DB32T 5073.3-2025政務(wù)“一朵云”安全管理體系規(guī)范 第3部分：密碼應(yīng)用安全性評估

CCSL70江蘇省地方標(biāo)準(zhǔn)DB32/T5073.3—2025政務(wù)“一朵云”安全管理體系規(guī)范密碼應(yīng)用安全性評估Securitymanagementsystemspecificationforthe“cloud”ofgovernmentaffairs—Part3：securityassessmentofcryptographyapplication2025-02-21發(fā)布2025-03-21實施江蘇省市場監(jiān)督管理局中國標(biāo)準(zhǔn)出版社發(fā)布出版Ⅰ前言 Ⅲ引言 Ⅳ 2規(guī)范性引用文件 3術(shù)語和定義 4總體要求 5評估指南 6結(jié)果應(yīng)用 附錄A（資料性）主要技術(shù)要求解決方法 附錄B（資料性）密鑰管理要求 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件是DB32/T5073《政務(wù)“一朵云”安全管理體系規(guī)范》的第3部分。DB32/T5073已經(jīng)發(fā)布了以下部分：——第1部分：安全運行監(jiān)測；——第2部分：密碼應(yīng)用技術(shù)要求；——第3部分：密碼應(yīng)用安全性評估。請注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由江蘇省數(shù)據(jù)局提出并組織實施。本文件由江蘇省數(shù)據(jù)標(biāo)準(zhǔn)化技術(shù)委員會（JS/TC88）歸口。本文件起草單位：江蘇省大數(shù)據(jù)管理中心。Ⅳ引言為加強統(tǒng)籌規(guī)劃，全面提升全省政務(wù)云服務(wù)能力和安全運行水平，促進政務(wù)信息基礎(chǔ)設(shè)施建設(shè)可持續(xù)發(fā)展，根據(jù)《省政府關(guān)于加快統(tǒng)籌推進數(shù)字政府高質(zhì)量建設(shè)的實施意見》（蘇政發(fā)〔2022〕44號）、《江蘇系，提升安全防護能力，制定本文件。DB32/T5073《政務(wù)“一朵云”安全管理體系規(guī)范》分為以下3個部分：——第1部分：安全運行監(jiān)測；——第2部分：密碼應(yīng)用技術(shù)要求；——第3部分：密碼應(yīng)用安全性評估。DB32/T5073.3—20251政務(wù)“一朵云”安全管理體系規(guī)范第3部分：密碼應(yīng)用安全性評估本文件給出了政務(wù)云密碼應(yīng)用安全性評估總體要求，以及評估相關(guān)的階段、類型、對象、依據(jù)、流程、內(nèi)容、輸出成果和參與主體。本文件適用于政務(wù)云運行管理單位、政務(wù)云使用單位開展信息系統(tǒng)密碼應(yīng)用建設(shè)和商用密碼應(yīng)用安全性評估工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22240—2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南GB/T37092—2018信息安全技術(shù)密碼模塊安全要求GB/T39786—2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T43206—2023信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用測評要求GB/T43207—2023信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計指南GM/T0116—2021信息系統(tǒng)密碼應(yīng)用測評過程指南GM/T0094—2020公鑰密碼應(yīng)用技術(shù)體系框架規(guī)范3術(shù)語和定義GB/T25069—2022和GM/Z0001—2013界定的以及下列術(shù)語和定義適用于本文件。政務(wù)云e-governmentcloud運用云計算技術(shù)，統(tǒng)籌利用機房、計算、存儲、網(wǎng)絡(luò)、安全、應(yīng)用支撐等軟硬件設(shè)備，發(fā)揮云計算虛擬化、高可靠性、通用性、高擴展性以及快速、按需、彈性的服務(wù)等特征，為政務(wù)信息系統(tǒng)提供基礎(chǔ)設(shè)施、支撐軟件、運行保障和信息安全等的綜合服務(wù)平臺。