信息基礎(chǔ)設(shè)施建設(shè)可持續(xù)發(fā)展，根據(jù)《省政府關(guān)于加快統(tǒng)籌推進(jìn)數(shù)字政府高質(zhì)量建設(shè)的實施意見》（蘇政發(fā)〔2022〕44號）《江蘇省政務(wù)“一朵云”建設(shè)總體方案》（蘇政發(fā)〔2023〕36號）的要求，建立健全全省政務(wù)“一朵云”安全保障體系，提升安全防護(hù)能力，制定本標(biāo)準(zhǔn)。本文件基于全省政務(wù)“一朵云”安全架構(gòu)，建立健全安全管理體系、主動防護(hù)能力、安全合規(guī)評估和安全運(yùn)維保障四位一體的立體縱深安全防護(hù)體系，達(dá)到管理可執(zhí)行、技術(shù)可落地、合規(guī)可監(jiān)管、安全可運(yùn)維。擬由3個部分組成：——第1部分：安全運(yùn)行監(jiān)測?！?部分：密碼應(yīng)用技術(shù)要求?！?部分：密碼應(yīng)用安全性評估。1DB32/TXXXX—XXXX政務(wù)“一朵云”安全管理體系規(guī)范第3部分：密碼應(yīng)用安全性評估本文件給出了政務(wù)云密碼應(yīng)用安全性評估框架，以及評估相關(guān)的階段、類型、對象、依據(jù)、流程、內(nèi)容、輸出成果和參與主體。本文件適用于指導(dǎo)政務(wù)云運(yùn)行管理機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估工作，也可以作為政務(wù)云使用單位開展信息系統(tǒng)密碼應(yīng)用建設(shè)的參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南GB/T37092-2018信息安全技術(shù)密碼模塊安全要求GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T43206-2023信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用測評要求GB/T43207-2023信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計指南GM/T0116-2021信息系統(tǒng)密碼應(yīng)用測評過程指南3術(shù)語和定義GB/T25069-2022和GM/Z0001-2013界定的以及下列術(shù)語和定義適用于本文件。政務(wù)云governmentcloud運(yùn)用云計算技術(shù)，統(tǒng)籌利用機(jī)房、計算、存儲、網(wǎng)絡(luò)、安全、應(yīng)用支撐等軟硬件設(shè)備，發(fā)揮云計算虛擬化、高可靠性、高通用性、高可擴(kuò)展性及快速、按需、彈性服務(wù)等特征，為政府領(lǐng)域信息系統(tǒng)提供基礎(chǔ)設(shè)施、支撐軟件、運(yùn)行保障和信息安全等綜合服務(wù)平臺。3.2云服務(wù)客戶cloudtenant使用政務(wù)云的各級政務(wù)部門（指各級黨委、人大、政府、政協(xié)、法院和檢察院等政務(wù)部門），即使用云計算基礎(chǔ)設(shè)施開展電子政務(wù)業(yè)務(wù)和處理、存儲數(shù)據(jù)的組織（或機(jī)構(gòu)）及相關(guān)事業(yè)單位。包括單位內(nèi)部業(yè)務(wù)使用人員及對云相關(guān)云資源和安全的管理人員。[來源:GB/T38673-2020，3.4，有修改]3.3商用密碼commercialcryptography采用特定變換的方法對不屬于國家秘密的信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)。3.42DB32/TXXXX—XXXX商用密碼應(yīng)用安全性評估securityassessmentofcommercialcryptographyapplication按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，對網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進(jìn)行檢測分析和評估驗證的活動。