《信息安全等级保护商用密码技术要求》使用指南

《《信息安全等级保护商用密码技术要求》使用指南》由会员分享，可在线阅读，更多相关《《信息安全等级保护商用密码技术要求》使用指南（109页珍藏版）》请在装配图网上搜索。

1、信息安全等级保护商用密码技术要求使用指南使用指南编写组目 录一、引言5二、密码框架保护91、信息系统密码保护框架92、密码保护技术体系102.1、密码基础设施132.2、密码设备132.3、密码服务132.4、密码技术支撑的安全服务14三、密码保护实施要求161、集成单位选择162、方案设计、产品选型与集成实施162.1商用密码系统建设方案的设计162.2产品选用172.3商用密码系统建设方案的实施173、系统安全测评174、日常维护与管理195、安全监督检查19附录一：第一级信息系统密码保护201、第一级基本技术要求中的密码技术应用需求分析201.1物理安全201.2网络安全201.3主机安

2、全211.4应用安全211.5数据安全及备份恢复221.6总结222、密码通用技术要求232.1功能要求232.2密钥管理要求232.3密码配用策略要求242.4密码实现机制242.5密码安全防护要求243、典型示例243.1信息系统概述243.2密码保护需求243.3密码保护系统设计243.4密码保护系统部署25附录二：第二级信息系统密码保护271、第二级基本技术要求中的密码技术应用需求分析271.1物理安全271.2网络安全271.3主机安全281.4应用安全291.5数据安全及备份恢复301.6总结312、密码通用技术要求312.1功能要求312.2密钥管理要求322.3密码配用策略要求

3、332.4密码实现机制332.5密码安全防护要求333、典型示例343.1信息系统概述343.2密码保护需求343.3密码保护系统设计343.4密码保护系统部署36附录三：第三级信息系统密码保护371、第三级基本技术要求中的密码技术应用需求分析371.1物理安全371.2网络安全371.3主机安全391.4应用安全401.5数据安全及备份恢复421.6总结432、密码通用技术要求432.1功能要求432.2密钥管理要求452.3密码配用策略要求462.4密码实现机制472.5密码安全防护要求473、典型示例483.1信息系统概述483.2密码保护需求483.3密码保护系统设计503.4密码保护

4、系统部署51附录四：第四级信息系统密码保护541、第四级基本技术要求中的密码技术应用需求分析541.1物理安全541.2网络安全541.3主机安全561.4应用安全581.5数据安全及备份恢复601.6总结612、密码通用技术要求622.1功能要求622.2密钥管理要求642.3密码配用策略要求662.4密码实现机制662.5密码安全防护要求663、典型示例673.1防伪税控系统概述673.2密码保护需求683.3密码保护系统设计703.4密码保护系统部署72附录五：第一至四级基本技术要求中的密码技术应用需求汇总74一、引言 信息安全等级保护制度是国家信息安全保障工作的基本制度。为了切实推进信

5、息安全等级保护工作，公安部、国家保密局、国家密码管理局和原国务院信息办联合会签并印发了信息安全等级保护管理办法（公通字200743号），编制了信息系统安全建设和改造过程中使用的主要标准之一信息系统安全等级保护基本要求（以下简称基本要求），从管理和技术两个方面来规范和促进信息安全等级保护制度的全面落实。基本要求根据现有技术的发展水平，提出和规定了不同安全保护等级信息系统的基本安全要求，包括基本技术要求和基本管理要求，用于指导不同安全等级信息系统的安全建设和监督管理。基本要求的实现涉及到多种安全技术，密码技术作为信息安全的基础性技术，是信息保护和网络信任体系建设的基础，是实行等级保护不可或缺的技术

6、，充分利用密码技术能够有效地保障信息安全等级保护制度的有效落实。在信息系统的安全保障中，根据实际的安全需求，科学合理地采用密码技术及其产品，是解决信息系统安全问题以满足基本要求的最为有效、经济和便捷的手段。在基本要求中，各级信息系统安全保护的基本技术要求分别从物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复五个层面提出，并在每一层面给出了相应的安全控制点和安全要求项。其中，一些要求项明确指出必须利用密码技术来实现，而另一些要求则需依靠密码技术的支撑来实现。总之，对于涉及到身份的真实性、行为的抗抵赖、内容的机密性和完整性的要求项，密码技术都可以直接或间接地为这类要求项的实现提供支持。常

7、用的密码技术主要包括加密、校验字符系统、消息鉴别码、密码校验函数、散列函数、数字签名、动态口令、数字证书和可信时间戳等。密码技术通过如下密码服务来为安全要求项的实现提供支持：l 机密性服务：通过加密和解密数据，防止数据的未授权泄露。数据包括存储数据、传输数据和流量信息。l 完整性服务：通过检测、通知、记录和恢复数据修改，防止数据的未授权修改。数据修改包括改值/替换、插入、删除/丢失、重复/复制、变序/错位等。l 真实性服务：通过标识和鉴别活动主体的身份，防止身份的冒用和伪造。l 抗抵赖服务：通过提供行为证据，防止活动主体否认其行为。证据内容包括行为主体、行为方式、行为内容和行为时间等。 密码技

