《商用密碼應(yīng)用安全性評估測評實施指引》

商用密碼應(yīng)用安全性評估測評實施指引中國密碼學(xué)會密評聯(lián)委會I 2 2 2 3 4 4 6 6 6 7 9 前言理信息中心、天津云安科技發(fā)展有限公司、安徽科測信息技術(shù)有有關(guān)問題和建議，可發(fā)送郵箱至mplwh@cacrnet.1本文件中的評估方為實施密評的機構(gòu)或單位，重要網(wǎng)絡(luò)與信息系統(tǒng)運營者自行評估的情況，評估方為運營者自身；重要網(wǎng)絡(luò)與信息系統(tǒng)運營者委托密評機構(gòu)開展密評時，評估方為商用密碼檢測機構(gòu)（商1商用密碼應(yīng)用安全性評估測評實施指引本文件主要依據(jù)GB/T43206—2023《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用測評要求》和應(yīng)用情況來制定相應(yīng)的商用密碼應(yīng)用安全性評估作業(yè)指導(dǎo)推薦測評方式recommendedtestingandevaluationm24縮略語AH：認證頭（AuthenticationHeader）APDU：應(yīng)用協(xié)議數(shù)據(jù)單元（ApplicationProtocolDataUnit）API：應(yīng)用程序編程接口（ApplicationProgramCRL：證書撤銷列表（CertificateRevocatiECC：橢圓曲線密碼學(xué)（EllipticCurveCryptogHMAC：帶密鑰的雜湊算法（Keyed-hashMessageAutheIDC：互聯(lián)網(wǎng)數(shù)據(jù)中心（InternetDataCentISAKMP：互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議（InternetSecurityAssociationandKeyMAC：消息鑒別碼（MessageAuthNVR：網(wǎng)絡(luò)視頻錄像機（NetworkVideoRecorder）OCSP：在線證書狀態(tài)查詢協(xié)議（OnlineCertificPCI-E：外設(shè)部件互聯(lián)總線（PeripheralComponentInterPIN：個人識別碼（PersonalIdentificationNumbeVPN：虛擬專用網(wǎng)（VirtualPr5.1測評實施原則32)若密碼技術(shù)由非合規(guī)產(chǎn)品實現(xiàn)2，檢查重點在于密碼實現(xiàn)（如開源密碼庫）是5.2測評方式根據(jù)測評實施時獲取證據(jù)的來源或方法不同，測評方式可分為三類，見表5-1。在實際表5-1測評方式匯總表1訪談、文檔審查、實地于通過訪談相應(yīng)崗位人員、審查技術(shù)或管理類文檔和證明文件、查看測評對象所處環(huán)境和外觀等，了解信息系統(tǒng)密碼實施難度較小，但并非從實際業(yè)務(wù)中獲取證據(jù)，取得的證據(jù)可2工具測試、配置檢查、代碼審查、對具體的實物或代碼等，采用適合的方法或工具，獲取業(yè)務(wù)實際流轉(zhuǎn)過程中特息不匹配的智能密碼鑰匙對登錄應(yīng)實施難度適中，從實際業(yè)務(wù)中直接或間接獲取證據(jù)，取得的證3跟蹤測試、基于密碼機制的主動分主，重點在于對實際業(yè)務(wù)中的安全機制分析，獲取用于證實密碼使用有效性的跟蹤測試：對密碼保護過程進行完實施難度較大，從實際業(yè)務(wù)中直接獲取證據(jù)，取得的證據(jù)可靠性較高。通常是對第二類測評方式所獲證4且需注意核實被測方所提供的靜態(tài)代碼與業(yè)務(wù)系統(tǒng)實際運行代碼的一致性，例如版本信5.3測評實施規(guī)則a)對于密碼應(yīng)用技術(shù)測評的實施過程，應(yīng)優(yōu)先采用推薦測評方式（），合通用測評實施指引（見第7章）中對應(yīng)的測評實施過程，獲取對某個測評指標或是推薦測評方式，見第9章獲取對某個測評指標進行結(jié)果判定所需的證據(jù)。注：第8章中推薦測評方式的設(shè)定，和指標及其關(guān)聯(lián)資產(chǎn)5執(zhí)行技術(shù)測評和管理測評的測評實施內(nèi)容并獲取所需證據(jù)，具碼應(yīng)用技術(shù)和管理測評的證據(jù)（附錄C給出了技術(shù)測評部分的證據(jù)示密碼產(chǎn)品/實現(xiàn)的訪問日志（是否處理了這次流量）、配置信息（例如據(jù)包等；后者的旁路檢查重點為密碼產(chǎn)品/實現(xiàn)的調(diào)用②在測評過程中，對密評人員操作行為進行記錄，以體現(xiàn)測評實施過圖6-1方案編制和現(xiàn)場測評實施流程6全（K）三個測評實施維度，給出不同測評方式下“DAK”的典型測評實施方法，為第8章三類測評方式，共同完成這一方面的測評實施工作。表7-1測評實施維度與測評方式類別對應(yīng)關(guān)系√√√√√√√//表7-2傳輸機密性測評實施操作說明例如，使用何種密碼產(chǎn)品/密碼實現(xiàn)，對哪些保護對象，采用何種密碼算法/技術(shù)以及7據(jù)在傳輸時是否為密文形式3、數(shù)據(jù)格式（如分組長度）是否與預(yù)期的密碼技術(shù)相符2）采用配置檢查方式，如查看信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式3）采用代碼審查方式，定位信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式實4）結(jié)合附錄A中對應(yīng)的密碼產(chǎn)品應(yīng)用測評方法進行實施。表7-3存儲機密性測評實施操作說明安全需求的重要數(shù)據(jù)的存儲機密性保護機制及其實現(xiàn)方式（如密碼產(chǎn)品、開源密碼1）通過讀取存儲的重要數(shù)據(jù)，分析需要加密保護的數(shù)據(jù)在存儲時是否為密文形式、2）采用配置檢查方式，如查看信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式3）采用代碼審查方式，定位信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式實法、分組密碼算法的工作模式、保護對象等是否符4）結(jié)合附錄A中對應(yīng)的密碼產(chǎn)品應(yīng)用測評方法進行實施。