《核安保系统商用密码应用基本要求 (试行)》.pdfVIP

附件4

核安保系统商用密码应用基本要求（试行）

1.引言

1.1目的

为明确核安保系统商用密码应用相关技术、建设、运行、维

护、评估及管理等基本要求，并为核设施其它相关重要网络设施

和信息系统商用密码应用提供参考，制定本导则。

1.2依据

依据《中华人民共和国网络安全法》《中华人民共和国密码法》

《中华人民共和国核安全法》《关键信息基础设施安全保护条例》

《商用密码管理条例》《信息安全技术信息系统密码应用基本要

求》（GB/T39786）等。

1.3范围

本导则适用于核设施营运单位的新建核安保系统商用密码应

用工作。对现有核安保系统进行商用密码改造或改造后的商用密

码应用，可根据具体情况，参照本导则的相关要求执行。

2.基本要求

2.1职责

核设施营运单位承担新建核安保系统商用密码技术建设、运

行、维护、评估及管理等主体责任。

—1—

2.2商用密码算法

核安保系统使用的商用密码算法应符合法律法规的规定和密

码相关国家及国防工业行业标准规范的有关要求。

2.3商用密码技术

核安保系统使用的商用密码技术应符合密码相关国家及国防

工业行业标准规范的有关要求；对重要场所实施物理访问控制，

采用的电子门禁系统应遵循《采用非接触卡的门禁系统密码应用

技术指南》（GM/T0036）。

2.4商用密码产品

核安保系统使用的商用密码产品应符合《信息安全技术信息

系统密码应用基本要求》（GB/T39786）中对应安全等级密码产品

的使用要求。

2.5商用密码服务

为核安保系统提供的商用密码服务应符合相关法律法规的要

求。

2.6数字证书

核安保系统使用数字证书应用时，其证书格式应符合《基于

SM2密码算法的数字证书格式规范》（GM/T0015）。

2.7核安保系统数据

视频监控数据、电子门禁信息和关键业务信息等核安保系统

数据应使用商用密码技术进行保护，实现加密保护和安全认证，

保障核安保系统数据机密性、完整性、真实性和不可否认性。

—2—

3.技术措施

3.1物理安全

控制区应采用智能卡或生物特征识别控制通行；保护区、要

害区应至少采用智能卡加密码控制进入，采用智能卡或生物特征

识别控制出行；重要部位宜采用智能卡加密码加生物特征识别控

制通行。

3.2通信安全

采用商用密码技术保护核安保系统控制区、保护区、要害区

与保卫控制中心网络间的数据传输信道，应对授权接入的设备进

行认证和访问控制。

3.2.1采用密码技术对通信实体进行验证或认证，保证通信实

体的真实性。

3.2.2采用密码技术保证通信过程中数据的真实性、完整性、

机密性。

3.2.3采用密码技术对网络边界访问控制信息的完整性进行保

护。

3.2.4对授权接入设备进行身份唯一标识，并对不同分区建立

网络安全访问控制策略。可配备数字证书作为身份标识对接入设

备进行认证。

3.3设备安全

采用商用密码技术对核安保系统终端设备、服务器、操作系

统登录用户进行身份鉴别，并对相关设备日志进行完整性保护。

—3—

3.3.1应采用密码技术和口令组合的鉴别技术对登录设备用户

进行身份标识和鉴别。其中，口令应满足复杂度和长度要求，并

定期更换身份标识；更换周期不长于1年。

3.3.2宜采用密码技术对日志进行完整性保护，并定期进行完

整性校验。

3.3.3宜采用密码技术保护权限访问列表、设备访问策略等系

统资源访问控制信息的完整性。

3.4数据安全

采用商用密码技术对核安保系统登录用户进行身份鉴别，并

对传输和存储的重要数据进行安全保护。

3.4.1应采用密码技术对核安保系统登录用户和管理员用户

进行身份鉴别。

3.4.2宜采用密码技术对核安保系统应用的访问控制信息、日

志记录、电子门禁系