3.5密碼應(yīng)用方案cryptographyapplicationscheme用于指導(dǎo)信息系統(tǒng)責(zé)任主體合規(guī)、正確、有效地使用密碼技術(shù)，部署密碼保障系統(tǒng)的規(guī)劃。[來源:GB/T43207-2023，3.1]3.6密碼資源池cryptographyresourcepool一組密碼物理資源或虛擬密碼資源的集合，能夠?qū)γ艽a資源進(jìn)行實時監(jiān)控、合理分配和負(fù)載均衡，具有可擴(kuò)展性、高性能、低風(fēng)險等特點（密碼資源包括密碼運(yùn)算部件、密鑰存儲部件和隨機(jī)數(shù)發(fā)生器等）。[來源:GM∕T0094-2020，3.9]4評估框架政務(wù)云密碼應(yīng)用安全性評估（簡稱密評）對象按照保護(hù)主體一般包括物理環(huán)境設(shè)施、網(wǎng)絡(luò)通信設(shè)施、政務(wù)云資源設(shè)施、密碼基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全設(shè)施以及云服務(wù)客戶/政務(wù)信息系統(tǒng)。政務(wù)云密評應(yīng)在規(guī)劃階段、建設(shè)階段、運(yùn)行階段開展，評估工作包括商用密碼應(yīng)用方案評估（簡稱方案評估）和信息系統(tǒng)商用密碼應(yīng)用安全性評估（簡稱系統(tǒng)評估）。政務(wù)云可作為一個獨立主體開展網(wǎng)絡(luò)安全等級保護(hù)定級，也可按照保護(hù)主體分別開展網(wǎng)絡(luò)安全等級保護(hù)定級，并按照定級結(jié)果開展密評。評估框架圖如圖1所示。圖1評估框架圖5評估指南5.1規(guī)劃階段3DB32/TXXXX—XXXX本階段由政務(wù)云建設(shè)方會同設(shè)計單位編制《政務(wù)云密碼應(yīng)用方案》，并委托由國家密碼管理局授權(quán)的密評機(jī)構(gòu)開展方案評估，具體如下：a)評估對象《政務(wù)云密碼應(yīng)用方案》b)評估依據(jù)lGB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》lGB/T43207-2023《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計指南》l《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》l《商用密碼應(yīng)用安全性評估量化評估規(guī)則》l《商用密碼安全性評估FAQ》l密碼算法/技術(shù)/產(chǎn)品等相關(guān)標(biāo)準(zhǔn)規(guī)范l《政務(wù)云密碼應(yīng)用方案》商用密碼應(yīng)用安全性評估報告（模板）l信息系統(tǒng)業(yè)務(wù)設(shè)計、安全需求文檔l網(wǎng)絡(luò)安全等級保護(hù)測評報告（如有）等c)評估流程方案評估流程包括方案評估準(zhǔn)備、評估委托、簽訂評估協(xié)議、開展方案評估、評估結(jié)果反饋、方案整改（如有）、形成《<政務(wù)云密碼應(yīng)用方案>商用密碼應(yīng)用安全性評估報告》。具體流程如下：圖2方案評估流程d)評估內(nèi)容通過形式審查和技術(shù)審查等方式對《政務(wù)云密碼應(yīng)用方案》開展評估，具體評估內(nèi)容如下：l形式審查1)要素完整性：是否涵蓋GB/T43207附錄A的全部核心要素；2)內(nèi)容一致性：描述的網(wǎng)絡(luò)情況、服務(wù)對象、訪問方式等與網(wǎng)絡(luò)拓?fù)鋱D是否一致，密碼應(yīng)用需求與密碼應(yīng)用設(shè)計是否相匹配等。l技術(shù)審查1)密碼應(yīng)用需求的全面性、合理性和針對性；2)選取適用指標(biāo)的準(zhǔn)確性；4DB32/TXXXX—XXXX3)不適用指標(biāo)論證的充分性；4)安全控制措施（密碼應(yīng)用措施和/或風(fēng)險替代措施）是否合理、有效（不存在高風(fēng)險5)密碼應(yīng)用流程和機(jī)制是否具備可實施性；6)密碼保護(hù)措施是否達(dá)到相應(yīng)的商用密碼應(yīng)用要求、相關(guān)描述是否詳盡；7)密碼技術(shù)/產(chǎn)品/服務(wù)選用是否合規(guī)，密鑰管理是否安全；8)初步量化評估分?jǐn)?shù)能否達(dá)到閾值等。