商用密码应用方案-2024-评审终稿v2.docx

密码服务组件系统商用密码应用方案

PAGE2

xxxxxxxxx

商用密码应用方案

项目名称：xxxxxx商用密码应用

建设单位：xxxxxx

编制单位：xxxx限公司

编制日期：2024年11月

商用密码应用方案

目录

TOC\o1-3\h\z\u1背景 6

1.1建设规划、法律法规要求 6

1.2项目实施的必要性 6

2系统概述 7

2.1基本情况 7

2.1.1系统名称 7

2.1.2系统责任主体单位情况 7

2.1.3系统上线运行时间 7

2.1.4系统用户情况 7

2.1.5完成等保备案情况 9

2.1.6网络安全保护等级建设情况 9

2.1.7商用密码应用建设情况 9

2.2计算平台现状 9

2.3业务应用现状 9

2.3.1业务应用基本情况 9

2.3.2承载的业务情况 13

2.4密码应用现状 15

2.5密码应用管理现状 15

3密码应用需求分析 16

3.1计算平台风险控制需求 16

3.2业务应用风险控制需求 16

3.2.1物理和环境安全 16

3.2.2网络和通信安全 17

3.2.3设备和计算安全 24

3.2.4应用和数据安全 31

3.3安全管理 35

3.4密钥管理要求 36

3.5密码应用需求分析表 36

4安全目标及设计原则 44

4.1安全目标 44

4.2设计原则与依据 44

4.2.1设计原则 44

4.2.2遵循依据 46

5密码应用设计 47

5.1密码应用技术框架 47

5.2算法配用 50

5.3计算平台密码应用方案 51

5.4密码支撑平台方案 51

5.5业务应用密码应用方案 51

5.5.1物理和环境安全 51

5.5.2网络和通信安全 52

5.5.3设备和计算安全 58

5.5.4应用和数据安全 62

5.6密码应用部署设计 68

5.6.1设备选型原则 68

5.6.2软件硬件设备清单 68

5.6.3部署示意图及说明 72

5.7密钥管理 73

6安全管理方案 76

6.1管理制度 76

6.2人员管理 76

6.2.1人员组织 76

6.2.2岗位管理 76

6.2.3职责和权限 77

6.2.4培训 79

6.2.5建设运行 79

6.2.6应急处置 80

6.3密码软硬件与介质管理 90

6.4运维管理 90

6.4.1运维工作总体要求 90

6.4.2运维团队组成和职责 91

6.5其他 92

6.5.1监督管理 92

6.5.2制度发布 92

6.5.3制度执行 92

7安全与合规性分析 93

7.1密码应用合规性（技术）分析表 93

7.2密码应用合规性（管理）对照表 104

8实施保障方案 107

8.1实施内容 107

8.2实施计划 107

8.2.1项目设计 107

8.2.2方案备案 107

8.2.3项目建设 107

8.2.4系统运行 108

8.2.5项目验收 108

8.3保障措施 108

背景

建设规划、法律法规要求

党的十八大以来，以习近平同志为核心的党中央高度重视国家安全，成立中央国家安全委员会，制定《国家安全战略纲要》，颁布实施《中华人民共和国国家网络安全法》，十九大报告更是提出“坚持总体国家安全观”。2019年10月26日，十三届全国人大常委会第十四次会议表决通过《中华人民共和国密码法》，并于2020年1月1日正式施行，所有涉及国家安全、国计民生、社会公共的应用系统都应使用符合国家要求的密码设施来保证信息安全。

为保障xxxxxx切实落实商用密码应用与安全性评估工作，通过对本期xxxxxx的现状和密码应用需求进行分析，依据GB/T39786《信息安全技术信息系统密码应用基本要求》（以下简称：《密码应用基本要求》），从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4个层面，以及密钥管理、安全管理等方面，设计密码应用方案，保证密码使用的正确性、合规性、有效性。

项目实施的必要性

近年来，我国密码科技发展迅速，密码管理部门公开发布了具有自主知识产权和高安全强度的多项密码相关标准，基本建