8、术与其提供密码服务的关系如表1所示：密码技术提供的密码服务密码服务机密性完整性真实性抗抵赖密码技术加密校验字符系统消息鉴别码（MAC）密码校验函数散列函数（Hash）数字签名动态口令数字证书可信时间戳表1 密码技术与密码服务的关系 密码技术具有以下方面的优势：l 坚实的理论基础：数学是密码技术的理论支撑，因而决定了其坚实的理论基础。l 长久的实践考验：密码技术具有悠久的历史，是一门久经实践考验的技术。l 经济的实现途径：擅长计算的计算机系统为密码技术提供了性价比最佳的实现平台。l 有效的运行机制：严谨的密码运行和管理体系为密码技术作用的有效发挥提供了良好保证。l 便捷的使用方法：简洁的密码使用

9、接口为密码使用者提供了极大的方便。 在等级保护中使用密码技术时，应考虑以下因素：l 保护能力：应达到给定信息安全保护等级的基本技术要求。l 运行环境：应与所保护信息系统的运行环境相适应，包括基础设施、人员素质等方面。l 操作影响：应最小化对信息系统既定操作的影响，包括流程、性能等方面。l 实施成本：应平衡建设/运行/维护成本和所获得的效益。l 整体协调：应从组织的信息安全系统的整体角度协调所集成的安全技术和产品，包括如果一个组织存在不同安全等级的信息系统，当较低级别的信息系统可以在不附加更多成本的情况下能够直接利用且不影响为较高级别的信息系统所提供的安全机制时，应选择共享较高级别的安全机制，而

10、不必再另外建设较低级别的安全机制。 从上面的分析可见，对信息系统实施等级保护，需要大量采用密码技术，而且许多安全需求只有使用密码技术才能得到满足，因此如何科学合理地应用密码技术来满足对信息系统的安全保护需求成为实施等级保护的关键工作内容，直接影响作信息安全等级保护的全面推进。密码技术作为一种特定的敏感技术，要求科学合理的密码系统设计和严谨规范的密码系统集成，正确的使用非常关键，为此，我们以商用密码管理条例和信息安全等级保护商用密码管理办法为指导，在信息安全等级保护商用密码技术要求的基础上，编制了这本使用指南，以指导商用密码用户科学使用商用密码技术来实施等级保护，并为密码管理部门开展等级保护密码

11、管理工作提供帮助，同时为密码产品的生产商和密码系统集成商提供参考。 本指南后面部分按以下章节组织：l 第二章介绍信息系统密码保护的基本框架和技术体系l 第三章介绍在等级保护中使用商用密码技术的实施要求l 附录一介绍在第一级系统中利用商用密码技术来实现相关安全要求项。包括密码技术应用需求分析、密码通用技术要求和典型示例。l 附录二介绍在第二级系统中利用商用密码技术来实现相关安全要求项。包括密码技术应用需求分析、密码通用技术要求和典示案例。l 附录三介绍在第三级系统中利用商用密码技术来实现相关安全要求项。包括密码技术应用需求分析、密码通用技术要求和典型示例。l 附录四介绍在第四级系统中利用商用密码

12、技术来实现相关安全要求项。包括密码技术应用需求分析、密码通用技术要求和典型示例。l 附录五为方便查阅，以对照表的方式列出了第一至四级基本技术要求中的密码技术应用需求汇总。二、密码框架保护1、信息系统密码保护框架综合分析信息系统安全等级保护基本要求我们可以看到，对于一个信息系统的安全保护，包括了对信息系统的边界、自身的局域计算环境以及支撑它的网络通信环境的保护。信息系统密码保护框架（以下简称“密码保护框架”）就是以密码技术为基础建立的安全服务体系。它利用密码技术提供的真实性、机密性、完整性和抗抵赖等密码服务，形成相应的安全服务机制，以保护信息系统的边界、局域计算环境以及支撑它的网络通信环境，实现

13、对信息系统的安全保护。信息系统的密码保护框架由以下四个部分构成：l 密码基础设施；l 通信安全：由密码技术支撑的保障通信安全的安全服务；l 局域计算环境安全：由密码技术支撑的保障局域计算环境安全的安全服务；l 边界安全：由密码技术支撑的保障信息系统边界安全的安全服务。根据信息安全等级保护商用密码技术要求，信息系统密码保护框架如下图所示：图表1 信息系统密码保护框架l 密码基础设施是为各种密码服务提供支撑的共性设施。在密码保护框架中，密码基础设施主要包括公钥基础设施/密钥管理基础设施（PKI/KMI）。KMI/PKI作为一种基础设施，主要提供对称密钥的管理、非对称密钥及与其相关的证书管理、目录服

14、务等三种服务。KMI/PKI本身并不能直接为用户提供安全服务，但KMI/PKI是其它密码应用的基础。KMI/PKI是安全服务所必需的组件，KMI/PKI的体系结构依赖于其支持的应用。l 通信安全以密码技术为核心提供传输安全服务、身份鉴别服务和安全审计服务来保障网络通信的安全。l 局域计算环境安全关注的局域网环境中客户机、服务器以及其上所承载的应用程序、数据等的可用性、机密性和完整性。局域计算环境安全提供身份鉴别服务、存储安全服务、可信时间服务、可信印迹服务、访问控制服务、安全审计服务和责任认定服务。l 边界安全关注的重点是局域网相连边界和应用边界的安全，边界安全提供身份鉴别服务、访问控制服务和

15、安全审计服务。2、密码保护技术体系在信息系统中采用密码技术建立密码保护框架来进行信息安全保护，需要综合考虑信息系统的安全需求和密码的配置需求，从而为信息系统提供安全高效的安全服务。实现密码保护框架的密码保护技术体系分为多个层次，逐层提供支撑服务，最终为信息系统提供实现等级保护要求的安全防护服务。信息系统的密码保护技术体系如下图所示：图表2 信息系统密码保护技术体系图密码保护技术体系的构建基于安全可靠、层次分明、标准开放的原则，包括密码基础设施、密码设备、密码服务以及密码支撑的安全服务等四个组成部分。密码保护技术体系构建的目标是基于密码技术为信息系统提供安全保护服务，从而为信息系统的物理安全、网