資源、應(yīng)用支撐等資源”，用“為政務(wù)信息系統(tǒng)提供基礎(chǔ)設(shè)施、支撐軟件、運行保障和信息安全等的綜合服務(wù)平臺”取代“為各政務(wù)部門構(gòu)建提供基礎(chǔ)設(shè)施、支撐軟件、應(yīng)用系統(tǒng)、信息資源、運行保障和信息安全等服務(wù)的電子政務(wù)綜合性服務(wù)平臺”。政務(wù)“一朵云”the“cloud”ofgovernmentaffairs在省級行政區(qū)域統(tǒng)一建設(shè)和部署的政務(wù)云（3.1依托電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，運用云計算技術(shù)和智能化工具，為該區(qū)域各類電子政務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)提供計算資源、存儲資源、服務(wù)支撐、安全保障等共性DB32/T5073.3—20252服務(wù)的新型信息基礎(chǔ)設(shè)施。商用密碼commercialcryptography采用特定變換的方法對不屬于國家秘密的信息等進行加密保護、安全認證的技術(shù)、產(chǎn)品和服務(wù)。商用密碼應(yīng)用安全性評估securityassessmentofcommercialcryptographyapplication按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，對網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進行檢測分析和評估驗證的活動，簡稱“密評”。［來源：《商用密碼應(yīng)用安全性評估管理辦法》，第二條］密碼應(yīng)用方案cryptographyapplicationscheme用于指導(dǎo)信息系統(tǒng)責(zé)任主體合規(guī)、正確、有效地使用密碼技術(shù)，部署密碼保障系統(tǒng)的規(guī)劃。密碼資源池cryptographyresourcepool一組密碼物理資源或虛擬密碼資源的集合，能夠?qū)γ艽a資源進行實時監(jiān)控、合理分配和負載均衡，具有可擴展性、高性能、低風(fēng)險等特點（密碼資源包括密碼運算部件、密鑰存儲部件和隨機數(shù)發(fā)生器等）。4總體要求4.1密評類型密評包括商用密碼應(yīng)用方案評估（簡稱“方案評估”）和信息系統(tǒng)商用密碼應(yīng)用安全性評估（簡稱“系4.2密評對象政務(wù)云密評對象包括：a）方案評估對象為密碼應(yīng)用方案；b）系統(tǒng)評估對象為政務(wù)云獨立開展或擬開展等級保護定級的物理環(huán)境設(shè)施、網(wǎng)絡(luò)通信設(shè)施、計算資源設(shè)施、密碼基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全設(shè)施或其組合；或政務(wù)信息系統(tǒng)及其他相關(guān)對象。4.3密評要求政務(wù)云密評總體要求包括：a）應(yīng)在政務(wù)云規(guī)劃階段開展方案評估；b）應(yīng)在政務(wù)云建設(shè)階段開展系統(tǒng)評估；c）應(yīng)在政務(wù)云運行階段開展系統(tǒng)評估或方案評估。DB32/T5073.3—202535評估指南5.1規(guī)劃階段本文件4.2密評對象a）條款中所指對象。5.1.2評估依據(jù)規(guī)劃階段的評估依據(jù)包括：——GB/T39786—2021；——GB/T43207—2023；——《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》；——《商用密碼應(yīng)用安全性評估量化評估規(guī)則》；——《商用密碼安全性評估FAQ》；——密碼算法/技術(shù)/產(chǎn)品等相關(guān)標(biāo)準(zhǔn)規(guī)范；——《密碼應(yīng)用方案》商用密碼應(yīng)用安全性評估報告（模板——信息系統(tǒng)業(yè)務(wù)設(shè)計、安全需求文檔；——網(wǎng)絡(luò)安全等級保護測評報告（如有——其他相關(guān)依據(jù)。