本階段面向政務(wù)云的方案設(shè)計，建設(shè)方應(yīng)依據(jù)保護(hù)主體應(yīng)用需求設(shè)計密碼應(yīng)用框架，參照GB/T43207附錄A，重點關(guān)注相應(yīng)的密碼應(yīng)用措施（如保護(hù)對象、措施涉及的密碼算法、技術(shù)、產(chǎn)品、服務(wù)的選用及相關(guān)密鑰管理等）和替代性風(fēng)險控制措施（如替代原因、具體措施風(fēng)險評估論證結(jié)果等）。其中，密碼應(yīng)用措施的主要技術(shù)要求解決方法參見附錄A，密鑰管理要求參見附錄B。e)參與主體建設(shè)方、密評機(jī)構(gòu)f)輸出成果《<政務(wù)云密碼應(yīng)用方案>商用密碼應(yīng)用安全性評估報告》g)評估結(jié)論方案評估結(jié)論包括通過和不通過。當(dāng)評估對象論證的所有指標(biāo)安全控制措施評估結(jié)果均為通過，且初步量化評估分?jǐn)?shù)能夠達(dá)到閾值要求，則方案評估結(jié)論為通過；否則，不通過。5.2建設(shè)階段本階段依據(jù)《政務(wù)云密碼應(yīng)用方案》及《<政務(wù)云密碼應(yīng)用方案>商用密碼應(yīng)用安全性評估報告》開展商用密碼應(yīng)用保障系統(tǒng)建設(shè)，落實密碼應(yīng)用方案中設(shè)計的密碼技術(shù)和管理要求。政務(wù)云或其保護(hù)主體完成建設(shè)并于正式投入運(yùn)行前，應(yīng)委托由國家密碼管理局授權(quán)的密評機(jī)構(gòu)依據(jù)相關(guān)標(biāo)準(zhǔn)規(guī)范開展系統(tǒng)評估工作。具體如下：a)評估對象政務(wù)云或其保護(hù)主體及其所采用/依賴的：1）密碼產(chǎn)品、密碼服務(wù)、密碼算法及密鑰管理實現(xiàn)；2）物理和環(huán)境：機(jī)房等重要區(qū)域及其電子門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)；3）網(wǎng)絡(luò)和通信：網(wǎng)絡(luò)通信信道以及提供通信保護(hù)功能的設(shè)備或組件、密碼產(chǎn)品、網(wǎng)絡(luò)邊界訪問控制功能、設(shè)備入網(wǎng)接入認(rèn)證功能的設(shè)備或組件、密碼產(chǎn)品；4）設(shè)備和計算：通用設(shè)備（及其操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)）、網(wǎng)絡(luò)及安全設(shè)備、密碼設(shè)備、各類虛擬設(shè)備，以及提供完整性保護(hù)功能、來源真實性功能的密碼產(chǎn)品；5）應(yīng)用和數(shù)據(jù)：政務(wù)云以及提供身份鑒別功能、機(jī)密性保護(hù)功能、完整性保護(hù)功能、不可否認(rèn)性功能的密碼產(chǎn)品；6）安全管理：政務(wù)云相關(guān)商用密碼應(yīng)用安全管理制度、《政務(wù)云密碼應(yīng)用方案》、《<政務(wù)云密碼應(yīng)用方案>商用密碼應(yīng)用安全性評估報告》、實施方案、操作規(guī)程類文檔、記錄表單類文檔、系統(tǒng)相關(guān)人員、攻防演習(xí)報告、整改記錄（如有）、應(yīng)急處置記錄類文檔、安全事件發(fā)生情況及處置情況報告等。