8表7-4傳輸完整性測評實施操作說明例如，使用何種密碼產(chǎn)品/密碼實現(xiàn)，對哪些保護對象，采用何種密碼算法/技術(shù)以及3）采用配置檢查方式，如查看信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式4）采用代碼審查方式，定位信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式實5）結(jié)合附錄A中對應(yīng)的密碼產(chǎn)品應(yīng)用測評2)網(wǎng)絡(luò)和通信安全：網(wǎng)絡(luò)邊界訪問控制信9表7-5存儲完整性測評實施操作說明使用何種密碼產(chǎn)品/密碼實現(xiàn)，對哪些保護對象，采用何種密碼算法/技術(shù)以及密碼機1）通過讀取存儲的重要數(shù)據(jù)，分析需要完整性保護的數(shù)據(jù)在存儲時的數(shù)據(jù)格式（如3）采用配置檢查方式，如查看信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式4）采用代碼審查方式，定位信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式實5）結(jié)合附錄A中對應(yīng)的密碼產(chǎn)品應(yīng)用測評1）采用跟蹤測試方式，確認存儲完整性功能的調(diào)用和校驗機制（如對完整性保護功），態(tài)令牌系統(tǒng)（含動態(tài)令牌和動態(tài)令牌認證系表7-6真實性測評實施操作說明制等。例如，使用何種密碼產(chǎn)品/密碼實現(xiàn)，對哪些實體對象，采用何種密碼算法/技術(shù)以及密碼機制對其提供真實性功能，密鑰管理措施如2）采用配置檢查方式，查看提供實體鑒別功能的密碼產(chǎn)品等配置的數(shù)字證書或用于3）采用配置檢查方式，如查看信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式4）采用代碼審查方式，定位信息系統(tǒng)調(diào)用密碼產(chǎn)品實現(xiàn)實體鑒別功能的代碼片段和5）結(jié)合附錄A中對應(yīng)的密碼產(chǎn)品應(yīng)用測評1）采用跟蹤測試方式，確認實體鑒別功能調(diào)用和驗證機制（如對實體鑒別功能使用別是“挑戰(zhàn)-響應(yīng)”方式的鑒別協(xié)議，需驗證挑戰(zhàn)值是否隨機且從驗證端表7-7不可否認性測評實施操作說明使用何種密碼產(chǎn)品/密碼實現(xiàn)，對哪些關(guān)鍵操作或文件等，采用何種密碼算法/技術(shù)以2）采用配置檢查方式，導(dǎo)出對關(guān)鍵操作或文件等進行數(shù)字簽名所對應(yīng)的數(shù)字證書，3）采用配置檢查方式，如查看信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式4）采用代碼審查方式，定位信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式實收行為主體或其委托的可信第三方產(chǎn)生且生成時間（如時間戳表示）在簽名證書有效期內(nèi)，同時表7-8密碼算法合規(guī)性測評實施操作說明1）采用配置檢查方式，登錄密碼產(chǎn)品查看實際配置用于信息系統(tǒng)保護的密碼算法及3）采用代碼審查方式，定位信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式相/1.由密碼算法合規(guī)性、密碼算法安全強度②在特定行業(yè)或場景，可能涉及行業(yè)標準或證明文件中準許使用的專有密碼算法，則需關(guān)注實際使用專用算法的行業(yè)或場景與相關(guān)規(guī)定的據(jù)中需明確標注出與密碼算法安全強度相關(guān)的表7-9密碼技術(shù)合規(guī)性測評實施操作說明2）采用配置檢查方式，登錄密碼產(chǎn)品查看實際配置用于信息系統(tǒng)保護的密碼技術(shù)。3）采用代碼審查方式，定位信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式相應(yīng)密碼功能的代碼片段和接口函數(shù)，確認使用的密碼/表7-10密碼產(chǎn)品合規(guī)性測評實施操作說明1）確認密碼產(chǎn)品是否具有商用密碼產(chǎn)品認證證書或密碼檢測證書；若為認證證書，需進一步查看其商用密碼產(chǎn)品型號證書以確認安全等1）對密碼產(chǎn)品實際使用時的安全運行條件進行檢查，例如對登錄人員的身份鑒別方2）采用代碼審查方式并結(jié)合認證證書或密碼檢測證書對應(yīng)的檢測報告，審查信息系/由密碼產(chǎn)品合規(guī)性、實際部署/使用和檢測認證時的一致性（2）在實際使用時，密碼產(chǎn)品提供的密碼功能信息與認證證書或密碼檢測證書及其表7-11密碼服務(wù)合規(guī)性測評實施操作說明認證機構(gòu)認證合格或具有國家密碼管理部門同意使用的證1）采用配置檢查或工具測試方式，確認信息系統(tǒng)所使用的密碼服務(wù)提供的數(shù)字證書2）采用工具測試方式，使用數(shù)字證書校驗工具，對業(yè)務(wù)流程中獲取到的數(shù)字證書格/電子認證服務(wù)又或電子認證服務(wù)提供商列入國家密碼GB/T39786-2021附錄B中描述的密鑰生存周期管理各環(huán)節(jié)所使用的密碼產(chǎn)品、密碼服表7-12密鑰管理安全性測評實施操作說明1）根據(jù)已通過評估的密碼應(yīng)用方案、密鑰管理制度及策略類文檔等，了解系統(tǒng)密鑰可參考GB/T43206-2023附錄A進行初步檢P方式實現(xiàn)）進行驗證等?？