GB/T 43206—2023信息安全技术信息系统密码应用测评要求

最新推荐文章于 2025-02-19 16:00:00 发布
最新推荐文章于 2025-02-19 16:00:00 发布
阅读量865 收藏 16
点赞数 9
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hao_wujing/article/details/145193373
版权

大家读完觉得有帮助记得关注和点赞!!!

一、范围


本文件规定了信息 系 统 第 一 级 到 第 四 级 密 码 应 用 的 通 用 测 评 要 求 、技 术 测 评 要 求 、管 理 测 评 要 求 ,并给出了整体测评要求 、风险分析和评价 、测评结论的要求 。

注 : 本文件描述的信息系统密码应用等级与 GB/T 39786—2021规定的密码应用等级一致 ,其中第五级密码应用的 测评要求不在本文件中描述 。

本文件适用于指导 、规范信息系统密码应用安全性评估工作中的测评活动 。

二、规范性引用文件


下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中 , 注 日期的引用文 件 ,仅该日期对应的版本适用于本文件 ;不注日期的引用文件 ,其最新版本(包括所有的修改单) 适用于 本文件 。

GB/T 25069—2022 信息安全技术 术语

GB/T 39786—2021 信息安全技术 信息系统密码应用基本要求

GM/Z 4001 密码术语

三、术语和定义


GB/T 25069—2022、GB/T 39786—2021 和 GM/Z 4001 界 定 的 以 及 下 列 术 语 和 定 义 适 用 于 本 文件 。

3. 1密码应用安全性评估人员


commercialcryptography application security evaluation staff

通过国家密码管理部 门 认 可 的 考 核 或 具 有 密 码 技 术 应 用 员 、密 码 工 程 技 术 人 员 职 业 技 能 等 级 证 书 ,从事密码应用安全性评估的人员 。

注 : 简称 “密评人员 ”。

3.2 核查

examine


密评人员对测评对象进行访谈 、文档审查 、实地查验和分析 , 以帮助密评人员理解 、澄清或取得证据 的过程 。

注 : 核查时可选用的测评方式以及方式的选用说明参考 GM/T 0116—2021。

[来源 :GB/T 25069—2022,3. 237,有修改]

3.3 测评单元

unitoftesting and evaluation
一组相对独立和完整的测评内容 , 由测评指标 、测评对象 、测评实施和结果判定组成 。

3.4 测评指标

indexoftesting and evaluation
测评单元中第一级到第四级密码应用测评的具体要求 。

3.5测评对象

targetoftesting and evaluation
测评单元中密码应用的测评实施对象 。

注 : 主要包括物理安防设施 、通信信道 、密码产品 、通 用 设 备 、应 用 、重 要 数 据 、人 员 、制 度 文 档 等 。测 评 对 象 基 于 密 码应用方案和信息系统保护目标的实际安全需求确定 ,具体确定方法参考 GM/T 0116—2021。

四、通则


本文件对信息系统各密码应用等级的测评指标以 “应 ”“宜 ”“可 ”方式进行描述 ,密评人员在开展实 际测评时 ,按照如下方法确定是否纳入测评和结果判定范围 。

a) 对于 “应 ”的条款 , 密评人员应按照第 6 章和第 7 章中相应的测评指标要求进行测评 和 结 果 判定 。

如根据信息系统的密码应用方案和方案评估意见 , 密评人员应判定信息系统确实不存在与测 评指标相关的密码应用需求 ,则相应测评指标为 “不适用 ”;否则 ,相关条款纳入测评和结果判 定范围 。

b) 对于 “宜 ”的条款 ,密评人员应确认信息系统是否具有已通过评估的密码应用方案 。

1)  如信息系统没有通过评估的密码应用方案 ,或方案评估意见中未对 “不适用 ”项作出明确 说明 ,则 “宜 ”的条款纳入测评和结果判定范围
 2)  如信息系统有已通过评估的密码应用方案 ,且方案评估意见中对 “宜 ”条款作出了明确说 明 ,则密评人员应根据信息系统的密码应用方案和方案评估意见决定是否纳入测评和结 果判定范围 。