5.1.3評估流程方案評估流程包括方案評估準(zhǔn)備、開展方案評估、評估結(jié)果反饋、方案整改、形成評估報告、完成方案評估。具體流程如圖1所示。方案評估準(zhǔn)備開展方案評估方案評估準(zhǔn)備方案整改評估結(jié)果反饋方案整改是否通過評估是否通過評估是形成評估報告完成方案評估圖1方案評估流程DB32/T5073.3—202545.1.4評估內(nèi)容通過形式審查和技術(shù)審查等方式對密碼應(yīng)用方案進行評估，具體評估內(nèi)容包括：a）形式審查：1）要素完整性：是否涵蓋GB/T43207—2023附錄A的全部核心要素；2）內(nèi)容一致性：描述的網(wǎng)絡(luò)情況、服務(wù)對象、訪問方式等與網(wǎng)絡(luò)拓撲圖是否一致，密碼應(yīng)用需求與密碼應(yīng)用設(shè)計是否相匹配等。b）技術(shù)審查：1）密碼應(yīng)用需求的全面性、合理性和針對性；2）選取適用指標(biāo)的準(zhǔn)確性；3）不適用指標(biāo)論證的充分性；4）安全控制措施（密碼應(yīng)用措施和/或風(fēng)險替代措施）是否合理、有效（不存在高風(fēng)險5）密碼應(yīng)用流程和機制是否具備可實施性；6）密碼保護措施是否達到相應(yīng)的商用密碼應(yīng)用要求、相關(guān)描述是否詳盡；7）密碼技術(shù)/產(chǎn)品/服務(wù)選用是否合規(guī)，密鑰管理是否安全；8）初步量化評估分?jǐn)?shù)能否達到閾值等。本階段面向政務(wù)云的方案設(shè)計，建設(shè)方應(yīng)依據(jù)政務(wù)云密碼應(yīng)用需求設(shè)計密碼應(yīng)用框架，按照GB/T43207—2023附錄A，重點關(guān)注相應(yīng)的密碼應(yīng)用措施（如保護對象、措施涉及的密碼算法、技術(shù)、產(chǎn)品、服務(wù)的選用及相關(guān)密鑰管理等）和替代性風(fēng)險控制措施（如替代原因、具體措施風(fēng)險評估論證結(jié)果等密鑰管理按照附錄B的規(guī)定執(zhí)行。注：密碼應(yīng)用措施的主要技術(shù)要求解決方法參見附錄A。5.1.5參與主體建設(shè)單位、設(shè)計單位。5.1.6輸出成果方案評估報告。5.1.7評估結(jié)論方案評估結(jié)論為通過和不通過。當(dāng)評估對象論證的所有指標(biāo)安全控制措施評估結(jié)果均為通過，且初步量化評估分?jǐn)?shù)能夠達到閾值要求，則方案評估結(jié)論為通過；否則，不通過。5.2建設(shè)階段5.2.1評估對象本文件4.2密評對象b）條款中所指對象，具體組成包括：a）密碼產(chǎn)品、密碼服務(wù)、密碼算法及密鑰管理實現(xiàn)；b）物理和環(huán)境：機房等重要區(qū)域及其電子門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)；c）網(wǎng)絡(luò)和通信：網(wǎng)絡(luò)通信信道以及提供通信保護功能的設(shè)備或組件、密碼產(chǎn)品、網(wǎng)絡(luò)邊界訪問控制功能、設(shè)備入網(wǎng)接入認證功能的設(shè)備或組件、密碼產(chǎn)品；d）設(shè)備和計算：通用設(shè)備（及其操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)）、網(wǎng)絡(luò)及安全設(shè)備、密碼設(shè)備、各類虛擬設(shè)備，以及提供完整性保護功能、來源真實性功能的密碼產(chǎn)品；系統(tǒng)評估準(zhǔn)備是否通過評估DB32/T5073.3—系統(tǒng)評估準(zhǔn)備是否通過評估5e）應(yīng)用和數(shù)據(jù)：政務(wù)云以及提供身份鑒別功能、機密性保護功能、完整性保護功能、不可否認性功能的密碼產(chǎn)品；f）安全管理：政務(wù)云相關(guān)商用密碼應(yīng)用安全管理制度、實施方案、操作規(guī)程類文檔、記錄表單類文檔、系統(tǒng)相關(guān)人員、攻防演習(xí)報告、整改記錄、應(yīng)急處置記錄類文檔、安全事件發(fā)生情況及處置情況報告等。