蓞⒖糋B/T括但不限于如下內(nèi)容：2）采用配置檢查方式，如登錄到密碼產(chǎn)品上，或是查看開源密碼庫調(diào)用密鑰文件的3）采用代碼審查方式，定位信息系統(tǒng)調(diào)用密碼產(chǎn)品、開源密碼庫等密碼實現(xiàn)形式實/于：實際使用的密鑰種類、用途，及其生存周期管理措施按照GB/T43206-2023附錄A的檢查情況等，重點關(guān)注密鑰不在合規(guī)密碼產(chǎn)品邊界內(nèi)進行管理的各個環(huán)節(jié)；若開IDC機房、云服務(wù)提供商機房，以及其他和信息系統(tǒng)相關(guān)的重要區(qū)域8.1.3可能涉及到的訪談人員、文檔和測表8-1物理和環(huán)境安全層面測評實施指引DAK第二類：配置檢密碼產(chǎn)品中，發(fā)卡過程對門禁卡中身份鑒別與讀卡器之間鑒別過程的報文（包括鑒別協(xié)門禁卡試錯測試結(jié)果，例如使用其他權(quán)限門+機房訪問登記記錄+視頻監(jiān)控系統(tǒng)進行實時監(jiān)控等檢查電子門禁記第二類：配置檢門禁/視頻監(jiān)控記錄及其簽名值或MAC值錄數(shù)據(jù)存儲DAK機制的主動分析（條件允許情況視頻監(jiān)控記錄數(shù)據(jù)存儲第二類：配置檢機制的主動分析（條件允許情況①如果信息系統(tǒng)所在物理機房采用多區(qū)域部署或信息系統(tǒng)重要資產(chǎn)分布在不同的物理機房中時，那么該信息系員訪問情形，那么可在多層門禁系統(tǒng)中選擇密碼應(yīng)用最為合規(guī)、正③可能涉及電子門禁系統(tǒng)、智能IC卡、PCI-E密碼卡等密碼產(chǎn)品應(yīng)用測評，詳與被測系統(tǒng)SSLVPN網(wǎng)關(guān)之間的通信信道、移動終端APP客戶端與AP8.2.3可能涉及到的訪談人員、文檔和測表8-2網(wǎng)絡(luò)和通信安全層面測評實施指引DAK第二類：工具測試（如協(xié)議分析工具、數(shù)字證書 通信數(shù)據(jù)完第二類：工具測試（如協(xié)議分析算法、完整性校驗算法以及報文封裝方式密算法、完整性校驗算法等配置信息。()通信過程中重要數(shù)據(jù)的第二類：工具測試（協(xié)議分析工網(wǎng)絡(luò)邊界訪問控制信息第二類：配置檢具測試（如算法網(wǎng)絡(luò)邊界訪問控制信息及其簽名值或MACDAK注：訪問控制信息若存儲于整機類密碼產(chǎn)品中，在無法直安全接入認證略略①測評對象可按通信主體和網(wǎng)絡(luò)類型兩個方面確定，網(wǎng)絡(luò)類型主要依據(jù)網(wǎng)絡(luò)之間是否相對獨立進行分類，如互聯(lián)網(wǎng)、政務(wù)外網(wǎng)、單位專網(wǎng)等；通信主體指參與通信的各方，典型的如客戶端與服務(wù)端（如瀏覽器與SSLV③可能涉及IPSecVPN網(wǎng)關(guān)、SSLVPN網(wǎng)關(guān)、安全認證網(wǎng)關(guān)、安全瀏覽器、智能密碼鑰匙、縱向加密8.3.3可能涉及到的訪談人員、文檔和測操作員、密鑰管理員）、密碼產(chǎn)品廠商研發(fā)人4此處“略”是因為目前該指標缺乏表8-3設(shè)備和計算安全層面測評實施指引DAK第二類：工具測試（如協(xié)議分析工具、數(shù)字證書第三類：跟蹤測試、基于密碼機制的主動分析（條件允許情況下，嘗試重放攻在鑒別協(xié)議數(shù)據(jù)報文或密碼產(chǎn)品配置信息或密文值以及身份鑒別機制有效性證據(jù)（如被登錄設(shè)備調(diào)用密碼產(chǎn)品完成驗證操作的交在鑒別協(xié)議數(shù)據(jù)報文或動態(tài)令牌系統(tǒng)配置信遠程管理通第二類：工具測試（如協(xié)議分析工具、數(shù)字證書第三類：跟蹤測試遠程管理運維各類設(shè)備時，傳輸設(shè)備登錄鑒別信SSL服務(wù)端端口開啟情況、網(wǎng)絡(luò)連接地址。SSH傳輸層協(xié)議通信報文中，協(xié)定的密鑰協(xié)DAK系統(tǒng)資源訪問控制信息第二類：配置檢具測試（如算法重要信息資源安全標記略略略日志記錄完第二類：配置檢具測試（如算法重要可執(zhí)行重要可執(zhí)行程序來源真略略略（如生產(chǎn)廠商、型號等）和軟件配置（如操作系統(tǒng)版本②針對整機類密碼產(chǎn)品（如IPSecVPN網(wǎng)關(guān)、SSLVPN網(wǎng)關(guān)、安全認證網(wǎng)關(guān)、金融數(shù)據(jù)密碼機、服務(wù)器密碼機、），③本安全層面訪問控制信息主要包括設(shè)備操作系統(tǒng)的系統(tǒng)權(quán)限訪問控制信息、系統(tǒng)文件目錄的訪問控制信息、數(shù)據(jù)庫中的數(shù)據(jù)訪問控制信息、堡壘機等第三方運維系統(tǒng)中的權(quán)限訪問控制信④可能涉及智能密碼鑰匙、簽名驗簽服務(wù)器、動態(tài)令牌、動態(tài)令牌認證系統(tǒng)等密碼產(chǎn)品應(yīng)用測評，詳見附8.4.3可能涉及到的訪談人員、文檔和測表8-4應(yīng)用和數(shù)據(jù)安全層面測評實施指引DAK第二類：工具測試具、數(shù)字證書校驗工具、算法校驗工基于密碼機制的主動分析（條件允許情況下，嘗試重放攻擊、中間人攻擊在鑒別協(xié)議數(shù)據(jù)報文或密碼產(chǎn)品配置信息或登錄應(yīng)用調(diào)用密碼產(chǎn)品完成驗證操作的交互在鑒別協(xié)議數(shù)據(jù)報文或動態(tài)令牌系統(tǒng)配置信DAK信息完整性第二類：工具測試基于密碼機制的主動分析（條件允許情況下，嘗試篡改 網(wǎng)絡(luò)連接地址以及完整性保護和校驗功能密碼產(chǎn)品中用于訪問控制信息存儲完整性保護的密碼算法及其密鑰、簽名證書等配置信重要信息資源安全標記完整性略略略重要數(shù)據(jù)傳輸機密性第二類：工具測試具、編碼轉(zhuǎn)換工密碼產(chǎn)品中用于重要數(shù)據(jù)傳輸機密性保護的重要數(shù)據(jù)存儲機密性第二類：工具測試具、編碼轉(zhuǎn)換工DAK密碼產(chǎn)品中用于重要數(shù)據(jù)存儲機密性保護的重要數(shù)據(jù)傳輸完整性第二類：工具測試具、數(shù)字證書校驗工具、算法校驗工網(wǎng)絡(luò)連接地址以及完整性保護和校驗功能密碼產(chǎn)品中用于重要數(shù)據(jù)傳輸完整性保護的重要數(shù)據(jù)存儲完整性第二類：工具測試具、數(shù)字證書校驗工具、算法校驗工網(wǎng)絡(luò)連接地址以及完整性保護和校驗功能基于密碼機制的主動分析（條件允許情況下，嘗試篡改密碼產(chǎn)品中用于重要數(shù)據(jù)存儲完整性保護