国家密码管理局文件
国密局发[2009]10号
关于印发《<信息安全等级保护商用密码
管理办法>实施意见》的通知
各省、自治区、直辖市密码管理局,新疆生产建设兵团密码管理局,深圳市密码管理局:
为配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号) 的实施,进一步规范信息安全等级保护商用密码管理工作,我局研究制定了《<信息安全等级保护商用密码管理办法>实施意见》。现印发你们,请认真贯彻执行。
执行中的意见和建议,请及时向我局反馈(联系电话:010-********) 。
2009年12月15日
主题词:商用密码等级保护实施意见通知
抄送:公安部十一局、工业和信息化部信息安全协调司、国家保密局中央和国家机关各部委,国务院各直属机构。
国家密码管理局办公室 2009年lo月29日印发
(共印l000份)
《信息安全等级保护商用密码管理办法》
实施意见
为了配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号) 的实施,进一步规范信息安全等级保护商用密码管理工作,特提出以下意见。
一、使用商用密码对信息系统进行密码保护,应当严格遵守国家商用密码相关政策和标准规范。
二、在实施信息安全等级保护的信息系统中,商用密码应用系统是指采用商用密码产品或者含有密码技术的产品集成建设的,实现相关信息的机密性、完整性、真实性、抗抵赖性等功能的应用系统。
三、商用密码应用系统的建设应当选择具有商用密码相关资质的单位。
四、使用商用密码开展信息安全等级保护应当制定商用密码应用系统建设方案。方案应当包括信息系统概述、安全风险与需求分析、商用密码应用方案、商用密码产品清单、商用密码应用系统的安全管理与维护策略、实施计划等内容。
五、第三级以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施。中央和国家机关各部委第三级信息系统的商用密码应用系统建设方案,由信息系统的责任单位向国家密码管理部门提出评审申请,国家密码管理部门组织专家进行评审。设有密码管理部门的中央和国家机关部委,其第三级信息系统的商用密码应用系统建设方案可由本部门密码管理部门组织专家进行评审。
各省(区、市) 第三级信息系统的商用密码应用系统建设方案,由信息系统的责任单位向所在省(区、市) 密码管理部门提出评审申请,所在省(区、市) 密码管理部门组织专家进行评审。
第四级以上信息系统的商用密码应用系统建设方案,由信息系统
的责任单位向国家密码管理部门提出评审申请,国家密码管理部门组织专家进行评审。
六、第三级以上信息系统的商用密码应用系统建设必须严格按照通过评审的方案实施。需变更商用密码应用系统建设方案的,应当按照上述第五条的要求重新评审,评审通过后方可实施。
七、使用商用密码实施信息安全等级保护,选用的商用密码产品应当是国家密码管理部门准予销售的产品;选用的含有密码技术的产品,应当是通过国家密码管理部门指定测评机构密码测评的产品。
八、第三级以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行。密码测评包括资料审查、系统分析、现场测评、综合评估等。信息系统的责任单位应当将测评结果报相应的密码
管理部门备案。
九、第二级以上信息系统的责任单位,应当填写《信息安全等级保护商用密码产品备案表》,并按照《信息安全等级保护商用密码管理办法》的要求进行备案。
十、第三级以上信息系统的责任单位,应当建立完善的商用密码使用管理制度,保障商用密码应用系统的安全运行。按照密码管理部门的要求办理相关事项。
十一、第三级以上信息系统发生重大变更时,信息系统的责任单位应当将变更情况及时报相应的密码管理部门,并按照密码管理部门的要求办理相关事项。
十二、第三级以上信息系统的商用密码应用系统需要由责任单位以外的单位负责日常维护的,应当选择具有商用密码相关资质的单位。
十三、第三级以上信息系统的责任单位,应当积极配合密码管理部门组织开展的商用密码检查工作。
十四、使用商用密码实施信息安全等级保护,应当符合《信息安全等级保护商用密码技术实施要求》(附后) 。
十五、本意见施行前已建成的第三级以上信息系统的商用密码应用系统,应当按照本意见第八条的要求进行密码测评,并根据密码测评意见实施改造。
十六、本意见所称“以上”包含本级。
附件:《信息安全等级保护商用密码技术实施要求》
信息安全等级保护商用密码技术实施要求
国家密码管理局
2 0 0 9年
引言 (8)
第一章第一级信息系统商用密码技术实施要求 (9)
1.1商用密码技术基本要求 (9)
1.1.1功能要求 (9)
1.1.1.1真实性 (9)
1.1.1.2完整性 (9)
1.1.2密钥管理要求 (9)
1.1.3密码配用策略要求 (9)
1.1.4密码实现机制要求 (9)
1.1.5密码安全防护要求 (9)
1.2商用密码技术应用要求 (10)