5.2.2評估依據(jù)建設(shè)階段的評估依據(jù)包括：——GB/T22240—2020；——GB/T39786—2021；——GB/T43206—2023；——GM/T0116—2021；——《信息系統(tǒng)密碼應(yīng)用方案》；——《〈信息系統(tǒng)密碼應(yīng)用方案〉商用密碼應(yīng)用安全性評估報告》；——《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》；——《商用密碼應(yīng)用安全性評估量化評估規(guī)則》；——密碼算法/技術(shù)/產(chǎn)品等相關(guān)標(biāo)準(zhǔn)規(guī)范；——網(wǎng)絡(luò)安全等級保護測評報告（如有——其他相關(guān)依據(jù)。當(dāng)政務(wù)云按照GB/T22240開展等級保護定級時，應(yīng)采用GB/T39786對應(yīng)等級密碼要求開展系統(tǒng)評估。即等級保護第一、二、三級的政務(wù)云或政務(wù)云其支撐的政務(wù)信息系統(tǒng)，按照GB/T39786中第一、二、三級密碼要求開展評估。等級保護第四級、第五級的政務(wù)云或其支撐的政務(wù)信息系統(tǒng)，按照GB/T39786中第四級密碼要求開展評估。當(dāng)政務(wù)云未開展等級保護定級時，應(yīng)至少按照GB/T39786中第三級密碼要求開展系統(tǒng)評估。5.2.3評估流程系統(tǒng)評估流程包括系統(tǒng)評估準(zhǔn)備、實施系統(tǒng)評估、整改建議與實施、形成評估報告、完成方案評估。具體流程如圖2所示。實施系統(tǒng)評估否形成整改建議是系統(tǒng)整改形成評估報告系統(tǒng)整改完成方案評估圖2系統(tǒng)評估流程DB32/T5073.3—202565.2.4評估內(nèi)容建設(shè)階段政務(wù)云密評具體評估包括：a）政務(wù)云密碼應(yīng)用的合規(guī)性、正確性、有效性；b）GB/T39786中規(guī)定的對應(yīng)等級的評估指標(biāo)內(nèi)容；c）通過評估的密碼應(yīng)用方案中設(shè)計的密碼實現(xiàn)內(nèi)容。注：若密碼應(yīng)用方案在本階段仍未通過評估，按照規(guī)劃階段的方案評估要求先行完成方案評估。5.2.5參與主體5.2.6輸出成果系統(tǒng)評估報告。5.2.7評估結(jié)論系統(tǒng)評估結(jié)論包括符合、基本符合和不符合。具體評估結(jié)論參考《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》和《商用密碼應(yīng)用安全性評估量化評估規(guī)則》。5.3運行階段5.3.1方案評估政務(wù)云投入運行后，存在改建或擴建情況，且其功能或業(yè)務(wù)范圍與GB/T39786對應(yīng)的評估要求超出原密碼應(yīng)用方案時，建設(shè)單位應(yīng)對原密碼應(yīng)用方案進行修訂，并對修改后的密碼應(yīng)用方案重新開展方案評估。評估過程應(yīng)符合5.1的相關(guān)要求。5.3.2系統(tǒng)評估政務(wù)云投入運行后，建設(shè)單位應(yīng)每年至少組織開展一次系統(tǒng)評估：a）在開展系統(tǒng)評估時，當(dāng)存在密碼應(yīng)用方案修訂情況的，應(yīng)提供通過評估的方案評估報告；b）評估過程應(yīng)符合5.2的相關(guān)要求。6結(jié)果應(yīng)用6.1結(jié)果備案政務(wù)云密評結(jié)果的備案由政務(wù)云建設(shè)單位實施，具體按照密碼管理部門備案要求執(zhí)行。6.2結(jié)果復(fù)用政務(wù)信息系統(tǒng)密評應(yīng)按照以下情形綜合考慮對政務(wù)云密評結(jié)果的復(fù)用：a）當(dāng)政務(wù)云相關(guān)設(shè)施組合作為一個對象開展網(wǎng)絡(luò)安全等級保護主體定級，且密評結(jié)論為符合或基本符合時，其支撐的政務(wù)信息系統(tǒng)密評結(jié)論才可能為符合或基本符合。1）若政務(wù)信息系統(tǒng)等級保護級別高于政務(wù)云等級保護級別，則政務(wù)云相關(guān)密碼服務(wù)無法直接被復(fù)用，應(yīng)對政務(wù)信息系統(tǒng)按照其實際等級保護級別重新進行密評；DB32/T5073.3—202572）若政務(wù)信息系統(tǒng)等級保護級別不高于政務(wù)云等級保護級別，且政務(wù)云密評結(jié)論為符合或基本符合時，則政務(wù)信息系統(tǒng)密評可復(fù)用政務(wù)云密評結(jié)果。