–如纳入测评和结果判定范围 ,则密评人员应按照第 6 章和第 7 章相应的测评指标要 求进行测评和结果判定 。

–如未纳入测评和结果判定范围 ,且判定信息系统确实不存在与测评指标相关的密码 应用需求时 ,则相应测评指标为 “不适用 ”。

–如未纳入测评和结果判定范围 ,但信息系统有与测评指标相关的密码应用需求 ,密评 人员应根据信息系统的密码应用方案和方案评估意见 ,在测评中进一步核实该信息 系统是否满足密码应用方案描述的风险控制措施使用条件 ,且信息系统的实施情况 与所描述的风险控制措施是否一致 ,并在密码应用安全性评估报告中体现核实过程 和结果 。如满足使用条件且风险控制措施一致 ,该测评指标为 “不适用 ”;如不满足使 用条件或风险控制措施不一致 ,密评人员应按照第 6 章和第 7 章中相应的测评指标 要求进行测评和结果判定 。

c) 对于 “可 ”的条款 , 由信息系统责任方自行决定是否纳入测评和结果判定范围 。

1)  如信息系统责任方确认纳入测评和结果判定范围 ,且密评人员经核实后判定信息系统不 存在与测评指标相关的密码应用需求 ,则密评人员应在密码应用安全性评估报告中体现 核实过程和结果 ,相应测评指标为 “不适用 ”。
2)  如信息系统责任方确认纳入测评和结果判定范围 ,且密评人员经核实后判定信息系统存 在与测评指标相关的密码应用需求 ,则密评人员应按照第 6 章和第 7 章中相应的测评指 标要求进行测评和结果判定 。

如信息系统通过评估的密码应用方案要求高于其自身对应等级的测评指标要求 ,则密评人员应按 照密码应用方案要求进行测评 。例如 ,密码应用方案要求第三级的信息系统部分指标按照第四级进行 规划 、建设 、运行 ,则对 应 指 标 按 照 密 码 应 用 等 级 第 四 级 进 行 测 评 , 并 在 密 码 应 用 安 全 性 评 估 报 告 中 记录 。

五、 通用测评要求


5.1密码算法


5.1.1 测评指标


信息系统中使用的密码算法符合法律 、法规的规定和密码相关国家标准 、行业标准的有关要求(适用于第一级到第四级) 。

5.1.2 测评对象


信息系统中使用的密码算法 。

5.1.3 测评实施


了解信息系统中使用的密码算法的名称 、用途 、何处使用 、执行设备及其实现方式(软件 、硬件或固件) ,核查信息系统中使用的密码算法是否符合法律法规的规定和密码相关国家标准 、行业标准的有关要求 。

5.2 密码技术


5.2. 1 测评指标


信息系统中使用的密码技术应遵循密码相关国家标准和行业标准(适用于第一级到第四级) 。

5.2.2 测评对象

信息系统中使用的密码技术 。

5.2.3 测评实施


了解信息系统中使用的密码技术的名称、用途、何处使用、执行设备及其实现方式(软件、硬件或固件) ,核查信息系统中使用的密码技术是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求。

5.3 密码产品


5.3. 1 测评指标


本单元测评指标如下 。
信息系统中使用的密码产品符合法律法规和密码相关国家标准 、行业标准的相关要求(适用于第一级到第四级) 。
信息系统中使用的密码产品如遵循密码模块相关标准 ,则应 :
— 达到密码模块安全等级一级及以上安全要求(适用于第二级) ;

— 达到密码模块安全等级二级及以上安全要求(适用于第三级) ;

— 达到密码模块安全等级三级及以上安全要求(适用于第四级) 。

5.3.2 测评对象


信息系统中使用的密码产品 。

5.3.3 测评实施


了解信息系统中使用的密码产品的型号和版本等配置信息 ,
核查密码产品是否经商用密码认证机构认证合格 ,
并核查密码产品的使用是否满足其安全运行的条件 ,例如其安全策略或使用手册说明的部署条件 。
遵循了密码模块相关标准的密码产品,还要核查其是否满足密码模块相应安全等级及以上安全要求 。


5.4 密码服务


5.4. 1 测评指标


信息系统中使用的密码服务符合法律法规的相关要求(适用于第一级到第四级) 。

5.4.2 测评对象


信息系统中使用的密码服务 。

5.4.3 测评实施


核查信息系统中使用的密码服务是否符合法律法规的相关要求 。

5.5 密钥管理


5.5. 1 测评指标


本单元测评指标如下 :
— 信息系统密钥管理使用的密码产品 、密码服务符合法律法规和密码相关国家标准 、行业标准的要求(适用于第一级到第四级) ;
— 信息系统密钥管理应符合密码相关国家标准和行业标准的要求(适用于第一级到第四级) 。

5.5.2 测评对象


信息系统密钥管理使用的密码产品 、密码服务以及密钥管理实现 。

5.5.3 测评实施


本单元测评实施如下 :
a) 核查密钥管理使用的密码产品 、密码服务是否满足 5. 3 和 5. 4 的要求 ;
b) 核查信息系统密钥管理实现是否安全 、正确 、有效 。例如 :非公开密钥是否能被非授权访问 、使 用 、泄露 、修改和替换 ,公开密钥是否能被非授权修改和替换 。详细测评实施要点可见附录 A。

