ICS03.060 CCSA11 JR 中华人民共和国金融行业标准 JR/T0256—2022 金融行业信息系统商用密码应用测评要 求 Informationsystemcommercialcryptographyapplicationoffinancial industry—Testingandevaluationrequirements 2022-11-25发布 2022-11-25实施 中国人民银行  发布JR/T0256—2022 I目次 前言..................................................................................II 引言.................................................................................III 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4缩略语...............................................................................2 5概述.................................................................................2 6通用测评要求.........................................................................3 7密码应用测评要求.....................................................................4 8整体测评要求........................................................................17 9风险分析和评价......................................................................18 10测评结论...........................................................................18 附录A（资料性）典型密码产品应用测评技术...............................................19 附录B（资料性）典型密码功能测评技术...................................................21 附录C（资料性）密钥生存周期管理检查要点...............................................23 参考文献..............................................................................26JR/T0256—2022 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国人民银行科技司提出。 本文件由全国金融标准化技术委员会（SAC/TC180）归口。 本文件起草单位：中国人民银行科技司、中国证券监督管理委员会科技监管局、北京国家金融科技 认证中心有限公司、中国金融电子化集团有限公司、中国银联股份有限公司、北京银联金卡科技有限公 司、中金金融认证中心有限公司、中互金认证有限公司、中国工商银行股份有限公司、中国建设银行股 份有限公司、中国民生银行股份有限公司、蚂蚁科技集团股份有限公司、中证信息技术服务有限责任公 司、深圳证券交易所、中国期货业协会。 本文件主要起草人：李伟、姚前、陈立吾、刘铁斌、潘润红、车珍、沈筱彦、陈炜、夏磊、王涛、 昝新、曹正阳、段越、侯漫丽、屈龑浩、郭师嘉、张海燕、唐辉、李振、李凡、高强裔、孙国栋、刘文 娟、陈雪峰、马成龙、李禹泽、王大地、张璐、李博文、汤洋、郑峥、张光巧、李增局、赵旭、靳芸生、 刘书洪、姜志辉、安辉耀、周桉、居红伟、艾青。JR/T0256—2022 III引言 金融行业是国民经济的重要领域，金融行业网络安全是国家网络安全的重要组成部分，密码技术作 为保障网络安全的核心技术，是金融信息保护和网络信任体系建设的基础。随着国家商用密码应用相关 标准的发布，需要一系列适用于金融行业信息系统商用密码应用的标准作为支撑，以规范和指导金融行 业信息系统商用密码应用和商用密码应用安全性评估工作的实施，从而保障金融行业商用密码应用的合 规、正确、有效，有力提升金融行业网络安全防护水平。 本文件是金融行业信息系统商用密码应用系列标准之一，金融行业信息系统商用密码应用系列标准 包括以下标准。 ——《金融行业信息系统商用密码应用基本要求》。 ——《金融行业信息系统商用密码应用测评要求》。 ——《金融行业信息系统商用密码应用测评过程指南》。JR/T0256—2022 1金融行业信息系统商用密码应用测评要求 1范围 本文件规定了金融行业信息系统不同等级密码应用的测评要求，从密码算法合规性、密码技术合规 性、密码产品合规性、密码服务合规性和密钥管理安全性方面，提出了第一级到第五级的密码应用通用 测评要求；从金融业信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全 4个技术层面提出了第一级到第四级密码应用技术的测评要求；从管理制度、人员管理、建设运行和应 急处置4个管理方面提出了第一级到第四级密码应用管理的测评要求。同时规定了整体测评、风险分析 和评价、测评结论等测评环节的要求。 本文件适用于指导、规范金融行业信息系统在规划、建设、运行环节的商用密码应用安全性评估工 作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T15843.2信息技术安全技术实体鉴别第2部分：采用对称加密算法的机制 GB/T15843.3信息技术安全技术实体鉴别第3部分：采用数字签名技术的机制 GB/T15843.4信息技术安全技术实体鉴别第4部分：采用密码校验函数的机制 GB/T20518信息安全技术公钥基础设施数字证书格式 GB/T36968信息安全技术IPSecVPN技术规范 GB/T37092信息安全技术密码模块安全要求 GB/T38540信息安全技术安全电子签章密码技术规范 GB/T38556信息安全技术动态口令密码应用技术规范 GB/T39786信息安全技术信息系统密码应用基本要求 GM/T0024SSLVPN技术规范 GM/T0027智能密码钥匙技术规范 GM/T0037证书认证系统检测规范 GM/T0038证书认证密钥管理系统检测规范 GM/T0115信息系统密码应用测评要求 JR/T0255金融行业信息系统商用密码应用基本要求 GM/Z4001密码术语 3术语和定义 JR/T0255《金融行业信息系统商用密码应用基本要求》和GM/Z4001《密码术语》中界定的以及 下列术语和定义适用于本文件。 3.1 商用密码应用安全性评估人员commercialcryptographyapplicationsecurityevaluation staff 商用密码应用安全性评估机构中从事商用密码应用安全性评估的人员（以下简称密评人员）。 [来源：GM/T0115，3.1，有修改]JR/T0256—2022 23.2 核查examine 密评人员对测评对象进行观察、查验和分析，以理解、澄清或取得证据的过程。 [来源：GM/T0115，3.2，有修改] 3.3 SM2算法SM2algorithm 1种椭圆曲线公钥密码算法。 注：该算法密钥长度为256比特。 [来源：GM/Z4001，2.118，有修改] 3.4 SM3算法SM3algorithm 1种密码杂凑算法。 注：该算法输出为256比特。 [来源：GM/Z4001，2.119，有修改] 3.5 SM4算法SM4algorithm 1种分组密码算法。 注：该算法分组长度为128比特，密钥长度为128比特。 [来源：GM/Z4001，2.120，有修改] 4缩略语 下列缩略语适用于本文件。 APDU：应用协议数据单元（ApplicationProtocolDataUnit） ECC：椭圆曲线密码算法（EllipticCurveCryptographyAlgorithm） IBC：标识密码算法（Identity—BasedCryptography） IC：集成电路（IntegratedCircuit） IPSec：互联网安全协议（InternetProtocolSecurity）