的不可否認性第二類：工具測試具、數(shù)字證書校驗工具、算法校驗工具、電子簽章校驗接地址以及不可否認性保護和校驗功能被DAK密碼產(chǎn)品中用于不可否認性的數(shù)字簽名算法②針對一個應(yīng)用中業(yè)務(wù)類重要數(shù)據(jù)劃分的顆粒度，若數(shù)據(jù)的業(yè)務(wù)類別和安全需求均相同，可作為重要數(shù)據(jù)傳輸③本安全層面訪問控制信息主要包括應(yīng)用系統(tǒng)的權(quán)限、標簽等能夠決定系統(tǒng)應(yīng)用訪問控制的措施等信息，如決定應(yīng)用用戶訪問范圍的含有角色權(quán)限、可訪問資源9管理測評實施指引9.1管理制度9.1.1密碼應(yīng)用安全管理制度測評指標測評對象可能涉及到的訪談人員和審查文檔）；測評實施操作說明1)確認各項安全管理制度是否包括密碼人員2)確認各項安全管理制度作為正式發(fā)布實施9.1.2密鑰管理規(guī)則測評指標測評對象可能涉及到的訪談人員和審查文檔）；測評實施操作說明1)確認是否有通過評估的密碼應(yīng)用方查是否根據(jù)密碼應(yīng)用方案建立了相應(yīng)的密鑰管理規(guī)則（例如，密鑰管理制度及策略類文檔中的密鑰全生存周期的安全性保護相關(guān)內(nèi)容，主要關(guān)注直接用于信息系統(tǒng)保護的密2)確認密鑰管理規(guī)則是否進行評審，是否有評3)結(jié)合本文件7.3.3測評實施過程中實際梳理的密鑰，確認實際密鑰的種類和管理措施是否3)信息系統(tǒng)中實際梳理的密鑰種類和管理措施與密鑰管理9.1.3操作規(guī)程測評指標測評對象可能涉及到的訪談人員和審查文檔）；測評實施操作說明采用訪談和文檔審查方式，確認是否對密碼相關(guān)管理人員或操作人員的日常管理操作建立操作規(guī)1)對密碼相關(guān)管理人員或操作人員的日常管理操作的操9.1.4安全管理制度測評指標測評對象密碼應(yīng)用安全管理制度類文檔、操作規(guī)程類文檔、記錄表單可能涉及到的訪談人員和審查文檔）；測評實施操作說明1)確認是否有定期對密碼應(yīng)用安全管理制度和操作規(guī)程的合理性和適用性進行論證和審2)定期對密碼應(yīng)用安全管理制度和操作規(guī)程進行論證和2)對經(jīng)論證和審定后存在不足或需要改進的密碼應(yīng)用安全管理制度和操作規(guī)程，確認是否3)對存在不足或需要改進的密碼應(yīng)用安全管理制度和操9.1.5管理制度發(fā)布流程測評指標測評對象可能涉及到的訪談人員和審查文檔）；測評實施操作說明1)確認相關(guān)密碼應(yīng)用安全管理制度和操作規(guī)程2)確認已發(fā)布的密碼應(yīng)用安全管理制度和操作1)有關(guān)密碼應(yīng)用安全管理制度和操作規(guī)程的發(fā)布流程和2)關(guān)于密碼應(yīng)用安全管理制度和操作規(guī)程的發(fā)布流程和9.1.6制度執(zhí)行過程記錄測評指標測評對象可能涉及到的訪談人員和審查文檔）；測評實施操作說明采用訪談和文檔審查方式，確認是否具有密碼應(yīng)用操作規(guī)程在執(zhí)行過程中留存的相關(guān)執(zhí)行記錄文9.2人員管理9.2.1密碼相關(guān)法律法規(guī)和密碼管理制度測評指標測評對象可能涉及到的訪談人員和審查文檔測評實施操作說明等）是否了解并遵守密碼相關(guān)法律法規(guī)和密碼應(yīng)密碼應(yīng)用安全管理的相關(guān)人員了解并遵守密碼相關(guān)法律法9.2.2密碼應(yīng)用崗位責(zé)任制度測評指標測評對象密碼應(yīng)用安全管理制度類文檔、系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密鑰管理員、密碼安可能涉及到的訪談人員和審查文檔a)人員：系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密鑰管理員、密碼安全審計員、密碼操作測評實施操作說明采用訪談和文檔審查方式，確認安全管理制度類文檔是否建立了密碼應(yīng)用崗位責(zé)任制度，安全管理制度中是否明確了各崗位在安全系統(tǒng)中的職責(zé)1)確認安全管理制度類文檔是否根據(jù)密碼應(yīng)用的實際情況，設(shè)置密鑰管理員、密碼安全審計員、密碼操作員等關(guān)鍵安全崗位并定義崗2)確認安全管理制度類文檔是否對關(guān)鍵崗位建立多人共管機制，并確認密碼安全審計員崗位人員是否不兼任密鑰管理員、密碼操作員3)相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號是否存在多人共用3)確認系統(tǒng)相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號1)確認安全管理制度類文檔是否根據(jù)密碼應(yīng)用的實際情況，設(shè)置密鑰管理員、密碼安全審計員、密碼操作員等關(guān)鍵安全崗位并定義崗2)確認安全管理制度類文檔是否對關(guān)鍵崗位建立多人共管機制，并確認密碼安全審計員崗位人員是否不兼任密鑰管理員、密碼操作員3)確認相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號是否5)確認密鑰管理員、密碼安全審計員和密碼操作員是否由本機構(gòu)的內(nèi)部員工擔(dān)任，是否具關(guān)鍵安全崗位的，如崗位名稱與實際人員的對應(yīng)名單3)相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號是否存在多人共用有人員錄用時對錄用人身份、背景、專業(yè)資備注：關(guān)鍵崗位建立多人共管機制是指每個崗位至少需要兩人及以上才能完成相應(yīng)操作，以降低關(guān)鍵操作由單9.2.3上崗人員培訓(xùn)制度測評指標測評對象密碼應(yīng)用安全管理制度類文檔和記錄表單類文檔、系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密可能涉及到的訪談人員和審查文檔a)人員：系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密鑰管理員、密碼安全審計員、密碼操作測評實施操作說明1)安全教育和培訓(xùn)計劃文檔中