六、技术测评要求


6.1物理和环境安全


6.1.1 身份鉴别


6.1.1.1 测评指标


本单元测评指标如下 :
— 可采用密码技术进行物理访问身份鉴别 ,保证重要区域进入人员身份的真实性(适用于第 一 级) ;
— 宜采用密码技术进行物理访问身份鉴别 ,保证重要区域进入人员身份的真实性(适用于第二级 到第三级) ;
— 应采用密码技术进行物理访问身份鉴别 ,保证重要区域进入人员身份的真实性(适用于第四 级) 。

6.1.1.2 测评对象


信息系统所在机房等重要区域及其电子门禁系统 。

6.1.1.3 测评实施


本单元测评实施如下(涉及的密码功能和密码产品应用的测评技术可分别见附录 B 和附录 C) :
a) 核查是否符合 5. 1 和 5. 2 的要求 ;
b) 核查是否符合 5. 3、5. 4 和 5. 5 的要求 ;
c) 核查电子门禁系统是否采用基于对称密码算法或密码杂凑算法的消息鉴别码机制 、基于公钥 密码算法的数字签名机制等密码技术对重要区域进入人员进行身份鉴别 ,并验证进入人员身 份真实性实现机制是否正确和有效 。

6.1.1.4 结果判定


本单元可能涉及多个测评对象 。
对于单个测评对象 ,

如果 6. 1. 1. 3测评结果均为是 ,则该测评对象符合本单元的测评指标要求 ;
如果 6.1.1.3c) 测评结果为否,则不符合本单元的测评指标要求;
否则,部分符合本单元的测评指标要求。
本单元如只涉及单个测评对象 ,

单个测评对象的测评结果即为本单元的测评结果 。
本单元如涉及多个测评对象 ,对本单元涉及的所有测评对象的判定结果进行汇总 。

如果判定结果均为符合 ,则本单元的测评结果为符合 ;
如果判定结果均为不符合 ,则本单元的测评结果为不符合 ;
否 则 ,本单元的测评结果为部分符合 。


6.1.2 电子门禁记录数据存储完整性


6.1.2.1 测评指标


本单元测评指标如下 :
— 可采用密码技术保证电子门禁系统进出记录数据的存储完整性(适用于第一级到第二级) ;
— 宜采用密码技术保证电子门禁系统进出记录数据的存储完整性(适用于第三级) ;
— 应采用密码技术保证电子门禁系统进出记录数据的存储完整性(适用于第四级) 。

6.1.2.2 测评对象


信息系统所在机房等重要区域及其电子门禁系统 。

6.1.2.3 测评实施


本单元测评实施如下(涉及的密码功能和密码产品应用的测评技术可分别见附录 B 和附录 C) :
a) 核查是否符合 5. 1 和 5. 2 的要求 ;
b) 核查是否符合 5. 3、5. 4 和 5. 5 的要求 ;
c) 核查是否采用基于对称密码算法或密码杂凑算法的消息鉴别码机制 、基于公钥密码算法的数字签名机制等密码技术对电子门禁系统进出记录数据进行存储完整性保护 ,并验证完整性保护机制是否正确和有效 。

6.1.2.4 结果判定


本单元可能涉及多个测评对象 。
对于单个测评对象 ,

如果 6. 1. 2. 3测评结果均为是 ,则该测评对象符合本单元的测评指标要求 ;
如果 6.1.2.3c) 测评结果为否,则不符合本单元的测评指标要求;
否则,部分符合本单元的测评指标要求。
本单元如只涉及单个测评对象 ,

单个测评对象的测评结果即为本单元的测评结果 。
本单元如涉及多个测评对象 ,对本单元涉及的所有测评对象的判定结果进行汇总 。

如果判定结果 均为符合 ,则本单元的测评结果为符合 ;
如果判定结果均为不符合 ,则本单元的测评结果为不符合 ;
否 则 ,本单元的测评结果为部分符合 。


6.1.3 视频监控记录数据存储完整性


6.1.3.1 测评指标


本单元测评指标如下 :
— 宜采用密码技术保证视频监控音像记录数据的存储完整性(适用于第三级) ;
— 应采用密码技术保证视频监控音像记录数据的存储完整性(适用于第四级) 。