b）當(dāng)政務(wù)云相關(guān)設(shè)施分為多個對象開展網(wǎng)絡(luò)安全等級保護主體定級時，應(yīng)分別分析不同對象密碼應(yīng)用和密評結(jié)果，將分析結(jié)果綜合復(fù)用于政務(wù)信息系統(tǒng)密評。DB32/T5073.3—20258（資料性）主要技術(shù)要求解決方法表A.1給出了主要技術(shù)要求評估整改方法。表A.1主要技術(shù)要求解決方法序號技術(shù)要求常見問題解決方法1機密性重要數(shù)據(jù)明文傳輸、存儲使用密碼技術(shù)的加解密功能實現(xiàn)機密性2完整性電子門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)進出記錄、日志記錄、訪問控制信息等明文存儲使用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼機制、基于公鑰密碼算法的數(shù)字簽名機制等密碼技術(shù)實現(xiàn)完整性3真實性業(yè)務(wù)應(yīng)用用戶僅使用用戶名、口令進行身份鑒別使用動態(tài)口令機制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼機制、基于公鑰密碼算法的數(shù)字簽名機制等密碼技術(shù)實現(xiàn)真實性4不可否認性在可能涉及法律責(zé)任認定的業(yè)務(wù)應(yīng)用中，信息交換主體否認其數(shù)據(jù)原發(fā)行為或數(shù)據(jù)接收行為使用基于公鑰密碼算法的數(shù)字簽名機制等密碼技術(shù)來保證數(shù)據(jù)原發(fā)行為的不可否認性和數(shù)據(jù)接收行為的不可否認性5密碼產(chǎn)品采用的密碼產(chǎn)品未經(jīng)國家密碼管理部門核準(zhǔn)或密碼產(chǎn)品安全等級不符合系統(tǒng)密碼應(yīng)用基本要求選用具備商用密碼產(chǎn)品認證證書的密碼產(chǎn)品，且安全等級符合GB/T37092的相關(guān)要求6密碼服務(wù)采用的第三方電子認證服務(wù)或電子政務(wù)電子認證服務(wù)未經(jīng)國家密碼管理部門頒發(fā)密碼服務(wù)許可選用電子認證服務(wù)使用密碼許可單位名錄、電子政務(wù)電子認證服務(wù)機構(gòu)目錄中的單位提供密碼服務(wù)DB32/T5073.3—20259（資料性）密鑰管理要求表B.1給出了密鑰管理要求策略。表B.1密鑰管理要求序號階段管理要求1產(chǎn)生密鑰可以以隨機產(chǎn)生、協(xié)商產(chǎn)生等不同的方式來產(chǎn)生。密鑰在符合GB/T37092的密碼產(chǎn)品中產(chǎn)生是十分必要的，產(chǎn)生的同時可在密碼產(chǎn)品中記錄密鑰關(guān)聯(lián)信息，包括密鑰種類、長度、擁有者、使用起始時間、使用終止時間等2分發(fā)密鑰分發(fā)是密鑰從一個密碼產(chǎn)品傳遞到另一個密碼產(chǎn)品的過程，分發(fā)時應(yīng)注意抗截取、篡改、假冒等攻擊，保證密鑰的機密性、完整性以及分發(fā)者、接收者身份的真實性等3存儲密鑰不以明文方式存儲在密碼產(chǎn)品外部是十分必要的，并采取嚴(yán)格的安全防護措施，防止密鑰被非授權(quán)的訪問或篡改。公鑰是例外，可以以明文方式在密碼產(chǎn)品外存儲、傳遞和使用，但有必要采取安全防護措施，防止公鑰被非授權(quán)篡改4使用每個密鑰一般只有單一的用途，明確用途并按用途正確使用是十分必要的。密鑰使用環(huán)節(jié)需要注意的安全問題是：使用密鑰前獲得授權(quán)、使用公鑰證書前對其進行有效性驗證、采用安全措施防止密鑰的泄露和替換等。另外，有必要為密鑰設(shè)定更換周期，并采取有效措施保證密鑰更換時的安全性5更新密鑰更新發(fā)生在密鑰超過使用期限、已泄露或存在泄露風(fēng)險時，根據(jù)相應(yīng)的更新策略進行更新6歸檔如果信息系統(tǒng)中有密鑰歸檔需求，則根據(jù)實際安全需求采取有效的安全措施，保證歸檔密鑰的安全性和正確性。需要注意的是，歸檔密鑰只能用于解密該密鑰加密的歷史信息或驗證該密鑰簽名的歷史