密码安全标准解读（三级）

一、标准GT/B 39786-2021中对“应、宜、可”是怎么理解的，分别代表什么含义？

1、应”代表的是必须按照测评指标要求进行测评和结果判定，除非“不适用”（应该测评的项客户必须测评，除非不适用）

不适用可理解为：必须按照要求指标进行建设测评，没有商量的余地，除非此项不适用于该系统；不适用指的是保护对象不存在或安全需求不存在。如过不对信息安全资源进行标记，则保护对象不存在，测评时该项就会被视为不适用。采用现有的密码技术难以实现此项测评要求的被视为“不适用”，对于此类问题要说明难以实现的原因和采用的密码技术以外的风险控制措施。

2、“宜”代表应该根据信息系统的“密码技术方案”和“方案评审意见”决定是否把此项做为测评项（如果此项不想测评就必须在方案中写清楚原因，且经过专家评审认可后，此项才可不作为测评项，做不做取决于专家的评审意见）

3、“可”代表的测评项可由单位自行决定是否纳入测评的标准范围（用户由自主决定权，此项做不做客户自己说了算）

二、密评的定级和密评（测评）范围的界定根据什么来划定的？

       业务系统的定级遵循等保级别，如果此系统定三级等保，那么密评时该系统同样定为密评的三级系统；业务系统的测评范围遵循等保时业务系统的测评范围，如果等保测评时有多个子系统，同样密评时需要测试这些子系统。

三、测评对象和测评范围的理解

1、网络和通信安全层面的测评对象主要是针对跨网络传输的通信信道。可以是客户端与服务器之间，移动端与服务器之间，也可以是服务端与服务端。

2、设备和计算层面的测评对象主要包括通用服务器（如应用服务器、数据库服务器）、数据库管理系统、密码产品和堡垒机等。交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备一般不作为设备和计算层面的测评对象。

3、应用和数据安全层面的测评对象主要应包含关键业务应用，具体参考通过评估的密码应用方案设定的范围确定。如无密码应用方案，应根据网络安全等级保护定级报告描述的范围确定。关键业务应用一般情况下应包含被测系统的所有业务应用，关键业务应用中的关键数据一般包含但不限于以下数据：鉴别数据、重要业务数据、重要审计数据、个人敏感信息以及法律法规规定的其他重要数据类型。

四、密评标准解读（第三级）

（一）物理和环境安全要求解读

1、宜采用密码技术进行物理访问身份鉴别，保证重要区域进入人员身份的真实性；（身份鉴别在测评时为高风险项，必须消除掉）

2、宜采用密码技术保证电子门禁系统进出数据记录的存储完整性；

3、宜采用密码技术保证视频监控音像记录的存储完整性。

应对措施-10分：部署一套国密的电子门禁系统和一套国密的视频监控系统，可得10分。

缓解措施-0分：原有或新部署的门禁系统带生物技术识别，如指纹识别、人脸识别等；或者在机房进出入口安排专人24小时值守，并做好机房的出入登记且机房部署的有视频监控系统。

（二）网络和通信安全要求解读

1、应采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性；（高风险项）

身份鉴别应对措施1：通过部署SSL VPN和IPsec VPN实现，PC端采用国密Ukey（内含国密证书）+VPN客户端来实现身份鉴别，移动端通过在移动AAP上面集成手机盾的SDK+国密数字证书来实现身份鉴别。