16、络安全、主机安全、应用安全和数据安全及备份恢复提供基础保障。按照基本要求的描述，本文中物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复的内涵如下：l 物理安全是指包括支撑设施、硬件设备、存储介质等在内的信息系统相关支持环境的安全。物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理攻击、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应

17、和电磁防护等十个控制点。l 网络安全是指包括路由器、交换机、通信线路等在内的信息系统网络环境的安全。网络安全为信息系统在网络环境的安全运行提供支持。一方面，确保网络设备的安全运行，提供有效的网络服务，另一方面，确保在网上传输数据的机密性、完整性和可用性等。网络安全主要关注的方面包括：网络结构、网络边界以及网络设备自身安全等，具体的控制点包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。l 主机系统安全是指包括服务器、终端/工作站以及安全设备/系统在内的计算机设备在操作系统及数据库管理系统层面的安全。主机系统安全涉及的控制点包括：身份鉴别、安全

18、标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。l 应用安全是指支持业务处理的业务应用系统的安全；应用安全是信息系统整体防御的最后一道防线。在应用层面运行着信息系统的基于网络的应用以及特定业务应用。各种基本应用最终是为业务应用服务的，因此对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行。应用安全主要涉及的安全控制点包括：身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等十一个控制点。l 数据安全是指信息系统中数据的采集、传输、处理和存储过程中的安全。数据安全及备份

19、恢复在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏（泄漏、修改、毁坏），都会在不同程度上造成影响，从而危害到系统的正常运行。对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。保证数据安全和备份恢复主要从：数据完整性、数据保密性、备份和恢复等三个控制点考虑。2.1、密码基础设施密码基础设施包括PKI和KMI。l PKI是通过使用公开密钥技术和数字证书来提供系统信息安全的一种信任体系。PKI对信息系统供应数字证书，并提供数字证书管理、证书和证书吊销列表查询等服务。基于数字证书，信息系统可以运用身份鉴别、数字信封、数字签名等技术，完成身份认证，完成对数据机密性、完整性和

20、不可抵赖性的保护。l KMI是对称密码体制必需的组件，KMI为密码设备提供密钥的生成、存储、分发、注入与导出、使用、备份、更新、归档、恢复和销毁等环节的策略定制和管理。2.2、密码设备密码设备包括密码卡、智能密码钥匙、服务器密码机、终端密码机、网络密码机、可信计算平台、其他密码设备等。其中密码设备密码卡、智能密码钥匙、服务器密码机为密码系统和应用系统提供密码算法实现、密钥生成、密钥存储等密码服务。密码卡应用在对终端加解密性能要求较高的情形；智能密码钥匙等应用在对终端加解密性能要求不高的情形，主要支持实现身份鉴别等功能；服务器密码机为所有终端和应用系统提供高性能的加解密服务。网络密码机和终端密码

21、机主要提供网络层和应用层的信息的传输加密和完整性保护。2.3、密码服务密码服务基于密码设备和密码基础设施对外提供的基础密码服务，包括机密性、完整性、抗抵赖和真实性等。l 机密性服务：通过加密和解密数据，防止数据的未授权泄露。数据包括存储数据、传输数据和流量信息。l 完整性服务：通过检测、通知、记录和恢复数据修改，防止数据的未授权修改。数据修改包括改值/替换、插入、删除/丢失、重复/复制、变序/错位等。l 真实性服务：通过标识和鉴别活动主体的身份，防止身份的冒用和伪造。l 抗抵赖服务：通过提供行为证据，防止活动主体否认其行为。证据内容包括行为主体、行为方式、行为内容和行为时间等。2.4、密码技术

22、支撑的安全服务身份鉴别服务身份鉴别服务是对实体（用户、设备、系统等）在访问保护域及保护域的资源时，确认其实体的身份是否真实、合法和唯一的密码服务。在基本要求中，身份鉴别服务主要针对用户进入保护办公区、用户进入网络系统、用户登录操作系统、用户访问应用系统、设备接入保护域、系统接入保护域、网络对话、访问控制、网络资源访问、关键数据交换等需求采用相应的身份鉴别技术进行身份确认。传输安全服务传输安全服务主要是采用加密、杂凑函数等密码技术实现数据传输过程中的机密性和完整性。传输安全服务可以采用链路层加密、基于IPSec VPN技术的IP网络层加密、基于SSL VPN技术的传输层加密以及应用系统直接调用密

23、码设备提供的密码服务等技术方式实现。存储安全服务存储安全服务采用加密、杂凑函数等密码技术对存储信息的机密性和完整性进行保护。存储安全服务可以采用虚拟磁盘加密技术、安全数据库以及应用系统直接调用密码设备提供的密码服务等方式实现。可信时间服务可信时间服务的主要功能是提供可靠的时间信息证据，以证明某个信息在某个时间（或以前）的存在，或者证明某个操作发生的时间。可信时间服务系统需要使用数字证书和数字签名技术的时间戳技术。可信印迹服务电子印迹是指电子形式的图章印记和手写笔迹。可信电子印迹服务是指通过密码技术，对应用中使用的电子印迹的完整性和真实性提供保障，对应用提供安全可靠的电子印迹。可信印迹服务需要采