b)評估依據(jù)lGB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》lGB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》lGB/T43206-2023《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用測評要求》lGM/T0116-2021《信息系統(tǒng)密碼應(yīng)用測評過程指南》l《信息系統(tǒng)密碼應(yīng)用方案》l《<信息系統(tǒng)密碼應(yīng)用方案>商用密碼應(yīng)用安全性評估報告》5DB32/TXXXX—XXXXl《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》l《商用密碼應(yīng)用安全性評估量化評估規(guī)則》l密碼算法/技術(shù)/產(chǎn)品等相關(guān)標(biāo)準(zhǔn)規(guī)范l網(wǎng)絡(luò)安全等級保護(hù)測評報告（如有）等當(dāng)政務(wù)云或其保護(hù)主體已按GB/T22240開展等級保護(hù)定級時，應(yīng)采用GB/T39786對應(yīng)等級密碼要求開展系統(tǒng)評估。即等級保護(hù)第一、二、三級的保護(hù)主體，按照GB/T39786中第一、二、三級密碼要求開展評估。等級保護(hù)第四、五級的保護(hù)主體，按照GB/T39786中第四級密碼要求開展評估。當(dāng)政務(wù)云或其保護(hù)主體未開展等級保護(hù)定級時，應(yīng)至少按照GB/T39786中第三級密碼要求開展系統(tǒng)評估。c)評估流程系統(tǒng)評估流程包括系統(tǒng)評估準(zhǔn)備、評估委托、簽訂評估協(xié)議、評估實施準(zhǔn)備、開展現(xiàn)場評估、系統(tǒng)整改（如有）、形成《政務(wù)云商用密碼應(yīng)用安全性評估報告》等。具體流程如下：圖3系統(tǒng)評估流程d)評估步驟政務(wù)云或其保護(hù)主體商用密碼應(yīng)用的合規(guī)性、正確性、有效性。具體步驟如下：1)對照通過評估的密碼應(yīng)用方案，了解政務(wù)云或其保護(hù)主體基本情況，準(zhǔn)確劃定評估范圍。若密碼應(yīng)用方案在本階段仍未通過方案評估，應(yīng)按照規(guī)劃階段方案評估要求先行完成方案評估；2)確定評估指標(biāo)及評估對象，論證編制商用密碼應(yīng)用安全性評估測評方案；3)依據(jù)測評方案，開展現(xiàn)場評估，做好數(shù)據(jù)采集和信息匯總，研判商用密碼保障系統(tǒng)配置及運(yùn)行情況；4)根據(jù)客觀憑據(jù)逐項對評估指標(biāo)進(jìn)行判定，編制形成《政務(wù)云商用密碼應(yīng)用安全性評估報e)參與主體密評機(jī)構(gòu)、建設(shè)方f)輸出成果《政務(wù)云商用密碼應(yīng)用安全性評估報告》g)評估結(jié)論DB32/TXXXX—XXXX系統(tǒng)評估結(jié)論包括符合、基本符合和不符合。具體評估結(jié)論參考《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》和《商用密碼應(yīng)用安全性評估量化評估規(guī)則》。5.3運(yùn)行階段5.3.1方案評估政務(wù)云或其保護(hù)主體投入運(yùn)行后，存在改建或擴(kuò)建情況，且其功能或業(yè)務(wù)范圍與GB/T39786對應(yīng)的評估要求超出原《政務(wù)云密碼應(yīng)用方案》時，建設(shè)方應(yīng)對原《政務(wù)云密碼應(yīng)用方案》進(jìn)行修訂，并對修改后的《政務(wù)云密碼應(yīng)用方案》重新開展方案評估。評估過程應(yīng)符合5.1相關(guān)要求。5.3.2系統(tǒng)評估政務(wù)云或其保護(hù)主體投入運(yùn)行后，建設(shè)方應(yīng)每年至少組織開展一次系統(tǒng)評估。在開展系統(tǒng)評估時，當(dāng)存在《政務(wù)云密碼應(yīng)用方案》修訂情況的，應(yīng)提供通過評估的《<政務(wù)云密碼應(yīng)用方案>商用密碼應(yīng)用安全性評估報告》。評估過程應(yīng)符合5.2相關(guān)要求。