ICS35.030 GB CCS L 80 中华人民共和国国家标准 GB/T43206—2023 信息安全技术 信息系统密码应用测评要求 Information security technologyTesting and evaluation requirements for information system cryptography application 2024-04-01实施 2023-09-07发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T43206—2023 目 次 前言 III 范围 规范性引用文件 2 3 术语和定义 通则 4 5 通用测评要求 5.1 密码算法 5.2 密码技术 5.3 密码产品 5.4 密码服务 5.5 密钥管理 6技术测评要求 6.1 物理和环境安全 6.2 网络和通信安全 6.3 设备和计算安全 10 6.4 应用和数据安全 管理测评要求 7 20 7.1 管理制度· 20 7.2 人员管理 22 7.3 建设运行 25 7.4 应急处置 8整体测评要求 29 8.1 概述 29 8.2 单元间测评 29 层面间测评 8.3 29 9风险分析和评价· 29 10测评结论 29 附录A（资料性）密钥生存周期管理检查要点· 31 附录B（资料性） 典型密码功能测评技术 35 附录C（资料性）典型密码产品应用测评技术 38 参考文献 GB/T 43206—2023 前言 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 究所、国家信息技术安全研究中心、中国电子科技集团公司第十五研究所、中国电子技术标准化研究院、 心（北京信息安全测评中心）、北京国家数字金融技术检测中心有限公司、深圳市网安计算机安全检测技 术有限公司、道普信息技术有限公司、国电南京自动化股份有限公司、浙江东安检测技术有限公司、北京 银联金卡科技有限公司、智巡密码（上海）检测技术有限公司、哈尔滨工业大学（深圳）、安徽科测信息技 术有限公司、新疆量子通信技术有限公司。 本文件主要起草人：罗鹏、肖秋林、马原、张立花、许长伟、陈天宇、黄晶晶、郑防昱、田敏求、王兵、 刘健、杨宏志、吴冬宇、陆臻、张宇翔、李升、任金强、黎水林、李大为、李宏卓、张五一、张晓溪、杨辰、 蔡一鸣、孙鑫、高锐、吕娜、宋玲娓、郭守坤、何双羽、杨龙、李霞、王国朝、胡盖、胡燕雄、沈汀、张绍博、 韩玮。 Ⅲ GB/T43206—2023 信息安全技术 信息系统密码应用测评要求 1范围 本文件规定了信息系统第一级到第四级密码应用的通用测评要求、技术测评要求、管理测评要 求，并给出了整体测评要求、风险分析和评价、测评结论的要求。 注：本文件描述的信息系统密码应用等级与GB/T39786一2021规定的密码应用等级一致，其中第五级密码应用的 测评要求不在本文件中描述。 本文件适用于指导、规范信息系统密码应用安全性评估工作中的测评活动。 规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T25069—20221 信息安全技术术语 GB/T39786—2021 信息安全技术信息系统密码应用基本要求 GM/Z4001密码术语 3 术语和定义 GB/T25069—2022、GB/T39786—2021和GM/Z4001界定的以及下列术语和定义适用于本 文件。 3.1 密码应用安全性评估人员commercialcryptographyapplicationsecurityevaluationstaff 通过国家密码管理部门认可的考核或具有密码技术应用员、密码工程技术人员职业技能等级证 书，从事密码应用安全性评估的人员。 注：简称“密评人员”。 3.2 核查 examine 密评人员对测评对象进行访谈、文档审查、实地查验和分析，以帮助密评人员理解、澄清或取得证据 的过程。 注：核查时可选用的测评方式以及方式的选用说明参考GM/T0116一2021。 L来源：GB/T25069一2022，3.237，有修改 3.3 测评单元unitoftestingandevaluation 一组相对独立和完整的测评内容，由测评指标、测评对象、测评实施和结果判定组成。 1 GB/T43206—2023 3.4 测评指标indexof testingand evaluation 测评单元中第一级到第四级密码应用测评的具体要求。 3.5 测评对象 target of testing and evaluation 测评单元中密码应用的测评实施对象。 注：主要包括物理安防设施、通信信道、密码产品、通用设备、应用、重要数据、人员、制度文档等。