XX市XX局信息系统商用密码应用改造项目需求说明.docxVIP

PAGE PAGE 1 XX市XX局信息系统商用密码应用改造项目需求说明 1.项目背景 密码技术是网络安全的基础和核心，是解决网络与信息安全问题最有效、最可靠、最经济的手段，商用密码技术作为国家自主可控的核心技术，在维护国家安全、促进经济发展、保护人民群众利益、保障政务信息化建设中发挥着不可替代的重要作用。法律的颁布实施为开展商用密码应用提供了遵循依据。 《中华人民共和国网络安全法》第三章第三十一条中明确提出：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域等关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。 《中华人民共和国密码法》第二十七条中明确提出“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。” 《国家政务信息化项目建设管理办法》（以下简称《办法》）进一步促进了商用密码的全面应用。《办法》提出：项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估；对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。 《国家密码管理局关于请进一步加强国家政务信息系统密码应用与安全性评估工作的函》要求进一步加强非涉密国家政务信息系统密码应用与安全性评估工作。对于《办法》实施前已验收的项目，要完善密码应用方案并组织开展密码应用安全性评估；《办法》实施前已完成审批正在建设的项目，要进一步加强密码应用方案编制论证，建设完善密码保障系统，并在验收前开展密码应用安全性评估。 2.项目建设内容 根据国家标准文件《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）对商用密码应用安全的检测要求，不同安全保护等级的信息系统中密码技术应用要求具体如下表, XXXX局基础地理信息管理平台等保定级为三级，密码应用方案按照下表第三级应用标准进行设计。 密码应用需求表 指标体系 第一级 第二级 第三级 第四级 技术要求 物理和环境安全 身份鉴别 可 宜 宜 应 电子门禁记录数据存储完整性 可 可 宜 应 视频记录数据存储完整性 -- -- 宜 应 密码服务 应 应 应 应 密码产品 -- 一级及以上 二级及以上 三级及以上 网络和通信安全 身份鉴别 可 宜 应 应 通讯数据完整性 可 可 宜 应 通讯过程中重要数据的机密性 可 宜 应 应 网络边界访问控制信息的完整性 可 可 宜 应 安全接入认证 -- -- 可 宜 密码服务 应 应 应 应 密码产品 -- 一级及以上 二级及以上 三级及以上 设备和计算安全 身份鉴别 可 宜 应 应 远程管理通道安全 -- -- 应 应 系统资源访问控制信息完整性 可 可 宜 应 重要信息资源安全标记完整性 -- -- 宜 应 日志记录完整性 可 可 宜 应 重要可执行程序完整性、重要可执行程序来源真实性 -- -- 宜 应 密码服务 应 应 应 应 密码产品 -- 一级及以上 二级及以上 三级及以上 应用和数据安全 身份鉴别 可 宜 应 应 访问控制信息完整性 可 可 宜 应 重要信息资源安全标记完整性 -- -- 宜 应 重要数据传输机密性 可 宜 应 应 重要数据存储机密性 可 宜 应 应 重要数据传输完整性 可 宜 宜 应 重要数据存储完整性 可 宜 宜 应 不可否认性 -- -- 宜 应 密码服务 应 应 应 应 密码产品 -- 一级及以上 二级及以上 三级及以上 管理要求 管理制度 具备密码应用安全管理制度 应 应 应 应 密钥管理规则 应 应 应 应 建立操作规程 -- 应 应 应 定期修订安全管理制度 -- -- 应 应 明确管理制度发布流程 -- -- 应 应 制度执行过程记录留存 -- -- 应 应 人员管理 了解并遵守密码相关法律法规和密码管理制度 应 应 应 应 建立密码应用岗位责任制度 -- 应 应 应 建立上岗人员培训制度 -- 应 应 应 定期进行安全岗位人员考核 -- -- 应 应 建立关键岗位人员保密制度和调离制度 应 应 应 应 建设运行 制定密码应用方案 应 应 应 应 制定密钥安全管理策略 应 应 应 应 制定实施方案 应 应 应 应 投入运行前进行密码应用安全性评估 可 宜 应 应 定期开展密码应用安全性评估及攻防对抗演习 -- -- 应 应 应急处置 应急预案 可 应 应 应 事件处置 -- -- 应 应 向有关主管部门上报处置情况 -- -- 应 应 注：表格中“--”表示该项不作要求；“可”表示可以、允许；“宜”表示推荐、建议；“应”