24、用符合标准的密码系统，使用数字证书和数字签名技术，向应用系统提供服务。访问控制服务访问控制服务是控制用户和系统与其他的系统或资源进行通信和交互的安全手段。密码保护技术体系重点用于保障访问控制服务中访问凭证的可靠性和访问记录的完整性。安全审计服务安全审计服务是指通过对网络中的安全设备和网络设备、应用系统的动作和行为进行全面的记录、监测、分析、评估以便找到最佳途径在最大限度保障信息系统安全的一切行为和手段，并为责任认定服务提供基本保障。密码保护技术体系重点用于保护审计记录的完整性和防止对审计记录的非法修改。责任认定服务系统通过责任认定服务，向用户提供电子证据，明确事件发生的时间、位置、过程操作者等

25、。密码保护技术体系基于数字签名、时间戳和安全审计提供责任认定服务。三、密码保护实施要求鉴于商用密码技术应用是实现信息系统安全等级保护的重要基础，同时密码保护的正确实施非常关键，要求科学合理的密码系统设计和严谨规范的密码系统集成，因此，使用商用密码技术来对信息系统进行密码保护应按照国家商用密码管理相关政策和标准进行严格管理。为了充分兼顾管理的有效性、及时性和密码保护实施不同阶段的特殊性，我们针对不同安全等级信息系统密码保护要求的特点，从密码保护系统的规划设计、产品选型、集成实施、安全测评与检查等方面分别对密码保护的实施提出了相关要求。1、集成单位选择信息系统用户单位使用商用密码来对二级以上（含二

26、级）信息系统进行密码保护应选择持有商用密码产品销售许可证（以下简称“销售许可证”），并具有商用密码产品集成销售能力的单位进行密码保护实施。无销售许可证或具有销售许可证但不具有商用密码产品集成销售能力的单位，不得承担二级以上（含二级）信息系统的信息安全等级保护中相关的密码保护工作。2、方案设计、产品选型与集成实施商用密码产品集成单位应从实际出发，综合平衡安全成本与风险，设计符合安全保护要求的商用密码系统集成方案、选择合格产品并进行科学实施。2.1商用密码系统建设方案的设计使用商用密码来对二级以上（含二级）信息系统进行密码保护的承建单位应首先协助系统建设单位，依据本指南附件，对信息系统的进行安全需

27、求分析，明确系统的商用密码需求；建设方案的设计应依据设计目标、设计原则和安全策略，从通信安全、局域计算环境安全、边界安全等方面，明确商用密码系统功能，并形成系统保护模型。商用密码系统设计方案应当包括但不限于下列内容：l 信息系统概述。l 安全需求分析。l 商用密码系统建设方案。l 商用密码设备清单（产品资质、功能及性能列表）。l 商用密码系统安全管理与安全保障策略。l 系统建设计划。三级信息系统的密码系统建设方案，应于实施前由所在省市密码管理部门组织专家进行评审。四级信息系统的密码系统建设方案，应于实施前由国家密码管理局组织专家进行评审。方案评审通过后，方可进行密码系统建设。2.2产品选用使用

28、商用密码来实施等级保护时，应按照商用密码产品目录，选用国家密码管理局准予销售的密码产品。选用包含密码技术的信息产品时，应选用通过国家电子信息产品3C认证的产品。对安全等级为三级以上（含三级）信息系统使用商用密码来实施等级保护时，应填写信息安全等级保护商用密码产品备案表，按照信息安全等级保护商用密码管理办法的要求，报备到相应密码管理部门。2.3商用密码系统建设方案的实施商用密码系统在实施时，必须严格按照经过评审的方案实施。第三级以上（含三级）信息系统需变更密码保护方案的，须由相应密码管理部门组织专家评审通过后，方可实施。3、系统安全测评使用商用密码对安全等级为三级以上（含三级）信息系统实施保护的

29、，系统在投入运行前，必须通过国家密码管理局授权的安全测评机构进行的密码系统安全性测评。商用密码系统的密码系统安全性测评分为资料审查、现场考察、现场检测、出具检测报告、专家评估和给出测评结论并报密码管理部门备案6个阶段，如图2所示：图2 系统测评流程4、日常维护与管理商用密码使用单位，应当建立可行、完善的商用密码管理制度，通过日常的维护和管理，有效监控商用密码系统的运行状况。对信息系统的规模、业务范围以及用户等要素进行变化跟踪，并及时调整商用密码系统的功能和策略。三级以上（含三级）系统当发生重大变更时，应当上报相应国家密码管理部门，重新进行系统评估和审查。商用密码系统使用单位如需外包日常维护与管

30、理服务的，应选用持有商用密码产品销售许可证的服务提供者。不具备商用密码产品销售许可证的单位不得承接商用密码系统的外包维护与管理服务。5、安全监督检查国家商用密码管理部门对其所辖的第三级以上信息系统中的商用密码系统进行定期检查工作，以及时发现问题、堵塞漏洞、消除隐患。其中第三级信息系统每两年检查一次，第四级信息系统每年检查一次。附录一：第一级信息系统密码保护1、第一级基本技术要求中的密码技术应用需求分析1.1物理安全第一级物理安全基本技术要求的实现通常用不到密码技术。1.2网络安全第一级网络安全基本技术要求在访问控制和身份鉴别方面可以用到密码技术。在访问控制方面，基本要求中相关的基本技术要求项包