测评对象基于密 码应用方案和信息系统保护目标的实际安全需求确定，具体确定方法参考GM/T0116一2021。 4通则 本文件对信息系统各密码应用等级的测评指标以“应”“宜”“可”方式进行描述，密评人员在开展实 际测评时，按照如下方法确定是否纳入测评和结果判定范围。 判定。 如根据信息系统的密码应用方案和方案评估意见，密评人员应判定信息系统确实不存在与测 评指标相关的密码应用需求，则相应测评指标为“不适用”；否则，相关条款纳入测评和结果判 定范围。 b) 对于“宜”的条款，密评人员应确认信息系统是否具有已通过评估的密码应用方案。 1）如信息系统没有通过评估的密码应用方案，或方案评估意见中未对“不适用”项作出明确 说明，则“宜”的条款纳入测评和结果判定范围。 明，则密评人员应根据信息系统的密码应用方案和方案评估意见决定是否纳人测评和结 果判定范围。 如纳入测评和结果判定范围，则密评人员应按照第6章和第7章相应的测评指标要 求进行测评和结果判定。 一如未纳人测评和结果判定范围，且判定信息系统确实不存在与测评指标相关的密码 应用需求时，则相应测评指标为“不适用”。 一如未纳入测评和结果判定范围，但信息系统有与测评指标相关的密码应用需求，密评 人员应根据信息系统的密码应用方案和方案评估意见，在测评中进一步核实该信息 与所描述的风险控制措施是否一致，并在密码应用安全性评估报告中体现核实过程 和结果。如满足使用条件且风险控制措施一致，该测评指标为“不适用”；如不满足使 要求进行测评和结果判定。 c）对于“可”的条款，由信息系统责任方自行决定是否纳人测评和结果判定范围 1）如信息系统责任方确认纳人测评和结果判定范围，且密评人员经核实后判定信息系统不 存在与测评指标相关的密码应用需求，则密评人员应在密码应用安全性评估报告中体现 核实过程和结果，相应测评指标为“不适用”。 2）如信息系统责任方确认纳入测评和结果判定范围，且密评人员经核实后判定信息系统存 在与测评指标相关的密码应用需求，则密评人员应按照第6章和第7章中相应的测评指 标要求进行测评和结果判定。 2 GB/T43206—2023 如信息系统通过评估的密码应用方案要求高于其自身对应等级的测评指标要求，则密评人员应按 规划、建设、运行，则对应指标按照密码应用等级第四级进行测评，并在密码应用安全性评估报告中 记录。 5通用测评要求 5.1密码算法 5.1.1测评指标 信息系统中使用的密码算法符合法律、法规的规定和密码相关国家标准、行业标准的有关要求（适 用于第一级到第四级）。 测评对象 5.1.2 信息系统中使用的密码算法。 5.1.3测评实施 了解信息系统中使用的密码算法的名称、用途、何处使用、执行设备及其实现方式（软件、硬件或固 件），核查信息系统中使用的密码算法是否符合法律法规的规定和密码相关国家标准、行业标准的有关 要求。 5.2 2密码技术 5.2.1测评指标 信息系统中使用的密码技术应遵循密码相关国家标准和行业标准（适用于第一级到第四级）。 5.2.2测评对象 信息系统中使用的密码技术。 5.2.3测评实施 了解信息系统中使用的密码技术的名称、用途、何处使用、执行设备及其实现方式（软件、硬件或固件），核 查信息系统中使用的密码技术是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求 5.3密码产品 5.3.1测评指标 本单元测评指标如下。 级到第四级）。 信息系统中使用的密码产品如遵循密码模块相关标准，则应： 一达到密码模块安全等级一级及以上安全要求（适用于第二级）； 一达到密码模块安全等级二级及以上安全要求（适用于第三级）； 达到密码模块安全等级三级及以上安全要求（适用于第四级）。 3 GB/T43206—2023 5.3.2测评对象 信息系统中使用的密码产品。 5.3.3测评实施 了解信息系统中使用的密码产品的型号和版本等配置信息，核查密码产品是否经商用密码认证机构 认证合格，并核查密码产品的使用是否满足其安全运行的条件，例如其安全策略或使用手册说明的部署条 件。遵循了密码模块相关标准的密码产品，还要核查其是否满足密码模块相应安全等级及以上安全要求。 5.4密码服务 5.4.1 测评指标 信息系统中使用的密码服务符合法律法规的相关要求（适用于第一级到第四级）。 5.4.2测评对象 信息系统中使用的密码服务。 5.4.3测评实施 核查信息系统中使用的密码服务是否符合法律法规的相关要求。 5.5 密钥管理 5.5.1测评指标 本单元测评指标如下： 信息系统密钥管理使用的密码产品、密码服务符合法律法规和密码相关国家标准、行业标准的 要求（适用于第一级到第四级）； 一信息系统密钥管理应符合密码相关国家标准和行业标准的要求（适用于第一级到第四级）。 5.