6.1.3.2 测评对象


信息系统所在机房等重要区域及其视频监控系统 。

6.1.3.3 测评实施


本单元测评实施如下(涉及的密码功能和密码产品应用的测评技术可分别见附录 B 和附录 C) :
a) 核查是否符合5. 1 和 5. 2的要求 ;
b) 核查是否符合 5. 3、5. 4 和 5. 5 的要求 ;
c) 核查是否采用基于对称密码算法或密码杂凑算法的消息鉴别码机制 、基于公钥密码算法的数字签名机制等密码技术对视频监控音像记录数据进行存储完整性保护 ,并验证完整性保护机制是否正确和有效 。

6.1.3.4 结果判定


本单元可能涉及多个测评对象 。
对于单个测评对象 ,

如果 6. 1. 3. 3测评结果均为是 ,则该测评对象符合本单元的测评指标要求 ;
如果6.1.3.3c)测评结果为否,则不符合本单元的测评指标要求;
否则,部分符合本单元的测评指标要求。
本单元如只涉及单个测评对象 ,

单个测评对象的测评结果即为本单元的测评结果 。
本单元如涉及多个测评对象 ,对本单元涉及的所有测评对象的判定结果进行汇总 。

如果判定结果 均为符合 ,则本单元的测评结果为符合 ;
如果判定结果均为不符合 ,则本单元的测评结果为不符合 ;
否 则 ,本单元的测评结果为部分符合 。

6.2 网络和通信安全


6.2. 1 身份鉴别


6.2.1.1 测评指标


本单元测评指标如下 :
— 可采用密码技术对通信实体进行身份鉴别 ,保证通信实体身份的真实性(适用于第一级) ;
— 宜采用密码技术对通信实体进行身份鉴别 ,保证通信实体身份的真实性(适用于第二级) ;
— 应采用密码技术对通信实体进行身份鉴别 ,保证通信实体身份的真实性(适用于第三级) ;
— 应采用密码技术对通信实体进行双向身份鉴别 ,保证通信实体身份的真实性(适用于第四级) 。

6.2.1.2 测评对象


信息系统与网络边界外建立的网络通信信道 , 以及提供通信保护功能的设备或组件 、密码产品等 。

6.2.1.3 测评实施


本单元测评实施如下(涉及的密码功能和密码产品应用的测评技术可分别见附录 B 和附录 C) :
a) 核查是否符合 5. 1 和 5. 2 的要求 ;
b) 核查是否符合 5. 3、5. 4 和 5. 5 的要求 ;
c) 核查是否采用基于对称密码算法或密码杂凑算法的消息鉴别码机制 、基于公

