55．国家密码管理局关于印发 《〈信息安全等级保护商用密码管理办法〉实施意见》的通知 （国密局发〔2009〕10 号） 各省、自治区、直辖市密码管理局，新疆生产建设兵团密码管理局深圳市密码管理局： 为配合《信息安全等级保护商用密码管理办法》 （国密局发〔2007〕11 号）的实施， 进一步规范信息安全等级保护商用密码管理工作，我局研究制定了《〈信息安全等级保 护商用密码管理办法〉实施意见》。现印发你们，请认真贯彻执行。 执行中的意见和建议，请及时向我局反馈（联系电话：010—59703637）。 附件： 《信息安全等级保护商用密码管理办法》实施意见 2009 年 12 月 15 日 1 附件： 《信息安全等级保护商用密码管理办法》实施意见 为了配合《信息安全等级保护商用密码管理办法》（国密局发〔2007〕11 号）的实 施，进一步规范信息安全等级保护商用密码管理工作，特提出以下意见。 一、使用商用密码对信息系统进行密码保护，应当严格遵守国家商用密码相关政策 和标准规范。 二、在实施信息安全等级保护的信息系统中，商用密码应用系统是指采用商用密码 产品或者含有密码技术的产品集成建设的，实现相关信息的机密性、完整性、真实性、 抗抵赖性等功能的应用系统。 三、商用密码应用系统的建设应当选择具有商用密码相关资质的单位。 四、使用商用密码开展信息安全等级保护应当制定商用密码应用系统建设方案。方 案应当包括信息系统概述、安全风险与需求分析、商用密码应用方案、商用密码产品清 单、商用密码应用系统的安全管理与维护策略、实施计划等内容。 五、第三级以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织 的评审后方可实施。 中央和国家机关各部委第三级信息系统的商用密码应用系统建设方案，由信息系统 的责任单位向国家密码管理部门提出评审申请，国家密码管理部门组织专家进行评审。 设有密码管理部门的中央和国家机关部委，其第三级信息系统的商用密码应用系统建设 方案可由本部门密码管理部门组织专家进行评审。 各省（区、市）第三级信息系统的商用密码应用系统建设方案，由信息系统的责任 单位向所在省（区、市）密码管理部门提出评审申请，所在省（区、市）密码管理部门 组织专家进行评审。 第四级以上信息系统的商用密码应用系统建设方案，由信息系统的责任单位向国家 密码管理部门提出评审申请，国家密码管理部门组织专家进行评审。 六、第三级以上信息系统的商用密码应用系统建设必须严格按照通过评审的方案实 施。需变更商用密码应用系统建设方案的，应当按照上述第五条的要求重新评审，评审 通过后方可实施。 2 七、使用商用密码实施信息安全等级保护，选用的商用密码产品应当是国家密码管 理部门准予销售的产品；选用的含有密码技术的产品，应当是通过国家密码管理部门指 定测评机构密码测评的产品。 八、第三级以上信息系统的商用密码应用系统，应当通过国家密码管理部门指定测 评机构的密码测评后方可投入运行。密码测评包括资料审查、系统分析、现场测评、综 合评估等。信息系统的责任单位应当将测评结果报相应的密码管理部门备案。 九、第二级以上信息系统的责任单位，应当填写《信息安全等级保护商用密码产品 备案表》，并按照《信息安全等级保护商用密码管理办法》的要求进行备案。 十、第三级以上信息系统的责任单位，应当建立完善的商用密码使用管理制度，保 障商用密码应用系统的安全运行。 十一、第三级以上信息系统发生重大变更时，信息系统的责任单位应当将变更情况 及时报相应的密码管理部门，并按照密码管理部门的要求办理相关事项。 十二、第三级以上信息系统的商用密码应用系统需要由责任单位以外的单位负责日 常维护的，应当选择具有商用密码相关资质的单位。 十三、第三级以上信息系统的责任单位，应当积极配合密码管理部门组织开展的商 用密码检查工作。 十四、使用商用密码实施信息安全等级保护，应当符合《信息安全等级保护商用密 码技术实施要求》（附后）。 十五、本意见施行前已建成的第三级以上信息系统的商用密码应用系统，应当按照 本意见第八条的要求进行密码测评，并根据密码测评意见实施改造。 十六、本意见所称“以上”包含本级。 附件： 《信息安全等级保护商用密码技术实施要求》 3 附件： 信息安全等级保护 商用密码技术实施要求 国家密码管理局 2009 年 4 目录 引言 第一章 第一级信息系统商用密码技术实施要求 1.1 商用密码技术基本要求 1.1.1 功能要求 1.1.2 密钥管理要求 1.1.3 密码配用策略要求 1.1.4 密码实现机制要求 1.1.5 密码安全防护要求 1.2 商用密码技术应用要求 1.2.1 物理安全 1.2.2 网络安全 1.2.3 主机安全 1.2.4 应用安全 1.2.5 数据安全及备份恢复 第二章 第二级信息系统商用密码技术实施要求 2.1 商用密码技术基本要求 2.1.1 功能要求 2.1.2 密钥管理要求 2.1.3 密码配用策略要求 2.1.4 密码实现机制 2.1.5 密码安全防护要求 2.2 商用密码技术应用要求 2.2.1 物理安全 2.2.2 网络安全 2.2.3 主机安全 2.2.4 应用安全 2.2.5 数据安全及备份恢复 第三章 第三级信息系统商用密码技术实施要求 3.1 商用密码技术基本要求 3.1.1 功能要求 3.1.2 密钥管理要求 