G-T 43206-2023 信息安全技术 信息系统密码应用测评要求.docxVIP

信息安全技术

信息系统密码应用测评要求

Informationsecuritytechnology—Testingandevaluationrequirementsforinformationsystemcryptographyapplication

2023-09-07发布2024-04-01实施

2023-09-07发布

GB/T43206—2023

I

目次

前言 Ⅲ

1范围 1

2规范性引用文件 1

3术语和定义 1

4通则 2

5通用测评要求 3

5.1密码算法 3

5.2密码技术 3

5.3密码产品 3

5.4密码服务 4

5.5密钥管理 4

6技术测评要求 4

6.1物理和环境安全 4

6.2网络和通信安全 7

6.3设备和计算安全 10

6.4应用和数据安全 14

7管理测评要求 20

7.1管理制度 20

7.2人员管理 22

7.3建设运行 25

7.4应急处置 27

8整体测评要求 29

8.1概述 29

8.2单元间测评 29

8.3层面间测评 29

9风险分析和评价 29

10测评结论 29

附录A(资料性)密钥生存周期管理检查要点 31

附录B(资料性)典型密码功能测评技术 35

附录C(资料性)典型密码产品应用测评技术 38

参考文献 41

GB/T43206—2023

信息安全技术

信息系统密码应用测评要求

1范围

本文件规定了信息系统第一级到第四级密码应用的通用测评要求、技术测评要求、管理测评要求，并给出了整体测评要求、风险分析和评价、测评结论的要求。

注：本文件描述的信息系统密码应用等级与GB/T39786—2021规定的密码应用等级一致，其中第五级密码应用的测评要求不在本文件中描述。

本文件适用于指导、规范信息系统密码应用安全性评估工作中的测评活动。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T25069—2022信息安全技术术语

GB/T39786—2021信息安全技术信息系统密码应用基本要求

GM/Z4001密码术语

3术语和定义

GB/T25069—2022、GB/T39786—2021和GM/Z4001界定的以及下列术语和定义适用于本

文件。

3.1

密码应用安全性评估人员commercialcryptographyapplicationsecurityevaluationstaff

通过国家密码管理部门认可的考核或具有密码技术应用员、密码工程技术人员职业技能等级证书，从事密码应用安全性评估的人员。

注：简称“密评人员”。

3.2

核查examine

密评人员对测评对象进行访谈、文档审查、实地查验和分析，以帮助密评人员理解、澄清或取得证据的过程。

注：核查时可选用的测评方式以及方式的选用说明参考GM/T0116—2021。

[来源：GB/T25069—2022,3.237,有修改]

3.3

测评单元unitoftestingandevaluation

一组相对独立和完整的测评内容，由测评指标、测评对象、测评实施和结果判定组成。

2

GB/T43206—2023

3.4

测评指标indexoftestingandevaluation

测评单元中第一级到第四级密码应用测评的具体要求。

3.5

测评对象targetoftestingandevaluation

测评单元中密码应用的测评实施对象。

注：主要包括物理安防设施、通信信道、密码产品、通用设备、应用、重要数据、人员、制度文档等。测评对象基于密码应用方案和信息系统保护目标的实际安全需求确定，具体确定方法参考GM/T0116—2021。

4通则

本文件对信息系统各密码应用等级的测评指标以“应”“宜”“可”方式进行描述，密评人员在开展实际测评时，按照如下方法确定是否纳入测评和结果判定范围。

a)对于“应”的条款，密评人员