31、括：l 应在网络边界部署访问控制设备，启用访问控制功能。l 应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包出入l 应通过访问控制列表对系统资源实现允许或拒绝用户访问，控制粒度至少为用户组。在访问控制机制中，访问控制列表是关键信息，应防止被篡改。密码技术的完整性服务可以实现访问控制列表的防篡改，从而保证访问控制列表的完整性。在身份鉴别方面，基本要求中相关的基本技术要求项包括：l 应对登录网络设备的用户进行身份鉴别。l 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。在身份鉴别机制中，鉴别信息是关键信息，应防止被假冒和在网络

32、传输过程中被泄露。密码技术的真实性服务可以实现鉴别信息的防假冒，从而保证用户身份的真实性。密码技术的机密性服务可以实现鉴别信息的防泄露，从而保证鉴别信息的机密性。综上所述，密码技术的应用需求点归纳如下：l 网络边界访问控制列表的完整性l 系统资源访问控制列表的完整性l 网络设备用户身份的真实性l 网络设备远程管理时鉴别信息远程传输过程中的机密性1.3主机安全第一级主机安全基本技术要求在身份鉴别和访问控制方面可以用到密码技术。在身份鉴别方面，基本要求中相关的基本技术要求项包括：l 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。在身份鉴别机制中，鉴别信息是关键信息，应防止被假冒。密码技术的

33、真实性服务可以实现鉴别信息的防假冒，从而保证用户身份的真实性。在访问控制方面，基本要求中相关的基本技术要求项包括：l 应启用访问控制功能，依据安全策略控制用户对资源的访问。在访问控制机制中，访问控制信息是关键信息，应防止被篡改。密码技术的完整性服务可以实现访问控制信息的防篡改，从而保证访问控制信息的完整性。综上所述，密码技术的应用需求点归纳如下：l 操作系统和数据库系统用户身份的真实性l 系统资源访问控制信息的完整性1.4应用安全第一级应用安全基本技术要求在身份鉴别、访问控制和通信安全方面可以用到密码技术。在身份鉴别方面，基本要求中相关的基本技术要求项包括：l 应提供专用的登录控制模块对登录用

34、户进行身份标识和鉴别。在身份鉴别机制中，鉴别信息是关键信息，应防止被假冒。密码技术的真实性服务可以实现鉴别信息的防假冒，从而保证用户身份的真实性。在访问控制方面，基本要求中相关的基本技术要求项包括：l 应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问。l 应由授权主体配置访问控制策略，并严格限制默认用户的访问权限。在访问控制机制中，访问控制信息是关键信息，应防止被篡改。密码技术的完整性服务可以实现访问控制信息的防篡改，从而保证访问控制信息的完整性。在通信安全方面，基本要求中相关的基本技术要求项包括：l 应采用约定通信会话方式的方法保证通信过程中数据的完整性。密码技术的完整性服务可以

35、实现对通信过程中数据完整性的保证。综上所述，密码技术的应用需求点归纳如下：l 应用系统用户身份的真实性l 系统功能和用户数据访问控制信息的完整性l 通信过程中数据的完整性1.5数据安全及备份恢复第一级数据安全及备份恢复基本技术要求在数据传输安全方面可以用到密码技术。在数据传输安全方面，基本要求中相关的基本技术要求项包括：l 应能够检测到重要用户数据在传输过程中完整性受到破坏。密码技术的完整性服务可以实现对重要用户数据在传输过程中完整性的检测。综上所述，密码技术的应用需求点归纳如下：l 传输过程中重要用户数据的完整性1.6总结综上所述，密码技术在第一级信息系统中的应用需求归纳如下：机密性服务l

36、应用对象：网络设备远程管理时的鉴别信息。l 密码技术：散列函数（Hash）、加密。完整性服务l 应用对象：系统资源、系统功能和用户数据的访问控制信息；通信过程中的数据、传输过程中的重要用户数据。l 密码技术：校验字符系统、消息鉴别码（MAC）、密码校验函数、散列函数（Hash）。真实性服务l 应用对象：网络设备用户、操作系统用户、数据库系统用户和应用系统用户的身份。l 密码技术：动态口令。2、密码通用技术要求2.1功能要求真实性l 应提供基于实体的身份标识和鉴别l 支持在访问网络设备时提供身份鉴别服务l 支持在登陆操作系统和数据库时提供身份鉴别服务l 支持在访问应用系统时提供身份鉴别服务l 支

37、持向访问控制系统提供身份信息，访问控制系统能够方便使用完整性l 能够提供对数据完整性检验服务l 支持在通信过程和数据传输时提供完整性检验服务l 保障访问控制信息的完整性2.2密钥管理要求密钥管理至少包括对密钥的生成、存储和使用等过程。l 密钥生成要求产生密钥具有一定的随机性；l 密钥存储要求采取一定安全防护措施，防止密钥被轻易非授权获取；l 密钥使用要求采用一定的安全防护措施，确保密钥的安全使用。2.3密码配用策略要求可以自主选择密码配用策略。2.4密码实现机制可以自主选择密码实现方式。2.5密码安全防护要求没有要求。3、典型示例3.1信息系统概述在某企业局域网内部运行办公自动化系统，企业员工