5 3.1.3 密码配用策略要求 3.1.4 密码实现机制 3.1.5 密码安全防护要求 3.2 商用密码技术应用要求 3.2.1 物理安全 3.2.2 网络安全 3.2.3 主机安全 3.2.4 应用安全 3.2.5 数据安全及备份恢复 第四章 第四级信息系统商用密码技术实施要求 4.1 商用密码技术基本要求 4.1.1 功能要求 4.1.2 密钥管理要求 4.1.3 密码配用策略要求 4.1.4 密码实现机制 4.1.5 密码安全防护要求 4.2 商用密码技术应用要求 4.2.1 物理安全 4.2.2 网络安全 4.2.3 主机安全 4.2.4 应用安全 4.2.5 数据安全及备份恢复 6 引 言 密码技术作为信息安全的基础性核心技术，是信息保护和网络信任体系建设的基 础，是实行信息安全等级保护不可或缺的关键技术，充分利用密码技术能够有效地保障 信息安全等级保护制度的落实，科学合理地采用密码技术及其产品，是落实信息安全等 级保护最为有效、经济和便捷的手段。 国家标准《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》（以 下简称“《基本要求》”）规定了对不同安全保护等级信息系统的基本安全要求，对于涉 及到身份的真实性、行为的抗抵赖、内容的机密性和完整性的要求项，密码技术都可以 直接或间接地为满足这些要求提供支持，因此如何科学合理地应用密码技术对信息系统 进行安全保护就成为实施等级保护的关键工作内容，直接影响着信息安全等级保护的全 面推进。为此，我们以《商用密码管理条例》和《信息安全等级保护商用密码管理办法》 为指导，结合《基本要求》中的相关安全要求项，在《信息安全等级保护商用密码技术 要求》的基础上，编制了《信息安全等级保护商用密码技术实施要求》，用以规范使用 商用密码实施等级保护的相关技术工作，并为商用密码产品的研发和系统的集成提供依 据。 本要求明确了一、二、三、四级信息系统使用商用密码技术来实施等级保护的基本 要求和应用要求。在基本要求中根据密码技术的特点，从技术实施上对商用密码应用系 统的功能、密钥管理、密码配用、密码实现和密码保护等方面提出了相关要求和规定。 在应用要求中，从应用密码技术来实现相应等级的物理安全、网络安全、主机安全、应 用安全和数据安全提出了要求。为方便使用，我们将各级信息系统的商用密码需求和相 关技术实施要求按照不同安全等级集中进行编排。 7 第一章 第一级信息系统商用密码技术实施要求 1.1 商用密码技术基本要求 1.1.1 功能要求 1.1.1.1 真实性 第一级信息系统使用商用密码进行真实性保护时，应提供以下功能： 1)提供基于实体的身份标识和鉴别服务； 2)为访问网络设备提供身份鉴别服务； 3)为登录操作系统和数据库提供身份鉴别服务； 4)为访问应用系统提供身份鉴别服务； 5)向访问控制系统提供身份真实性的凭证。 1.1.1.2 完整性 第一级信息系统使用商用密码进行完整性保护时，应提供以下功能： 1)应提供数据完整性校验服务； 2)为通信过程和数据传输提供完整性校验服务； 3)为访问控制系统提供访问控制信息的完整性校验服务。 1.1.2 密钥管理要求 密钥管理至少应包括密钥的生成、存储和使用等过程，并满足： 1)密钥生成：密钥应具有一定的随机性； 2)密钥存储：采取必要的安全防护措施，防止密钥被轻易非授权获取； 3)密钥使用：采取必要的安全防护措施，防止密钥被非法使用。 1.1.3 密码配用策略要求 采用国家密码管理部门批准使用的算法。 1.1.4 密码实现机制要求 不做强制性要求。 1.1.5 密码安全防护要求 不做强制性要求。 1.2 商用密码技术应用要求 1.2.1 物理安全 第一级物理安全基本技术要求的实现不需使用密码技术。 1.2.2 网络安全 实现第一级网络安全基本技术要求在访问控制和身份鉴别方面可以使用密码技术。 在访问控制机制中，可以使用密码技术的完整性服务来保证访问控制列表的完整 8 性。 在身份鉴别机制中，可以使用密码技术的真实性服务来实现鉴别信息的防假冒，可 以使用密码技术的机密性服务来实现鉴别信息的防泄露。 1.2.3 主机安全 实现第一级主机安全基本技术要求在身份鉴别和访问控制方面可以使用密码技术。 在身份鉴别机制中，可以使用密码技术的真实性服务来实现鉴别信息的防假冒。 在访问控制机制中，可以使用密码技术的完整性服务来保证访问控制信息的完整 性。 1.2.4 应用安全 实现第一级应用安全基本技术要求在身份鉴别、访问控制和通信安全方面可以使用 密码技术。 在身份鉴别机制中，可以使用密码技术的真实性服务来实现鉴别信息的防假冒,保证 应用系统用户身份的真实性。 在访问控制机制中，可以使用密码技术的完整性服务来保证系统功能和用户数据访 问控制信息的完整性。 在通信安全方面，可以使用密码技术的完整性服务来实现对通信过程中数据完整 性。 1.2.5 数据安全及备份恢复 第一级数据安全及备份恢复基本技术要求在数据传输安全方面,可以使用密码技术 的完整性服务来实现对重要用户数据在传输过程中完整性检测。 第二章 第二级信息系统商用密码技术实施要求 2.1 商用密码技术基本要求 2.1.1 功能要求 2.1.1.1 真实性 第二级信息系统使用商用密码进行真实性保护时，应提供以下功能： 1)提供基于单个实体的身份鉴别功能； 2)