6評估結(jié)果6.1結(jié)果應(yīng)用政務(wù)云或其保護(hù)主體密評結(jié)果影響其支撐的政務(wù)信息系統(tǒng)密評結(jié)果，具體表現(xiàn)為：a)當(dāng)政務(wù)云作為一個獨立主體開展等級保護(hù)定級，政務(wù)云密評結(jié)論為符合或基本符合時，其支撐的政務(wù)信息系統(tǒng)密評結(jié)論才可能為符合或基本符合。政務(wù)信息系統(tǒng)密評應(yīng)結(jié)合以下情形綜合考慮對政務(wù)云密評結(jié)果的復(fù)用：1)如果政務(wù)信息系統(tǒng)等級保護(hù)級別高于政務(wù)云等級保護(hù)級別，則政務(wù)云支撐業(yè)務(wù)應(yīng)用的相關(guān)密碼服務(wù)無法直接復(fù)用，應(yīng)對其按照業(yè)務(wù)應(yīng)用等級保護(hù)級別重新進(jìn)行密評；2)如果政務(wù)信息系統(tǒng)等級保護(hù)級別不高于政務(wù)云等級保護(hù)級別，且政務(wù)云密評結(jié)論為符合或基本符合，則政務(wù)信息系統(tǒng)密評可復(fù)用政務(wù)云等密評結(jié)果。b)當(dāng)政務(wù)云保護(hù)主體單獨開展等級保護(hù)定級時，應(yīng)綜合分析各保護(hù)主體密碼應(yīng)用和密評結(jié)果，將分析結(jié)果綜合復(fù)用于政務(wù)信息系統(tǒng)密評，或直接分析政務(wù)信息系統(tǒng)關(guān)聯(lián)的政務(wù)云保護(hù)主體，開展密評。6.2結(jié)果備案政務(wù)云密評結(jié)果備案由政務(wù)云建設(shè)方實施，具體按照密碼管理部門備案要求執(zhí)行。DB32/TXXXX—XXXX（資料性）主要技術(shù)要求解決方法表A.1給出了主要技術(shù)要求評估整改方法。表A.1主要技術(shù)要求解決方法1使用密碼技術(shù)的加解密功能實現(xiàn)機(jī)密2電子門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)進(jìn)出使用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)實現(xiàn)3使用動態(tài)口令機(jī)制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)4求在可能涉及法律責(zé)任認(rèn)定的業(yè)務(wù)應(yīng)用中，信息交換主體否認(rèn)其數(shù)據(jù)原使用基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)來保證數(shù)據(jù)原發(fā)行為的不可否認(rèn)性和數(shù)據(jù)接收行為的不可否5采用的密碼產(chǎn)品未經(jīng)國家密碼管理部門核準(zhǔn)或密碼產(chǎn)品安全等級不符選用具備商用密碼產(chǎn)品認(rèn)證證書的密6采用的第三方電子認(rèn)證服務(wù)或電子政務(wù)電子認(rèn)證服務(wù)未經(jīng)國家密碼管選用電子認(rèn)證服務(wù)使用密碼許可單位名錄、電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)目DB32/TXXXX—XXXX（規(guī)范性）密鑰管理要求表B.1給出了密鑰管理要求策略。表B.1密鑰管理要求1密鑰可以以隨機(jī)產(chǎn)生、協(xié)商產(chǎn)生等不同的方式來產(chǎn)生。密鑰在符合GB/T37092的密碼產(chǎn)品中產(chǎn)生是十分必要的，產(chǎn)生的同時可在密碼產(chǎn)品中記錄密鑰關(guān)聯(lián)信2密鑰分發(fā)是密鑰從一個密碼產(chǎn)品傳遞到另一個密截取、篡改、假冒等攻擊，保證密鑰的機(jī)密性、完3密鑰不以明文方式存儲在密碼產(chǎn)品外部是十分必4每個密鑰一般只有單一的用途，明確用途并按用途使用環(huán)節(jié)需要注意的安全問題是：使用密鑰前獲行有效性驗證、采用安全措施防止密鑰的泄露和5密鑰更新發(fā)生在密鑰超過使用期限、已泄露或存6如果信息系統(tǒng)中有密鑰歸檔需求，則根據(jù)實證歸檔密鑰的安全性和正確性。需要注意的是，歸密的歷史信息或驗證該密鑰簽名的歷史信息。如果7密鑰撤銷一般針對