38、可以在在局域网内部或者通过互联网访问该系统。3.2密码保护需求远程访问控制。需要在网络边界通过访问控制列表对系统资源实现允许或拒绝用户访问，防止非授权用户远程接入企业局域网。身份标识和鉴别。应对登录操作系统、该应用的用户进行身份标识和鉴别，防止各种身份假冒行为。3.3密码保护系统设计根据该系统的密码保护需求，设计密码保护系统的框架如下图所示：图表3 设计密码保护系统的框架采用动态口令令牌和动态口令认证服务器为操作系统和办公自动化系统提供基于动态口令的身份认证；动态口令令牌、动态口令认证服务器通过RADIUS协议与路由器协同工作，实现对通过互联网远程访问的用户进行远程访问控制；3.4密码保护系统

39、部署l 用户配置动态口令令牌。l 在局域网环境部署动态口令认证服务器。附录二：第二级信息系统密码保护1、第二级基本技术要求中的密码技术应用需求分析1.1物理安全第二级物理安全基本技术要求的实现通常用不到密码技术。1.2网络安全第二级网络安全基本技术要求在访问控制和身份鉴别方面需要用到密码技术。在访问控制方面，基本要求中相关的基本技术要求项包括：l 应在网络边界部署访问控制设备，启用访问控制功能。l 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。在访问控制机制中，访问控制信息是关键信息，应防止被篡改。密码技术的完整性服务可以实现访问控制信息的防篡

40、改，从而保证访问控制信息的完整性。在身份标识与鉴别方面，基本要求中相关的基本技术要求项包括：l 应对登录网络设备的用户进行身份鉴别。l 网络设备用户的标识应唯一。l 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。l 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。在身份鉴别机制中，鉴别信息是关键信息，应防止被重用和被冒用以及在网络传输过程中被泄露。密码技术的真实性服务可以实现鉴别信息的防重用和防冒用，从而保证用户身份的真实性。密码技术的机密性服务可以实现鉴别信息的防泄露，从而保证鉴别信息的机密性。综上所述，密码技术的应用需求点归纳如下：l 网络

41、边界访问控制信息的完整性l 系统资源访问控制信息的完整性l 网络设备用户身份的真实性l 网络设备远程管理时，鉴别信息传输过程中的机密性1.3主机安全第二级主机安全基本技术要求在身份鉴别、访问控制和审计记录方面需要用到密码技术。在身份鉴别方面，基本要求中相关的基本技术要求项包括：l 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。l 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。l 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。l 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。在身份鉴别

42、机制中，鉴别信息是关键信息，应防止被冒用和被重用以及在网络传输过程中被泄露。密码技术的真实性服务可以实现鉴别信息的防冒用和防重用，从而保证用户身份的真实性。密码技术的机密性服务可以实现鉴别信息的防泄露，从而保证鉴别信息的机密性。在访问控制方面，基本要求中相关的基本技术要求项包括：l 应启用访问控制功能，依据安全策略控制用户对资源的访问。在访问控制机制中，访问控制信息是关键信息，应防止被篡改。密码技术的完整性服务可以实现访问控制信息的防篡改，从而保证访问控制信息的完整性。在审计记录方面，基本要求中相关的基本技术要求项包括：l 应保护审计记录，避免受到未预期的删除、修改或覆盖等。密码技术的完整性服

43、务可以实现对审计记录在完整性方面的保护。综上所述，密码技术的应用需求点归纳如下：l 操作系统和数据库系统用户身份的真实性l 鉴别信息远程传输过程中的机密性l 系统资源访问控制信息的完整性l 审计记录的完整性1.4应用安全第二级应用安全基本技术要求在身份鉴别、访问控制、审计记录和通信安全方面需要用到密码技术。在身份鉴别方面，基本要求中相关的基本技术要求项包括：l 应提供专用的登录控制模块对登录用户进行身份标识和鉴别。l 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。l 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检

44、查以及登录失败处理功能，并根据安全策略配置相关参数。在身份鉴别机制中，鉴别信息是关键信息，应防止被重用和被冒用。密码技术的真实性服务可以实现鉴别信息的防重用和防冒用，从而保证用户身份的真实性。在访问控制方面，基本要求中相关的基本技术要求项包括：l 应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问。l 应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限。在访问控制机制中，访问控制信息是关键信息，应防止被篡改。密码技术的完整性服务可以实现访问控制信息的防篡改，从而保证访问控制信息的完整性。在审计记录方面，基本要求中相关的基本技术要求项包括：l 应保证无法删除、修改或覆盖

45、审计记录。密码技术的完整性服务可以实现对审计记录完整性的保证。在通信安全方面，基本要求中相关的基本技术要求项包括：l 应采用校验码技术保证通信过程中数据的完整性。l 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证。l 应对通信过程中的敏感信息字段进行加密。密码技术的完整性服务可以实现对通信过程中数据完整性的保证。在通信双方进行会话初始化验证过程中，通信双方的身份鉴别信息是关键信息，应是可靠的。密码技术的真实性服务可以实现通信双方身份鉴别信息的可靠，从而保证通信双方身份的真实性。密码技术的机密性服务可以实现对通信过程中敏感数据机密性的保证。综上所述，密码技术的应用需求点归纳如下

46、：l 应用系统用户身份的真实性l 文件、数据库表等客体访问控制信息的完整性l 审计记录的完整性l 通信过程中数据的完整性l 通信双方身份的真实性l 通信过程中敏感信息的机密性1.5数据安全及备份恢复第二级数据安全及备份恢复基本技术要求在数据传输安全和数据存储安全方面需要用到密码技术。在数据传输安全方面，基本要求中相关的基本技术要求项包括：l 应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。密码技术的完整性服务可以实现对鉴别信息和重要业务数据在传输过程中完整性的检测。在数据存储安全方面，基本要求中相关的基本技术要求项包括：l 应采用加密或其他保护措施实现鉴别信息的存储机密性。密码技