最低0.47元/天 解锁文章
hao_wujing
关注
GB/T 43206-2023 信息安全技术 信息系统密码应用测评要求》解读
weixin_43156294的博客
04-29 1009
随着信息化进程的加速推进和网络安全形势的日益严峻,密码技术作为信息安全的核心支撑手段,其在信息系统中的正确、合理、有效应用至关重要。而《测评要求》作为配套标准,进一步细化了密码应用测评指标、方法和流程,为组织机构、测评机构及监管机构进行密码应用合规性检查、安全性评估及持续改进提供了明确的操作指南。该标准旨在为各类信息系统在规划、建设和运行过程中,对其密码应用的安全性、合规性和有效性提供权威、统一的测评依据,以确保信息系统密码防护能力达到国家规定的标准,有效抵御潜在的安全威胁,保障信息资产的安全。
1.信息系统密码应用测评要求.pdf
12-09
本文件规定了信息系统不同等级密码应用测评要求,从密码算法和密码技术合规性、密钥管理安全性方面,提出了第一级到第五级的密码应用通用测评要求;从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个技术层面提出了第一级到第四级密码应用技术测评要求;从管理制度、人员管理、建设运行和应急处置等四个管理方面提出了第一级到第四级密码应用管理的测评要求。 本文件适用于指导、规范信息系统密码应用在规划、建设、运行环节的商用密码应用安全性评估工作。
《GB∕T 43206-2023 信息安全技术 信息系统密码应用测评要求》介绍,4月1日起正式施行
最新发布
daopuyun的博客
02-19 222
因此,密评服务的客户群体包括但不限于关键信息基础设施运营者(如电信、能源、交通、金融等领域核心系统)、大型企业与机构(如银行、互联网公司、医疗保健机构等)、政府机关与公共部门(各级政府、事业单位及其处理政务数据、公民信息、公共服务数据的系统)、第三方服务提供商(云计算、大数据平台等)、中小型企业(处理敏感信息或依赖信息系统的核心业务)、特定行业与领域(如国防、电力、电商、在线支付等)。《密码法》明确规定,未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告。
GB/T 432062023信息安全技术信息系统密码应用测评要求(二)
千寻的博客
11-10 1464
第五章-第六章节
信息系统密码应用测评要求 学习
qq_41619455的博客
08-11 1864
学习
信息系统密码应用测评与安全要求指南
weixin_33481022的博客
09-24 1868
本文还有配套的精品资源,点击获取 简介:《信息系统密码应用测评要求》是关于密码技术信息系统应用和安全评估的重要文档。该文档详细规定了商用密码技术使用规范、安全评估标准及实施准则,包括密码策略、加密算法选择、密钥管理、密码模块、身份验证、数据完整性、隐私保护、安全审计、应急响应以及法律法规遵循等要点。目的是确保信息系统的安全性、可靠性和合规性,指导企业构建和优化密码管理体系...
信息系统密码应用测评要求.rar
02-26
信息系统密码应用测评要求.rar
信息安全技术 信息系统密码应用基本要求.pdf
08-12
信息安全技术 信息系统密码应用基本要求.pdf
信息系统密码应用测评过程指南.pdf
03-23
这份指南参考了多项国内外关于信息安全密码技术测评实践的标准和规范,如《信息安全技术 信息系统密码应用基本要求》、《信息安全技术 信息系统安全等级保护基本要求》等,确保了测评的合规性和权威性。...
gb/t39786 二级三级四级 物理 网络 设备 应用 不同等级之间的对比
10-02
有效性评估:密评三级和四级共同要求信息系统中的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制不仅设计合理,在系统运行过程中,能够发挥密码作用,保障信息的机密性、完整性、真实性、不可否认性。
国家密码局 密评资料 GM:T 0054 信息系统密码应用基本要求.pdf
10-29
密码技术作为网络安全的基础性核心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技术。 本标准主要从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出了等级保护不同级别的密码技术应用要求,明确了等级保护不同级别的密钥管理和安全管理要求。 本标准中,“密码”是指“商用密码”。 本标准文木中,“可”表示可以、允许,是陈述型描述,表示在标准的界限内所允许的条款;“宜”表示推荐、建议,是推荐型描述,表示该条款是首选但不是必须要求;“应”表示应该、要求,是要求型描述,表明符合标准需要满足的要求。
GMT 0054-2018 信息系统密码应用基本要求.pdf
04-17
2018年2月发布,国家密码局GMT 0054-2018 信息系统密码应用基本要求,信息系统密码安全测评参考文件。
信息安全技术 信息系统密码应用基本要求(征求意见稿).doc
09-28
信息系统密码应用基本要求已经提升为国家标准,这个是国家标准《信息安全技术 信息系统密码应用基本要求》的征求意见稿,希望对大家能够有用!
GM-T 0028-2012 密码模块安全技术要求.pdf
11-21
本标准针对用于保护计算机和电信系统内敏感信息的安全系统所使用的密码模块,规定了安全要求,本标准为密码模块定义了4个安全等级,以满足敏感数据以及众多应用领域的、不同程度的安全需求,针对密码模块的11个安全域,本标准分别给出了四个安全等级的对应要求,高安全等级在低安全等级的基础上进一步提高了安全性
信息系统密码应用基本要求_商用密码应用安全性评估的具体评估内容
热门推荐
weixin_39989875的博客
12-04 1万+
如何合规、正确、有效使用商用密码,充分发挥商用密码在保障网络空间安全中的核心技术和基础支撑作用,关乎国家大局、关乎网络空间安全、关乎用户个人隐私。因此,要在保证商用密码应用大力推进和普及的同时,做好网络信息系统的商用密码应用安全性评估,确保商用密码应用的合规、正确、有效。《中华人民共和国密码法》于2020年1月1日正式实施,其中明确了开展商用密码应用安全性评估(以下简称密评)。密评工作...
密码应用方案测评要点及测评过程
ryanzzzzz的博客
04-08 2716
按照GB/T 39786中物理和环境安全对应等级的密码应用基本要求和实际环境的具体需求,对信息系统所在的机房等重要区域、电子门禁记录数据和视频监控记录数据进行密码应用设计,包括选择的密码技术和标准、采用的密码设备、密码设备的部署位置和方式、密码设备的使用和管理等内容。按照GB/T 39786中设备和计算安全对应等级的密码应用基本要求和实际环境的具体需求,对需要保护的对象进行密码应用设计,包括选择的密码技术和标准,设计必要的数据结构、采用的密码设备或模块、密码设备的部署位置和方式、密码设备的使用和管理内容。
《商用密码应用与安全性评估》第四章密码应用安全性评估实施要点4.3密码测评要求与测评方法
qq_40442137的博客
06-02 8777
密码测评要求与测评方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值