，有關(guān)針對涉及密碼的操作和管理的人員的培訓(xùn)計劃內(nèi)容，如培訓(xùn)目標、人員1)確認安全教育和培訓(xùn)計劃文檔是否具有針對2)安全教育和培訓(xùn)記錄文件中，有關(guān)密碼培訓(xùn)人員（如2)確認安全教育和培訓(xùn)記錄是否有密碼培訓(xùn)人9.2.4安全崗位考核測評指標測評對象密碼應(yīng)用安全管理制度類文檔和記錄表單類文檔、系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密可能涉及到的訪談人員和審查文檔a)人員：系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密鑰管理員、密碼安全審計員、密碼操作測評實施操作說明1)確認安全管理制度文檔是否包含系統(tǒng)相關(guān)人1)安全管理制度文檔中，有關(guān)針對不同崗位和職責(zé)的人員考核制度和懲戒措施的內(nèi)容，如考核標準、考核周2)人員考核記錄內(nèi)容相關(guān)信息，如安全意識、密碼操作3)崗位人員定期考核的記錄表單類文檔，如考核頻次與3)通過記錄表單類文檔確認是否定期進行崗位9.2.5關(guān)鍵崗位人員保密制度測評指標測評對象密碼應(yīng)用安全管理制度類文檔和記錄表單類文檔、系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密可能涉及到的訪談人員和審查文檔a)人員：系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密鑰管理員、密碼安全審計員、密碼操作測評實施操作說明采用訪談和文檔審查方式，了解人員離崗情況，確認人員離崗時是否具有及時終止其所有密碼應(yīng)人員離崗情況，以及終止其所有密碼應(yīng)用相關(guān)的訪問權(quán)1)確認人員離崗的管理文檔是否規(guī)定了關(guān)鍵崗2)確認關(guān)鍵崗位人員是否都簽訂了保密協(xié)議，違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等9.3建設(shè)運行9.3.1密碼應(yīng)用方案測評指標測評對象可能涉及到的訪談人員和審查文檔a)人員：系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密鑰管理員、密碼安全審計員、密碼操作測評實施操作說明1)依據(jù)密碼相關(guān)標準和信息系統(tǒng)密碼應(yīng)用需求制定的9.3.2密鑰安全管理策略測評指標測評對象可能涉及到的訪談人員和審查文檔a)人員：系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密鑰管理員、密碼安全審計員、密碼操作測評實施操作說明鑰管理制度及策略類文檔是否確定系統(tǒng)涉及鑰管理制度及策略類文檔參照GB/T43206-2023附錄2)檢查相關(guān)密鑰管理過程記錄，并結(jié)合本文件際密鑰的種類和管理措施等是否與密鑰管理施與密鑰管理制度及策略類文檔內(nèi)容的一致性比對9.3.3實施方案測評指標測評對象可能涉及到的訪談人員和審查文檔a)人員：系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密鑰管理員、密碼安全審計員、密碼操作測評實施操作說明9.3.4投入運行前的密碼應(yīng)用安全性評估測評指標測評對象可能涉及到的訪談人員和審查文檔a)人員：系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密鑰管理員、密碼安全審計員、密碼操作測評實施操作說明具有系統(tǒng)投入運行前編制的密碼應(yīng)用安全性評估行前的密評情況以及出具的密評報告，包括密評報告封有系統(tǒng)投入運行前編制的密碼應(yīng)用安全性評估報9.3.5投入運行后的密碼應(yīng)用安全性評估測評指標測評對象可能涉及到的訪談人員和審查文檔a)人員：系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密鑰管理員、密碼安全審計員、密碼操作測評實施操作說明1)密碼應(yīng)用安全管理制度中，有關(guān)信息系統(tǒng)投入運行并具有相應(yīng)的密碼應(yīng)用安全性評估報告及攻9.4應(yīng)急處置9.4.1應(yīng)急策略測評指標測評對象可能涉及到的訪談人員和審查文檔a)人員：系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密鑰管理員、密碼安全審計員、密碼操作測評實施操作說明文檔中有關(guān)根據(jù)密碼產(chǎn)品提供的安全策略處置信息系統(tǒng)密該次密碼應(yīng)用安全事件的處置記錄以及該記錄和應(yīng)急策略1)確認是否根據(jù)密碼應(yīng)用安全事件等級制定了相應(yīng)的密碼應(yīng)用應(yīng)急策略并對應(yīng)急策略安全事件發(fā)生時的應(yīng)急處理流程及其他管略類文檔中有關(guān)根據(jù)密碼應(yīng)用安全事件等級制定的相件的處置記錄以及該記錄和應(yīng)急策略類文檔中相關(guān)描1)確認是否根據(jù)密碼應(yīng)用安全事件等級制定了相應(yīng)的密碼應(yīng)用應(yīng)急策略并對應(yīng)急策略安全事件發(fā)生時的應(yīng)急處理流程及其他管略類文檔中有關(guān)根據(jù)密碼應(yīng)用安全事件等級制定的相的安全事件、由于密碼設(shè)備被盜用等導(dǎo)致的安全事件9.4.2事件處置測評指標測評對象可能涉及到的訪談人員和審查文檔a)人員：系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密鑰管理員、密碼安全審計員、密碼操作測評實施操作說明采用訪談和文檔審查方式，確認密碼應(yīng)用安全事件發(fā)生后，是否及時向信息系統(tǒng)主管部門進行報采用訪談和文檔審查方式，確認密碼應(yīng)用安全事件發(fā)生后，是否及時向信息系統(tǒng)主管部門及歸屬9.4.3處置情況上報測評指標測評對象可能涉及到的訪談人員和審查文檔a)人員：系統(tǒng)相關(guān)人員(包括系統(tǒng)負責(zé)人、安全主管、密鑰管理員、密碼安全審計員、密碼操