47、术的机密性服务可以实现鉴别信息的存储机密性。综上所述，密码技术的应用需求点归纳如下：l 传输过程中鉴别信息和重要业务数据的完整性l 存储过程中鉴别信息的机密性1.6总结综上所述，密码技术在第二级信息系统中的应用需求归纳如下：机密性服务l 应用对象：传输过程中的鉴别信息；通信过程中的敏感信息；存储过程中的鉴别信息。l 密码技术：加密。完整性服务l 应用对象：系统资源的访问控制信息；文件、数据库表等客体的访问控制信息；审计记录；通信过程中的数据；传输过程中的鉴别信息；传输过程中的重要业务数据。l 密码技术：校验字符系统、消息鉴别码（MAC）、密码校验函数、散列函数（Hash）、数字签名。真实性服务

48、l 应用对象：网络设备用户、操作系统用户、数据库系统用户、应用系统用户和通信双方的身份。l 密码技术：动态口令、数字签名、数字证书。2、密码通用技术要求2.1功能要求真实性l 应提供基于单个实体的身份鉴别功能l 能唯一标识并有效区分实体，包括用户、设备、系统等l 身份鉴别信息具备不易被冒用的防范能力l 支持在建立网络会话时提供身份鉴别服务l 支持在网络设备身份鉴别时提供身份鉴别服务l 提供身份鉴别信息唯一性检查功能l 提供身份鉴别信息复杂度检查功能l 支持向访问控制系统提供身份信息，访问控制系统能够方便使用机密性l 能提供数据机密性服务，提供标准接口，易于第三方使用l 支持防止信息在网络传递中

49、被窃听l 支持在初始化会话过程中提供加密保护l 支持在通信过程中对重要字段提供加密保护l 支持对鉴别信息的存储提供加密保护完整性l 能够提供对数据完整性检验服务l 支持在数据通信过程中提供完整性检验服务l 支持对鉴别信息和重要业务数据在传输过程中提供完整性检验服务2.2密钥管理要求密钥管理包括对密钥的生成、存储、分发、注入与导出、使用、备份、更新、等过程。密钥生成要求使用真随机数发生器产生密钥，确保产生的密钥具有一定的随机性；密钥存储要求必须以密态存储；采取安全防护措施，防止密钥被非法获取；密钥分发密钥分发采用人工、自动等安全有效方式，通过安全通道传输；密钥注入与导出l 密钥的注入与导出应确保

50、密钥的安全性；l 密钥的注入与导出应确保密钥的准确无误。密钥使用l 密钥使用必须明确密钥的用途l 对于公钥密码体制，在使用公钥之前应验证合法性l 在密钥使用过程中，应有安全防护措施确保密钥的安全使用；密钥备份必须提供安全机制，确保备份密钥的安全性和可靠性；密钥更新l 密钥应定期更新或出现安全隐患时及时更新；l 密钥更新允许系统中断运行。2.3密码配用策略要求密码算法配用策略 采用国家密码管理局批准使用的算法。 密码协议配用策略采用标准协议进行密钥的分发与交换。密码设备配用策略l 信源加密应配用智能密码钥匙/智能IC卡/密码卡/桌面密码机/服务器密码机等密码设备；l 完整性应配用智能密码钥匙/智

51、能IC卡/密码卡/桌面密码机/服务器密码机等密码设备；l 身份鉴别、抗抵赖应配用智能密码钥匙/智能IC卡/密码卡/桌面密码机/服务器密码机等密码设备，结合非对称密码实现；l 密码设备可以在多个信息系统中共用。2.4密码实现机制建议采用专用固件方式实现。2.5密码安全防护要求l 密钥的产生，必须有相关的安全机制；l 密钥分发应能够抗截取、假冒、篡改、重放等攻击；l 密钥交换采用数字信封等技术手段安全交换；l 应采取有效措施，保证归档、备份密钥的安全性和正确性；l 硬件密码设备应具有完善的物理安全保护措施；l 硬件密码设备应满足相应运行环境的可靠性要求。3、典型示例3.1信息系统概述XXX数据采集

52、系统是某监督管理机构收集被监管对象业务数据的自动化系统。它通过互联网统一收集被监管机构的各种业务报表，建立统一的报表数据库，然后通过人工方式将这些报表导入到安全级别更高的其他应用系统进行相应处理。3.2密码保护需求通信过程中数据的机密性。由于上报数据是通过互联网传输，因此需要在通信过程中保证上报数据的机密性，避免其泄露给未被授权的用户。通信过程中数据的完整性。由于上报数据是通过互联网传输，因此需要在通信过程中确保上报数据的完整性，避免其被窜改。身份标识和鉴别。填报机构通过互联网上报数据业务报表时，系统需要对报送数据者进行强身份验证，保证用户身份标识及身份鉴别信息不被冒用。不可抵赖性。为确保上报

53、数据的真实可信，需要确保填报机构对报送操作的不可否认。数据安全存储。为避免服务器和填报机构的终端机器受到互联网各种攻击造成上报数据被窃取，需要确保上报的文件加密存储在服务器和填报机构的终端机器上。3.3密码保护系统设计根据该系统的密码保护需求，设计密码保护系统的框架如下图所示：图表3 设计密码保护系统的框架整个方案以PKI为基础，在密码基础设施方面，采用已有的CA系统，为该系统提供数字证书服务。在密码设备方面，配置智能密码钥匙和SSL VPN网关，为该系统提供机密性、完整性、真实性和抗抵赖服务。在密码基础设施和密码设备所提供的密码服务基础上，为该系统直接提供基于密码技术支撑的身份鉴别服务、传输

