（正式版）-B-T 43206-2023 信息安全技术 信息系统密码应用测评要求.docxVIP

ICS35.030

CCSL80

中华人民共和国国家标准GB/T43206—2023

信息安全技术

信息系统密码应用测评要求

Informationsecuritytechnology—Testingandevaluationrequirementsfor

informationsystemcryptographyapplication

2023-09-07发布

2024-04-01实施

国家市场监督管理总局国家标准化管理委员会

发布

I

GB/T43206—2023

目次

前言 Ⅲ

1范围 1

2规范性引用文件 l

3术语和定义 1

4通则 2

5通用测评要求 3

5.1密码算法 3

5.2密码技术 3

5.3密码产品 3

5.4密码服务 4

5.5密钥管理 4

6技术测评要求 4

6.1物理和环境安全 4

6.2网络和通信安全 7

6.3设备和计算安全 10

6.4应用和数据安全 14

7管理测评要求 20

7.1管理制度 20

7.2人员管理 22

7.3建设运行 25

7.4应急处置 27

8整体测评要求 29

8.1概述 29

8.2单元间测评 29

8.3层面间测评 29

9风险分析和评价 29

10测评结论 29

附录A(资料性)密钥生存周期管理检查要点 31

附录B(资料性)典型密码功能测评技术 35

附录C(资料性)典型密码产品应用测评技术 38

参考文献 41

Ⅲ

GB/T43206—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本文件起草单位：国家密码管理局商用密码检测中心、中国科学院信息工程研究所、公安部第三研究所、国家信息技术安全研究中心、中国电子科技集团公司第十五研究所、中国电子技术标准化研究院、国家信息中心、工业和信息化部电子第五研究所、中国科学院软件研究所、北京市政务信息安全保障中心(北京信息安全测评中心)、北京国家数字金融技术检测中心有限公司、深圳市网安计算机安全检测技术有限公司、道普信息技术有限公司、国电南京自动化股份有限公司、浙江东安检测技术有限公司、北京银联金卡科技有限公司、智巡密码(上海)检测技术有限公司、哈尔滨工业大学(深圳)、安徽科测信息技

术有限公司、新疆量子通信技术有限公司。

本文件主要起草人：罗鹏、肖秋林、马原、张立花、许长伟、陈天宇、黄晶晶、郑昉昱、田敏求、王兵、刘健、杨宏志、吴冬宇、陆臻、张宇翔、李升、任金强、黎水林、李大为、李宏卓、张五一、张晓溪、杨辰、蔡一鸣、孙鑫、高锐、吕娜、宋玲娓、郭守坤、何双羽、杨龙、李霞、王国朝、胡盖、胡燕雄、沈汀、张绍博、

韩玮。

1

GB/T43206—2023

信息安全技术

信息系统密码应用测评要求

1范围

本文件规定了信息系统第一级到第四级密码应用的通用测评要求、技术测评要求、管理测评要

求，并给出了整体测评要求、风险分析和评价、测评结论的要求。

注：本文件描述的信息系统密码应用等级与GB/T39786—2021规定的密码应用等级一致，其中第五级密码应用的

测评要求不在本文件中描述。

本文件适用于指导、规范信息系统密码应用安全性评估工作中的测评活动。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于

本文件。

GB/T25069—2022信息安全技术术语

GB/T39786—2021信息安全技术信息系统密码应用基本要求

GM/Z4001密码术语

3术语和定义

GB/T25069—2022、GB/T39786—2021和GM/Z4001界定的以及下列术语和定义适用于本

文件。

3.1

密码应用安全性评估人员commercialcryptographyapplications