作測評實施操作說明采用訪談和文檔審查方式，確認密碼應(yīng)用安全事件處置完成后，是否及時向信息系統(tǒng)主管部門及歸屬的密碼管理部門報告事件發(fā)生情況及處置情況，如事件處置完成后，向相關(guān)部門提交安全事及時向信息系統(tǒng)主管部門及歸屬的密碼管理部門b)采用配置檢查方式，查看安全瀏覽器U報文分析軟件，用于對智能IC卡、智能密碼鑰匙的APDU指令進行抓取和分析，證次數(shù)是否符合GM/T0027的要求，如口令長度不少于6個字符、錯誤口令登錄驗A.1.3PCI-E/PCI密碼卡a)條件允許情況下，采用配置檢查方式，如使用密碼設(shè)備管理工具，查看PCI-E/PCI密碼卡是否為就緒狀態(tài)或是否有在用的密鑰，并確認實際使用的密碼b)檢查密碼卡的各角色（如管理員、操作員）在登錄PCI-E/PCI密碼卡時是否采用智a)采用工具測試方式，如使用端口掃描工具b)采用工具測試方式，如使用協(xié)議分析工具，抓取IPSecVc)采用工具測試方式，如使用協(xié)議分析工具、數(shù)字證書校驗工具等，抓取并驗證IPS是查看IPSecVPN網(wǎng)關(guān)日志文件，檢查與密鑰管理、密碼運算相關(guān)的232字節(jié)；會話密鑰最長更新時間是否不超過1?。?，認網(wǎng)絡(luò)連接地址，解析密碼套件標識以確認算法是否符合GM/T0f)檢查SSLVPN網(wǎng)關(guān)的管理員角色在登錄網(wǎng)關(guān)時是否采用智能密碼鑰匙、智能IC卡證書校驗工具等，抓取SSL協(xié)議握手階段或IPSecVPN協(xié)議ISAKMP階段的數(shù)據(jù)報注：對于具有IPSec/SSL協(xié)議功能的安全認證網(wǎng)關(guān)，可參考IPSec/SSLVPN網(wǎng)關(guān)應(yīng)用測評的實施通信協(xié)議進行抓包分析，確認實際使用的身份鑒別算法和鑒別），a)采用配置檢查、試錯測試等方式，判斷動態(tài)令牌的PIN碼保護機制是否滿足GM/T0021的要求。例如，確認具有數(shù)字和功能按鍵的令牌是否有PIN碼進行保護，PINa)采用配置檢查方式，確認電子簽章系統(tǒng)使用的密碼算法、數(shù)字GM/T0107如查看密鑰管理系統(tǒng)對密鑰生命周期管理功能和日志記錄。用接口輸入、輸出中，如密碼算法及其輸入?yún)?shù)、密鑰、密鑰索且API是否被預(yù)期的數(shù)據(jù)庫所調(diào)用，如查b)采用工具測試方式，如使用協(xié)議分析工具，抓取信息系統(tǒng)調(diào)用數(shù)據(jù)庫加密系統(tǒng)/安技術(shù)要求電子門禁記錄數(shù)據(jù)基于密碼機制的主動分析（條件允許情視頻監(jiān)控記錄數(shù)據(jù)基于密碼機制的主動分析（條件允許情工具測試（如協(xié)議分析工具、數(shù)字證書通信過程中重要數(shù)網(wǎng)絡(luò)邊界訪問控制略略工具測試（如協(xié)議分析工具、數(shù)字證書工具測試（如協(xié)議分析工具、數(shù)字證書系統(tǒng)資源訪問控制重要信息資源安全略略重要可執(zhí)行程序完整性、重要可執(zhí)行略略工具測試（如協(xié)議分析工具、數(shù)字證書件允許情況下，嘗試重放攻擊、中間人訪問控制信息完整性重要信息資源安全略略重要數(shù)據(jù)傳輸機密性工具測試（如協(xié)議分析工具、編碼轉(zhuǎn)換重要數(shù)據(jù)存儲機密性工具測試（如協(xié)議分析工具、編碼轉(zhuǎn)換重要數(shù)據(jù)傳輸完整性工具測試（如協(xié)議分析工具、數(shù)字證書重要數(shù)據(jù)存儲完整性工具測試（如協(xié)議分析工具、數(shù)字證書工具測試（如協(xié)議分析工具、數(shù)字證書校驗工具、算法校驗工具、電子簽章校管理要求度場景描述（如圖C.1.1-1）：機房部署安全門禁系統(tǒng)，涉及服務(wù)器密碼機，采用HMAC-SM3技術(shù)，實現(xiàn)對電子門禁記錄的存儲完整性保護，相關(guān)密碼運算和密鑰管理由服務(wù)器密碼機完成。其中，安全門禁系統(tǒng)、用于生成門禁卡鑒別信息（采用SM4對稱加密技術(shù)），一卡（采用SM4對稱加密技術(shù)）。鑒別時，使用讀取的門禁卡卡禁卡卡片密鑰，進而得到驗證碼。存儲在讀性圖C.1.1-1機房部署安全門禁系統(tǒng)和服務(wù)器密碼機實現(xiàn)身份鑒別、門禁記錄數(shù)據(jù)存儲完整性的密碼應(yīng)用場景）：頻監(jiān)控記錄數(shù)據(jù)的存儲完整性保護。其中，安全視頻監(jiān)控系統(tǒng)中的PCI-E密碼卡圖C.1.1-2機房部署安全視頻監(jiān)控系統(tǒng)實現(xiàn)視頻監(jiān)控記錄數(shù)據(jù)存儲完整性的密碼應(yīng)用場景圖C.1.2-1機房部署安全門禁系統(tǒng)和服務(wù)器密碼機場景測評檢查點示例檢查點B：檢查電子門禁系統(tǒng)存儲的進出記錄檢查點C：檢查服務(wù)器密碼機上的配置信息，確認門禁記錄數(shù)據(jù)存儲完整性保圖C.1.2-2機房部署安全視頻監(jiān)控系統(tǒng)場景測評檢查點示例息是否符合預(yù)期；條件允許時，嘗試進行數(shù)據(jù)篡改操作，2）使用的身份鑒別算法配置信息、代碼片段，如圖C.1-4、圖C2）門禁記錄數(shù)據(jù)的HMAC值及數(shù)據(jù)格圖C.1-1安全門禁系統(tǒng)商用密碼產(chǎn)品認證證書、智能IC卡商用密碼產(chǎn)品認證證書及原型號證書（安全等級二級）圖C.1-2門禁讀卡器商用密碼產(chǎn)品認證證書（安全等級二級）及實物圖（認證證書與實際部署信息一致）圖C.1-3機房安全門禁系統(tǒng)部署實景圖C.1-4安全門禁系統(tǒng)后臺管理系統(tǒng)發(fā)卡子系統(tǒng)的發(fā)卡過程及密碼算法相關(guān)配置（使用SM4算法）圖C.1-5安全門禁系統(tǒng)身份鑒別采用的SM4-ECB密碼算法相關(guān)代碼圖C.1-6左圖授權(quán)門禁卡身份驗證成功（鍵盤顯示綠色）、右圖非授權(quán)門禁卡身份驗證失敗（鍵盤顯示紅色）圖C.1-7服務(wù)器密碼機商用密碼產(chǎn)品認證證書（安全等級二級）及實物圖（認證證書與實際部署信息一致）圖C.1-8數(shù)據(jù)庫