54、保护服务。身份鉴别服务为该系统提供基于数据证书的身份认证方式，实现对上报人员的身份认证；传输保密服务建立该系统的服务器和填报机构终端机器之间的安全传输通道，保证上报数据的机密性和完整性，避免数据泄露和被他人非法的修改、删除。该系统直接调用智能密码钥匙提供的数字信封等机密性服务，实现对上报文件的加密，保证其在服务器和填报机构的终端机器上密文存储；该系统直接调用智能密码钥匙提供的数字签名等抗抵赖服务，确保填报机构对报送操作的不可否认。3.4密码保护系统部署密码保护系统部署如下：在系统服务器前部署SSL VPN网关服务器。在填报机构终端部署智能密码钥匙、密码服务接口程序以及SSL VPN网关客户端程

55、序。附录三：第三级信息系统密码保护1、第三级基本技术要求中的密码技术应用需求分析1.1物理安全第三级物理安全基本技术要求在电子门禁系统方面需要用到密码技术。在电子门禁系统方面，基本要求中相关的基本技术要求项包括：l 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。在电子门禁系统中，重要区域进入人员的身份鉴别信息和进出记录是关键信息，应是可靠的和不可篡改的。密码技术的真实性服务可以实现身份鉴别信息的可靠，从而保证重要区域进入人员身份的真实性。密码技术的完整性服务可以实现进出记录的防篡改，从而保证进出记录的完整性。综上所述，密码技术的应用需求点归纳如下：l 重要区域进入人员身份的真实性l

56、电子门禁系统记录的完整性1.2网络安全第三级网络安全基本技术要求在安全访问路径、访问控制和身份鉴别方面需要用到密码技术。在安全访问路径方面，基本要求中相关的基本技术要求项包括：l 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。在建立安全访问路径过程中，通信主体的身份鉴别信息是关键信息，应是可靠的。密码技术的真实性服务可以实现通信主体身份鉴别信息的可靠，从而保证通信主体身份的真实性。密码技术的机密性服务可以实现安全访问路径中数据的机密性。密码技术的完整性服务可以实现安全访问路径中数据的完整性。在访问控制方面，基本要求中相关的基本技术要求项包括：l 应在网络边界部署访问控制设备，启用

57、访问控制功能。l 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。在访问控制机制中，访问控制信息是关键信息，应防止被篡改。密码技术的完整性服务可以实现访问控制信息的防篡改，从而保证访问控制信息的完整性。在审计记录方面，基本要求中相关的基本技术要求项包括：l 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。密码技术的完整性服务可以实现对审计记录在完整性方面的保护。在身份标识与鉴别方面，基本要求中相关的基本技术要求项包括：l 应对登录网络设备的用户进行身份鉴别。l 网络设备用户的标识应唯一。l 主要网络设备应对同一用户选择两种或两种以上组合

58、的鉴别技术来进行身份鉴别。l 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。l 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。在身份鉴别机制中，鉴别信息是关键信息，应防止被重用和被冒用以及在网络传输过程中被泄露。组合鉴别技术是指包括两种或两种以上鉴别因子的鉴别技术。鉴别因子一般分为“你知道的”（例如，你的口令）、“你拥有的”（例如，你的USB Key）和“你自身的”（例如，你的指纹）三种。组合鉴别技术提供的真实性服务更可靠，可以更好地实现鉴别信息的防重用和防冒用，从而保证用户身份的真实性。密码技术的机密性服务可以实现鉴别信息的防泄露，从而保证

59、鉴别信息的机密性。综上所述，密码技术的应用需求点归纳如下：l 安全访问路径中通信主体身份的真实性l 安全访问路径中数据的机密性l 安全访问路径中数据的完整性l 网络边界和系统资源访问控制信息的完整性l 审计记录的完整性l 网络设备用户身份的真实性l 传输过程中鉴别信息的机密性1.3主机安全第三级主机安全基本技术要求在身份鉴别、访问控制、审计记录和程序安全方面需要用到密码技术。在身份鉴别方面，基本要求中相关的基本技术要求项包括：l 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。l 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。l 当对服务器进行

60、远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。l 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。l 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。在身份鉴别机制中，鉴别信息是关键信息，应防止被冒用和被重用以及在网络传输过程中被泄露。组合鉴别技术提供的真实性服务更可靠，可以更好地实现鉴别信息的防冒用和防重用，从而保证用户身份的真实性。密码技术的机密性服务可以实现鉴别信息的防泄露，从而保证鉴别信息的机密性。在访问控制方面，基本要求中相关的基本技术要求项包括：l 应启用访问控制功能，依据安全策略控制用户对资源的访问。l 应对重要信息资源设置敏

61、感标记。l 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。在访问控制机制中，访问控制信息和敏感标记是关键信息，应防止被篡改。密码技术的完整性服务可以实现访问控制信息和敏感标记的防篡改，从而保证访问控制信息和敏感标记的完整性。在审计记录方面，基本要求中相关的基本技术要求项包括：l 应保护审计记录，避免受到未预期的删除、修改或覆盖等。密码技术的完整性服务可以实现对审计记录在完整性方面的保护。在程序安全方面，基本要求中相关的基本技术要求项包括：l 应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。密码技术的完整性服务可以实现对重要程序完整性的检测。综上所述，密码技术