2、宜采用密码技术保证通信过程中数据的完整性；

数据的完整性：通过部署SSL VPN或IPSEC VPN来实现。

3、应采用密码技术保证通信过程中重要数据的机密性；（高风险项）

数据的机密性：通过部署SSL VPN或IPSEC VPN来实现。

4、宜采用密码技术保证网络边界访问控制信息的完整性；（VPN访问控制列表）

访问控制列表的完整性：指边界产品的访问控制措施，当前仅将VPN纳入测评范围，有合理的VPN访问控制列表即可，其它产品未纳入测评范围。

5、可采用密码技术对从外部连接到内部网络的设备进行接入认证，确保接入的设备身份真实性。（密评三级不适用，适用于第四级密评系统）

接入设备认证：三级系统不适用，适用于四级系统的测评，目的是为了保证接入系统的真实性。

（三）设备和计算安全要求解读

1、应采用密码技术对登录设备的用户进行身份鉴别，保证用户身份的真实性；（高风险项）

身份鉴别应对措施：通过国密USBkey(含数字证书)+SSLVPN客户端应对，先登录VPN客户端，再登陆堡垒机来运维，进行相关设备的运维审计。

2、远程管理设备时，应采用密码技术建立安全的信息传输通道；（高风险项）

远程运维通道：通过SSLVPN建立安全传输的通道，再由堡垒机通过SSH协议进行设备管理和运维。（堡垒机到被运维设备也必须采用安全加密的传输通道，目前SSH只是一个能通过的例子）

3、宜采用密码技术保证系统资源访问控制信息的完整性；（不适用，如设备操作系统的访问控制权限、系统文件目录的访问控制列表、数据库中数据访问控制列表，因设备和系统的技术架构原因，当前不具备改造条件）

访问控制信息的完整性：此项不适用，设备和操作系统的访问控制列表因当前技术原因难以实现。

4、宜采用密码技术保证设备中的重要信息资源安全标记的完整性；（不适用）

安全标记的完整性：不适用。

5、宜采用密码技术保证日志记录的完整性；（日志审计+服务器密码机来加密存储日志）

日志记录的完整性：日志审计+服务器密码机，由日志审计调用服务器密码机的API接口对日志的完整性进行保护。

6、宜采用密码技术对重要可执行程序进行完整性保护，并对其来源进行真实性验证；（不适用，重要程序、关键系统文件，因设备和系统的技术架构原因，当前不具备改造条件）

可执行程序的完整性和真实性：不适用，设备和操作系统的重要可执行程序的完整性验证因当前技术问题难以实现。

（四）应用和数据安全标准解读

1、应采用密码技术对登录用户进行身份鉴别，保证应用系统用户身份的真实性；（高风险性）

身份鉴别应对措施1：通过国密USBKey（包含国密证书）结合SSLVPN安全网关对业务系统登录用户进行身份鉴别；（0分）

身份鉴别应对措施2：调用签名验签服务器的API接口，对使用USBkey登录业务系统的用户进行身份鉴别，USBkey可以换成手机短信或其它指纹特征，这里的业务系统需要对接开发。

2、宜采用密码技术保证信息系统应用的访问控制信息的完整性；（服务器密码机）

访问控制信息的完整性：调用服务器密码机的API接口对业务系统的访问控制列表进行完整性保护，业务系统需要对接开发。

3、宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性；（不适用）

安全标记的完整性：不适用

4、应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性；（高风险）

传输的机密性：通过部署VPN实现，提供安全的传输通道；或者服务器上面部署国密的SSL服务器证书，运维人员、工作人员通过HTTPS协议（高安全的加密算法）登录业务系统，实现PC端在B/S模式下重要数据传输的机密性和完整性。

5、应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性；（高风险）

存储的机密性：通过调用服务器密码机的API接口对业务系统重要数据的存储进行机密性保护。

6、宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性；

传输的完整性：通过部署VPN实现，提供安全的传输通道；或者服务器上面部署国密的SSL服务器证书，运维人员、工作人员通过HTTPS协议（高安全的加密算法）登录业务系统，实现PC端在B/S模式下重要数据传输的机密性和完整性。

7、宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性；

存储的完整性：通过调用服务器密码机的API接口对业务系统重要数据存储过程中的完整性进行保护。

8、在可能涉及法律责任认定的应用中，宜采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为的不可否认性和数据接收行为的不可否认性。

不可否认性：采用电子签章+时间戳服务器实现，通过数字签名技术对数据发送方和数据接收方做不可否认性验证；仅适用于具有电子公文、电子合同、电子投标、电子医嘱等应用场景。