中存儲的電子門禁記錄數(shù)據(jù)的HMAC值圖C.1-9密碼機中HMAC算法配置、門禁記錄數(shù)據(jù)存儲完整性保護代碼片段（基于SM3的HMAC技術(shù)）圖C.1-10現(xiàn)場測評時對門禁記錄時間和人員名字信息進行修改并在安全門禁系統(tǒng)執(zhí)行日志完整性校驗操作，提示門禁記錄被篡改圖C.1-11視頻監(jiān)控系統(tǒng)中密碼模塊、攝像機和NVR中安全芯片的商用密碼產(chǎn)品認證證書及實物圖（密碼模塊實物圖略，認證證書與實際部署信息一致）圖C.1-12視頻監(jiān)控系統(tǒng)監(jiān)控主機使用的PCI-E密碼卡及商用密碼產(chǎn)品認證證書實物圖（認證證書與實際部署信息一致）圖C.1-13機房內(nèi)外及被測系統(tǒng)所在機柜旁監(jiān)控攝像部署位置圖C.1-14視頻監(jiān)控記錄數(shù)據(jù)某一幀的HMAC值（長度為256比特）圖C.1-15視頻監(jiān)控系統(tǒng)中HMAC算法配置、視頻監(jiān)控記錄數(shù)據(jù)存儲完整性保護代碼（基于SM3的HMAC技術(shù)）圖C.1-16篡改視頻監(jiān)控記錄數(shù)據(jù)部分幀內(nèi)容，客戶端播放提示“正在播放的文件被篡改”，無法正常播放，即HMAC驗證失敗場景描述（站到站部署模式，如圖C.2.1-1）：分支機構(gòu)用戶通過IPSecVPN隧道訪問總部內(nèi)網(wǎng)資源，產(chǎn)生一條分支機構(gòu)IPSecVPN網(wǎng)關(guān)與總部IPSecVPN網(wǎng)關(guān)之間的通信信道。通道建立時，雙方采用基于SM2證書的數(shù)字簽名技術(shù)實現(xiàn)通信實體身份鑒別，采用SM4-CBC和HMAC-SM3算法實現(xiàn)非對稱密鑰對，包括簽名密鑰對和加密密鑰對，公鑰通常以數(shù)字證書形式存在，私鑰存放用于簽名的SM2算法設(shè)備密鑰對在IKE/ISAKMPIKE/ISAKMP第一階段對密鑰協(xié)商等數(shù)據(jù)提供機對稱密鑰，包括用于加密和用于完整性校驗兩供機密性保護；用于完整性校驗的HMAC-SM3算交互的數(shù)據(jù)提供完整性保護及對數(shù)據(jù)源進行身份對稱密鑰，包括用于加密和用于完整性校驗兩供機密性保護；用于完整性校驗的HMAC-圖C.2.1-1IPSecVPN通信場景（站到站部署模式）字簽名技術(shù)實現(xiàn)SSLVPN網(wǎng)關(guān)的單向身份鑒別，采用SM4-CBC和HMAC-SM3算法實現(xiàn)通信數(shù)據(jù)的機密性和完整性保護，相關(guān)密碼運算和密鑰瀏覽器和/或SSLVPN網(wǎng)關(guān)完成。其中，兩端部署的安全瀏覽器、SSLVPN網(wǎng)關(guān)具有商用密碼產(chǎn)品認證證書且安全等級滿足要非對稱密鑰對，包括簽名密鑰對和加密密鑰對，公鑰通常以數(shù)字證書形式存在，私鑰存放在VPN網(wǎng)關(guān)SM2算法簽名密鑰對用于握手協(xié)議中服務(wù)端身份鑒別；SM2算法加密密鑰對用于預(yù)主密對稱密鑰，包括數(shù)據(jù)加密SM4-CBC算法數(shù)據(jù)加密密鑰用于數(shù)據(jù)的加密和解密，為通信數(shù)據(jù)提供機密性保護；HMAC-SM3算法校驗密鑰用于數(shù)據(jù)的完整圖C.2.1-2SSLVPN通信場景圖C.2.2-1IPSecVPN通信場景（站到站部署模式）測評檢查點示例捕獲并分析IPSecVPN網(wǎng)關(guān)通信數(shù)據(jù)包，確認通信雙方是否開啟IPSecVPN端口服務(wù)、協(xié)定的身份鑒別、加密和完整性保護算法等是否符合預(yù)期；使用數(shù)字證書校驗工具，驗證IPSecVPN網(wǎng)關(guān)的數(shù)字證書和相關(guān)電子認證服務(wù)；登錄到IPSecVPN網(wǎng)關(guān)上，檢查啟用/旁路設(shè)置、身份鑒別、加密和完整性保護算圖C.2.2-2SSLVPN通信場景測評檢查點示例檢查點A：在SSLVPN網(wǎng)關(guān)外網(wǎng)口或外側(cè)出口路由器或交換機上，通過鏡像端口2）身份鑒別過程所使用的數(shù)字證書對應(yīng)的電子認證服3）IPSecVPN通信雙方IP地址、端口服務(wù)，以及實體鑒別應(yīng)用機制情況，如圖C.2-3；4）IPSecVPN通信雙方協(xié)定的身份鑒別算法，以及對數(shù)字證書及其證書鏈的驗證情況，2）身份鑒別過程所使用的數(shù)字證書對應(yīng)的電子認證服3）SSLVPN通信雙方IP地址、端口服務(wù)，以及實體鑒別應(yīng)用機制情況，如圖C.2-13；4）SSLVPN通信雙方協(xié)定的身份鑒別算法，以及對數(shù)字證書及其證書鏈的驗證情2）IPSecVPN通信雙方協(xié)定的通信報文加密算法、完整性校驗算法情況，如圖3）IPSecVPN網(wǎng)關(guān)上，有關(guān)啟用/旁路設(shè)置、加密算法、完整性校驗算法以及報文封裝方式等配置信略略略略圖C.2-1IPSecVPN網(wǎng)關(guān)商用密碼產(chǎn)品認證證書及實物圖圖C.2-2電子認證服務(wù)機構(gòu)電子認證服務(wù)使用密碼許可證圖C.2-3IPSec協(xié)議通信雙方IP地址（10.XX.XX.3和10.XX.XX.4）、端口服務(wù)開啟情況（UDP500）和實體鑒別應(yīng)用機制（雙向鑒別）圖C.2-4總部IPSecVPN、分支機構(gòu)IPSecVPN證書鏈驗證結(jié)果圖C.2-5總部IPSecVPN簽名證書和加密證書合規(guī)性分析結(jié)果圖C.2-6分支機構(gòu)IPSecVPN簽名證書和加密證書合規(guī)性分析結(jié)果圖C.2-7IPSecVPN網(wǎng)關(guān)的實體鑒別方式配置界面（采用數(shù)字證書鑒別方式）圖C.2-8IPSec協(xié)議ISAKMP主模式階段雙方協(xié)定的加密算法（SM4-CBC）圖C.2-9IPSec協(xié)議ISAKMP主模式階段雙方協(xié)定的完整性校驗算法（HMAC-SM3）圖C.2-10IPSecVPN網(wǎng)關(guān)的IKE（ISAKMP）配置界面圖C.2-11PC端安全瀏覽器商用密碼產(chǎn)品認證證