政务领域政务云密码应用与安全性评估实施指南

密码应用与安全性评估实施指南 中国密码学会密评联委会 目录 前言.....................................................................................................................................................I1场景概述..............................................................................................................................................11.1场景相关政策要求......................................................................................................................11.2典型场景介绍..............................................................................................................................11.2.1场景代表性..........................................................................................................................11.2.2政务云平台场景介绍..........................................................................................................21.3技术标准和指导性文件..............................................................................................................32密码应用需求......................................................................................................................................42.1风险分析和安全需求..................................................................................................................42.1.1物理和环境安全..................................................................................................................42.1.2网络和通信安全..................................................................................................................52.1.3设备和计算安全..................................................................................................................62.1.4应用和数据安全..................................................................................................................62.1.5安全管理..............................................................................................................................82.1.6主要保护对象......................................................................................................................82.2场景对密码应用的特殊要求....................................................................................................113密码应用实施指南............................................................................................................................113.1典型场景业务的密码应用设计................................................................................................113.1.1物理和环境安全................................................................................................................123.1.2网络和通信安全................................................................................................................123.1.3设备和计算安全................................................................................................................133.1.4应用和数据安全................................................................................................................133.1.5密钥管理安全....................................................................................................................143.1.6安全管理............................................................................................................................163.2密码产品/服务选择和部署.......................................................................................................163.3与GB/T39786对照情况说明..................................................................................................183.4注意事项....................................................................................................................................204密码应用安全性评估实施指南........................................................................................................214.1主要测评指标的选择和确定....................................................................................................214.2主要测评内容............................................................................................................................234.2.1现场测评方法....................................................................................................................234.2.2测评实施............................................................................................................................244.3主要测评结果............................................................................................................................29 4.4注意事项....................................................................................................................................30 前言 为贯彻落实《中华人民共和国密码法》《商用密码管理条例》等法律法规，促进政务领域政务云场景中商用密码的合规、正确、有效应用，依据国家密码政策要求和标准规范，制定本指南。本指南可用于指导各级政务云平台（泛指承载政务信息系统运行的云平台）建设单位、运营单位以及商用密码应用安全性评估机构规范开展商用密码应用和安全性评估工作，也可供集成单位参考。 本指南主要依据GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》等密码应用与安全性评估标准规范编制。本指南中任何与当前或后续发布的密码国家标准和行业标准不一致之处，以相关密码国家标准和行业标准为准。必要时本指南将根据最新的管理要求与相关技术标准进行更新。 本指南分为四章。第一章主要梳理政务云平台典型应用场景；第二章主要对政务云平台相关风险、密码应用需求、保护对象进行梳理；第三章主要对政务云平台进行密码应用设计；第四章主要对政务云平台密码应用安全性评估工作进行梳理。 本指南针对网络安全等级保护第三级信息系统密码应用要求进行设计，三级以下及四级信息系统可根据GB/T 39786结合系统实际进行相应调整。相关密码应用措施和技术路线不限于固定方式，政务云平台建设单位和运营单位可根据自身已有密码应用基础，结合实际进行密码应用改