1.2.1物理安全 (10)
1.2.2 网络安全 (10)
1.2.3主机安全 (10)
1.2.4应用安全 (10)
1.2.5数据安全及备份恢复 (10)
第二章第二级信息系统商用密码技术实施要求 (11)
2.1商用密码技术基本要求 (11)
2.1.1功能要求 (11)
2.1.1.1真实性 (11)
2.1.1.2机密性 (11)
2.1.1.3完整性 (11)
2.1.3密码配用策略要求 (12)
2.1.3.1密码算法配用策略 (12)
2.1.3.2密码协议使用策略 (12)
2.1.3.3密码设备使用策略 (12)
2.1.4密码实现机制 (12)
2.1.5密码安全防护要求 (12)
2.2商用密码技术应用要求 (12)
2.2.1物理安全 (12)
2.2.2 网络安全 (13)
2.2.3主机安全 (13)
2.2.4应用安全 (13)
2.2.5数据安全及备份恢复 (14)
第三章第三级信息系统商用密码技术实施要求 (15)
3.1商用密码技术基本要求 (15)
3.3.1功能要求 (15)
3.1.1.1真实性 (15)
3.1.1.2机密性 (15)
3.1.1.3完整性 (15)
3.1.1.4抗抵赖性 (16)
3.1.2密钥管理要求 (16)
3.1.3密码配用策略要求 (17)
3.1.3.1密码算法配用策略 (17)
3.1.3.2密码协议使用策略 (17)
3.1.3.3密码设备使用策略 (17)
3.1.4密码实现机制 (17)
3.1.5密码安全防护要求 (17)
3.2商用密码技术应用要求 (18)
3.2.1物理安全 (18)
3.2.2网络安全 (18)
3.2.3主机安全 (18)
3.2.4应用安全 (19)
3.2.5数据安全及备份恢复 (19)
第四章第四级信息系统商用密码技术实施要求 (20)
4.1商用密码技术基本要求 (20)
4.1.1功能要求 (20)
4.1.1.1真实性 (20)
4.1.1.1.2机密性 (20)
4.1.1.3完整性 (21)
4.1.1.4抗抵赖 (21)
4.1.2密钥管理要求 (21)
4.1.3密码配用策略要求 (22)
4.1.3.1密码算法配用策略 (22)
4.1.3.2密码协议使用策略 (22)
4.1.3.3密码设备使用策略 (22)
4.1.4密码实现机制 (23)
4.1.5密码安全防护要求 (23)
4.2商用密码技术应用要求 (23)
4.2.1物理安全 (23)
4.2.2网络安全 (23)
4.2.3主机安全 (24)
4.2.4应用安全 (24)
4.2.5数据安全及备份恢复 (25)
引言
密码技术作为信息安全的基础性核心技术,是信息保护和网络信任体系建设的基础,是实行信息安全等级保护不可或缺的关键技术,充分利用密码技术能够有效地保障信息安全等级保护制度的落实,科学合理地采用密码技术及其产品,是落实信息安全等级保护最为有效、经济和便捷的手段。
国家标准(GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求》(以下简称“《基本要求》”) 规定了对不同安全保护等级信息系统的基本安全要求,对于涉及到身份的真实性、行为的抗抵赖、内容的机密性和完整性的要求项,密码技术都可以直接或间接地为满足这些要求提供支持,因此如何科学合理地应用密码技术对信息系统进行安全保护就成为实施等级保护的关键工作内容,直接影响着信息安全等级保护的全面推进。为此,我们以《商用密码管理条例》和《信息安全等级保护商用密码管理办法》为指导,结合《基本要求》中的相关安全要求项,在《信息安全等级保护商用密码技术要求》的基础上,编制了《信息安全等级保护商用密码技术实施要求》,用以规范使用商用密码实施等级保护的相关技术工作,并为商用密码产品的研发和系统的集成提供依据。
本要求明确了一、二、三、四级信息系统使用商用密码技术来实施等级保护的基本要求和应用要求。在基本要求中根据密码技术的特点,从技术实施上对商用密码应用系统的功能、密钥管理、密码配用、密码实现和密码保护等方面提出了相关要求和规定。在应用要求中,从应用密码技术来实现相应等级的物理安全、网络安全、主机安全、应用安全和数据安全提出了要求。为方便使用,我们将各级信息系统的商用密码需求和相关技术实施要求按照不同安全等级集中进行编排。
第一章第一级信息系统商用密码技术实施要求
1.1商用密码技术基本要求
1.1.1功能要求
1.1.1.1真实性
第一级信息系统使用商用密码进行真实性保护时,应提供以下功能;
1) 提供基于实体的身份标识和鉴别服务;
2) 为访问网络设备提供身份鉴别服务;
3) 为登录操作系统和数据库提供身份鉴别服务;
4) 为访问应用系统提供身份鉴别服务;
5) 向访问控制系统提供身份真实性的凭证。
1.1.1.2完整性
第一级信息系统使用商用密码进行完整性保护时,应提供以下功能;
1) 应提供数据完整性校验服务;
2) 为通信过程和数据传输提供完整性校验服务;