書（安全等級二級）及實際部署瀏覽器版本等信息圖C.2-12SSLVPN網(wǎng)關(guān)商用密碼產(chǎn)品認證證書、原型號證書（安全等級二級）及實物部署圖圖C.2-13SSL協(xié)議通信雙方IP地址（10.XX.XX.1、10.XX.XX.2）、端口服務(wù)開啟情況（目的端TCP443）圖C.2-14SSL協(xié)議握手階段ServerHello數(shù)據(jù)包(密碼套件ECC_SM4_CBC_SM3)，身份鑒別算法SM2、加密算法SM4-CBC、完整性校驗算法HMAC-SM3圖C.2-15SSL協(xié)議握手過程解析結(jié)果（客戶端對服務(wù)端單向鑒別，服務(wù)端具有雙證書）圖C.2-16SSLVPN網(wǎng)關(guān)加密證書、簽名證書證書鏈驗證結(jié)果圖C.2-17SSLVPN網(wǎng)關(guān)簽名證書、加密證書合規(guī)性檢測結(jié)果圖C.2-18SSLVPN網(wǎng)關(guān)SSL協(xié)議配置界面圖C.2-19SSLVPN網(wǎng)關(guān)密碼套件配置信息場景描述（如圖C.3.1-1）：運維人員在互聯(lián)網(wǎng)上連接SSLVPN網(wǎng)關(guān)接入系統(tǒng)內(nèi)部網(wǎng)絡(luò)后，通過登錄堡壘機實現(xiàn)動態(tài)令牌認證系統(tǒng)具有商用密碼產(chǎn)品認證證書且安全等級滿足要堡壘機的遠程管理協(xié)議為HTTPS協(xié)議，通用服務(wù)器遠程管理協(xié)議為SSHv2或RDP，整機類和用于堡壘機登錄時，采用SM3算法生成數(shù)據(jù)加密密鑰為遠程管理通道提供機密性保護；校驗密鑰為遠程管理通道提供圖C.3.1-1設(shè)備運維管理場景圖C.3.2-1設(shè)備遠程運維管理場景測評檢查點示例分析用戶登錄設(shè)備時的通信數(shù)據(jù)包，分析用戶身份鑒別機制是檢查點C：在堡壘機外側(cè)交換機上，通過鏡像端口接入專），2）動態(tài)口令信息、動態(tài)令牌的PIN碼保護策略，如圖C.3-3、圖C.3-4；3）堡壘機調(diào)用動態(tài)令牌認證系統(tǒng)完成驗證操作的4）動態(tài)口令認證系統(tǒng)上生成動態(tài)口令的密碼算法、動態(tài)口令長度和取值范圍等配置信息，如圖略略略略略略程序來源真實性略略圖C.3-1動態(tài)令牌商用密碼產(chǎn)品認證證書及原型號證書、實物部署圖（安全等級二級）圖C.3-2動態(tài)令牌認證系統(tǒng)商用密碼產(chǎn)品認證證書及原型號證書、實物部署圖圖C.3-3堡壘機用戶登錄時輸入動態(tài)令牌產(chǎn)生的動態(tài)口令（長度為6位）圖C.3-4用戶和令牌認證失敗鎖定策略配置圖C.3-5堡壘機與動態(tài)令牌認證系統(tǒng)之間的認證通信協(xié)議數(shù)據(jù)包傳輸動態(tài)口令對堡壘機登錄人員進行身份認證圖C.3-6動態(tài)口令認證系統(tǒng)上動態(tài)口令生成算法、動態(tài)口令長度和取值范圍等配置信息（基于SM3算法生成動態(tài)口令）圖C.3-7距離上一次登錄時間60秒后重新輸入上次動態(tài)口令的重放測試結(jié)果（即口令一次有效）圖C.3-8通過TLSv1.2協(xié)議對堡壘機進行遠程管理時的通信雙方IP地址（10.XX.XX.249、192.XX.XX.86）、端口服務(wù)開啟情況（目的端TCP443）和實體鑒別應(yīng)用機制（單向鑒別）圖C.3-9SSL協(xié)議握手階段的ServerHello數(shù)據(jù)包（密碼套件ECDHE_RSA_WITH_AES_256_CBC_SHA密鑰交換算法ECDHE、身份鑒別算法RSA-2048、加密算法AES-256-CBC、完整性校驗算法HMAC-SHA1，以及服務(wù)端RSA-2048數(shù)字證書圖C.3-10堡壘機使用SSHv2協(xié)議遠程管理通用服務(wù)器的協(xié)議版本和交互過程圖C.3-11堡壘機使用SSHv2協(xié)議遠程管理通用服務(wù)器協(xié)商的密碼算法，密鑰交換算法ECDHE、加密算法AES-128-CBC、完整性校驗算法HMAC-SHA1、對服務(wù)端身份鑒別算法RSA-2048）：令+SM2數(shù)字簽名”的雙因素身份鑒別，應(yīng)用系統(tǒng)調(diào)用簽名驗簽服務(wù)器進行簽名驗證，驗證通過方可登錄成功。其中，SM2數(shù)字證書存放于智能密碼鑰匙中，數(shù)字證書由合法CA機構(gòu)簽發(fā)，相關(guān)密碼運算和密鑰管理由智能密碼鑰匙和簽名驗簽服務(wù)器完成，智能密碼鑰匙和簽名驗簽服務(wù)器均具有商用密碼產(chǎn)非對稱密鑰對，公鑰通常以數(shù)字證書形式存在。CA公鑰由CA自簽發(fā)形成CA根證書或可由國家信任根CA進行非對稱密鑰對，公鑰通常以數(shù)字證書形式存在，私鑰存放在智能密碼鑰匙用于用戶登錄應(yīng)用時的身份鑒圖C.4.1-1用戶采用SM2數(shù)字簽名技術(shù)完成登錄應(yīng)用時的身份鑒別場景場景描述（如圖C.4.1-2）：應(yīng)用系統(tǒng)調(diào)用服務(wù)器密碼機，采用SM4算法實現(xiàn)重要數(shù)據(jù)存儲機護，保護后的數(shù)據(jù)存儲于數(shù)據(jù)庫中。相關(guān)密碼運算和密鑰管理由服務(wù)器密碼機完成，服務(wù)器密碼機具有商用密碼產(chǎn)品認證證書且安全等級滿足要求。用于SM4加解密以實現(xiàn)重要數(shù)據(jù)的存儲用于生成基于SM3的消息鑒別碼，實現(xiàn)圖C.4.1-2應(yīng)用系統(tǒng)調(diào)用密碼機實現(xiàn)重要數(shù)據(jù)存儲機密性和完整性保護場景場景描述（如圖C.4.1-3）：應(yīng)用系統(tǒng)采用基于SM2的數(shù)字簽名機制實現(xiàn)關(guān)鍵操作行為的不可否認性。用戶每次執(zhí)據(jù)庫中。相關(guān)密碼運算和密鑰管理由智能密碼鑰匙和簽名驗簽服務(wù)器完成，智能密碼鑰匙和簽名驗簽服務(wù)器均具有商用密碼產(chǎn)品認證證書且安全等級滿CA認證機構(gòu)CA認證機構(gòu)智能密碼鑰匙用戶業(yè)務(wù)終端智能密碼鑰匙用戶業(yè)務(wù)終端簽名驗簽服務(wù)器簽名驗