密码测评建设方案1.docxVIP

~PAGE1~

密码应用方案

建设背景

政务信息系统是现代政务信息治理和信息科技发展相结合的产物，是国家关键信息基础设施，一旦遭到破坏将对国家安全、社会稳定、经济繁荣和民生改善造成严重损失。在“互联网+政务服务”的大背景下，政务信息系统融合了大量跨部门、跨平台的数据，易遭受网络攻击，存在用户假冒、数据篡改、信息泄露等安全风险。如何为政务信息系统提供更加可靠的安全保障，是当前政务信息系统建设发展过程中亟需解决的问题。

密码技术是网络安全的核心技术和基础支撑，在身份鉴别、访问控制、安全隔离、数据加密等方面具有不可替代的重要作用。密码技术措施也是解决政务信息系统安全保障问题的基础技术手段，与其它类型的网络信息安全保护手段相比，密码技术具有最有效、最可靠和最经济的特点。

2018年印发的《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》（厅字〔2018〕36号）把积极推进政务信息系统中的密码应用作为一项重要工作，明确指出要规范电子印章、电子文件、电子证照和移动政务办公中的密码应用，推进安全可靠应用和电子凭证网上报销中的密码应用，加强政务网络、政务云、政务大数据中心、国家基础信息资源库及政务信息资源共享中的密码保护，为推进“三融五跨”，构建全国一体化“互联网+政务服务”提供密码支撑保障。

当前，我国对于信息系统中如何应用密码已经制定了相关的技术标准和管理规定。其中，GB/T39786《信息系统密码应用基本要求》给出了面向通用信息系统的商用密码应用基本要求，《商用密码安全性评估管理办法（试行）》对重要领域网络和信息系统中如何开展商用密码应用安全性评估工作做出了规定。但是，对于政务信息系统中如何落实相关标准要求和管理规定，没有相应的指导性文件。目前，政务信息系统密码应用体系建设还存在不够规范的现象，很多单位对于如何采用密码技术来保障信息系统安全仍不够了解，密码在政务信息系统建设中的重要作用没有得到充分发挥。针对上述情况，国家密码管理局组织编制了《政务信息系统密码应用实施指南》，为政务信息系统的建设、使用和管理单位（以下简称“责任单位”）提供信息系统密码应用相关要求的解读，为业务数据系统、政务网站系统、移动办公系统和政务云平台系统、安全电子邮件系统等各类政务信息系统的密码应用实施提供指导，帮助责任单位在政务信息系统的规划设计、建设实施和运行维护中合规、正确、有效地运用密码技术，更加充分有效的发挥密码技术在政务信息系统中的安全保障作用。

测评依据

《政务信息系统密码应用与安全性评估工作指南》；

《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》（厅字〔2018〕36号）；

GM/T0054-2018信息系统密码应用基本要求（以下简称“基本要求”）；

信息系统密码测评要求（试行）；

商用密码管理条例（1999年国务院令第273号）；

信息安全等级保护商用密码管理办法（密局发［2007］11号）；

《中华人民共和国密码法》；

《关键信息基础设施安全保护条例》；

《网络安全等级保护条例》；

《GB/T22239-2019信息安全技术网络安全等级保护基本要求》；

《GB/T28448-2019信息安全技术网络安全等级保护测评要求》；

《GBT25070-2019信息安全技术网络安全等级保护安全设计技术要求》；

《GB/T22240-2008信息安全技术信息系统安全等级保护定级指南》；

《GB/T25058-2010信息安全技术信息系统安全等级保护实施指南》；

《GB/T28449-2012信息安全技术信息系统安全等级保护测评过程指南》；

《GB/T33482-2016党政机关业务数据系统建设规范》；

《GM/T0005-2012随机性检测规范》；

《GM/T0014-2012数字证书认证系统密码协议规范》；

《GM/T0022-2014IPSecVPN技术规范》；

《GM/T0024-2014SSLVPN技术规范》；

《GM/T0026-2014安全认证网关产品规范》；

《GM/T0021-2012动态口令密码应用技术规范》；

《GM/T0027-2014智能密码要是技术规范》；

《GM/T0028-2014密码模块安全技术要求》；

《GM/T0029-2014签名验签服务器技术规范》；

《GM/T0030-2014服务器密码机技术规范》；

《GM/T0031-2014 安全电子签章密码技术规范》；

《GM/T0033-2014 时间戳接口规范》；

《GM/T0034-2014基于SM2密码算法的证书认证系统密码及其相关安全技术规范》；

《GM/T0036-2014采用非接触卡的门禁系统密码应用技术指南》；

《GM/T0045-