DB3404/T 8-2023 商用密码应用安全性评估服务指南

ICS35.040

CCSL80

3404

淮南市地方标准

DB3404/T8—2023

商用密码安全性评估服务指南

Guidetocommercialpasswordsecurityassessmentservice

2023-1-16发布2023-2-16实施

淮南市市场监督管理局  发布

DB

FORMTEXT

3404/T

FORMTEXT

8

—

FORMTEXT

2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由淮南市密码管理局提出并归口。

本文件起草单位：安徽省公众电子认证有限公司、淮南市密码管理局、淮南市数据资源管理局、淮

南市标准化研究院、安徽科测信息技术有限公司、淮南市公众信息技术研究院。

本文件主要起草人：孔韦杰、姚禹、陈洋、赵雅洁、朱雅茹、孙正、蔡霁、廖香子。

I

DB

FORMTEXT

3404/T

FORMTEXT

8

—

FORMTEXT

2023

商用密码安全性评估服务指南

1范围

本文件规定了淮南市商用密码应用安全性评估服务的术语和定义、服务对象、评估内容、服务流程

和密码应用措施。

本文件适用于指导、规范淮南市信息系统商用密码应用的规划、建设、运维及测评。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T37033-2018信息安全技术射频识别系统密码应用技术要求

GB/T39786-2021信息安全技术信息系统密码应用基本要求

GM/T0022-2014IPSecVPN技术规范

GM/T0023-2014IPSecVPN网关产品规范

GM/T0024-2014SSLVPN技术规范

GM/T0025-2014SSLVPN网关产品规范

GM/T0036-2014采用非接触卡的门禁系统密码应用技术指南

GM/T0054-2018信息系统密码应用基本要求

GM/Z0001-2013密码术语

中国密码学会密评联委会《商用密码应用安全性评估报告模板（2021年版）》

3术语和定义

GM/T0054-2018、GB/T39786-2021、GM/Z0001-2013界定的以及下列术语和定义适用于本文件。

评估服务

在采用商用密码技术、产品和服务集成建设网络和信息系统中，对其密码应用的合规性、正确性、

有效性等进行的评估服务。

商密委员会专家

1

DB

FORMTEXT

3404/T

FORMTEXT

8

—

FORMTEXT

2023

在密码领域、学科具有较深造诣，并在区域内享有较高知名度的专业技术带头人、学者，归口淮南

市密码专家咨询委员会。

服务商

为用户单位提供信息系统中商用密码设备部署、系统集成总体解决方案的服务提供商。

3.4

商用密码咨询机构

为用户单位提供信息系统中商用密码合规方案设计服务的第三方咨询机构，其中：方案设计人员应

具有计算机高级工程师职称和注册信息安全工程师资质。

3.5

测评服务机构

国家密码管理局公布的商用密码应用安全性评估试点机构。

4服务对象

基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务

的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。具体包括：

——基础信息网络：电信网、广播电视网、互联网。

——重要信息系统：能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国

计民生和基础信息资源的重要信息系统。

——重要工业控制系统：核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通

运输、水利枢纽、城市设施等重要工业控制系统。

——面向社会服务的政务信息系统：党政机关和使用财政性资金的事业单位和团体组织使用的面

向社会服务的信息系统。

——规定范围之外的其他网络和信息系统，其责任单位可以自愿开展商用密码应用安全性评估。

5评估内容

合规性评估

判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、

行业标准的有关要求，使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构

认证合格。

正确性评估

判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确，即系统中采用的标准密码算

法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现，自定义密码协议、

密钥管理机制的设计和实现是否正确，安全性是否满足要求，密码保障系统建设或改造过程中密码产品

和服务的部署和应用是否正确。

2

DB

FORMTEXT

3404/T

FORMTEXT

8

—

FORMTEXT

2023

有效性评估

判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用，是否满足了信息

系统的安全需求，是否切实解决了信息系统面临的安全问题。

6服务流程

方案编制

对于新建、改造信息系统，密码应用建设（改造）方案（以下简称：《密码应用方案》）一般由项

目建设单位自行或委托商用密码咨询机构编写，包括：《密码应用解决方案》、《实施方案》和《应急

处置方案》。

方案评审

用户单位编写《密码应用方案》后，自行或委托商用密码咨询机构组织商密委员会专家对方案进行

评审，确保信息系统依据通过专家评审的《密码应用方案》同步建设密码保障系统。

方案应用

涉及市级财政资金建设的等保三级以上信息系统，需向市级数据资源主管部门提供具有商密委专家

评审意见的《密码应用方案》。

系统测评

信息系统建设完成后，由测评服务机构从物理和环境、网络和通信、设备和计算、应用和数据、密

钥管理、安全管理等方面对信息系统进行测评。测评服务机构完成系统评估后，出具密评报告。

项目备案

项目建设单位在密评报告出具之日起30日内，填写《网络与信息系统密评备案信息表》，连同密评

报告报市级密码管理部门履行备案手续。项目建设单位自行开展安全性评估的，需自行履行备案义务；

委托商用密码咨询机构开展安全性评估的，委托商用密码咨询机构具体承担备案工作。

定期测评

在信息系统运行阶段，项目使用单位每年应委托密评机构对系统开展一次密评。若系统约束条件发

生重要变化，项目使用单位需修订密码应用方案，对系统进行升级改造。

7密码应用措施

物理和环境安全

7.1.1部署基于密码技术的电子门禁系统（可参考GB/T37033-2018《信息安全技术射频识别系统

密码应用技术要求》、GM/T0036-2014《采用非接触卡的门禁系统密码应用技术指南》等标准），对

重要物理区域（如计算机集中办公区、设备机房等）出入人员的身份进行鉴别，并对电子门禁系统进出

记录等数据进行完整性保护；

7.1.2部署基于密码技术的视频监控系统，对视频监控音像记录等数据进行完整性保护。

3

DB

FORMTEXT

3404/T

FORMTEXT

8

—

FORMTEXT

20