水利密码应用基本要求（征求意见稿）.docx

1、附件3SLICSxxxxxxxCCSPxx中华人民共和国水利行业标准SLTXXX-20XX水利密码应用基本要求BasicRequirementsfortheApplicationofCryptographyinWaterResourcesSystems（征求意见稿）请将你们发现的有关专利的内容和支持性文件随意见一并返回20XX-XX-XX发布20XX-XX-XX实施中华人民共和国水利部发布、乙-J-BU三I1 .范围12 .规范性引用文件13 .术语与缩略语13.1.术语和定义11.2. 缩略语24 .通用要求35 .基本技术要求35.1.物理和环境安全35.2.网络和通信安全41.3. 设备

2、和计算安全41.4. 应用和数据安全46 .典型业务扩展技术要求56. 1.水利工程控制系统57. 2.水利物联感知系统68. 3.水利大数据平台系统79. 4.水利模型平台系统87 .密码应用管理要求97.1. 1.管理制度97.2. 人员管理97.3. 建设运行107.4. 应急处置11附录A12附录B14附录C14-LX.1刖后根据水利技术标准制修订计划安排，按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的要求，编制本标准。请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责任。本标准批准部门：中华人民共和国水利部本标准主持机构：水利部信

3、息中心本标准解释单位：水利部信息中心本标准主编单位：水利部信息中心本标准参编单位：本标准出版单位：中国水利水电出版社本标准主要起草人：本标准审查会议技术负责人：本标准体例格式审查人：本标准在执行过程中，请各单位注意总结经验，积累资料，随时将有关意见和建议反馈至水利部国际合作与科技司（通信地址：北京市西城区白广路二条2号；邮政编码：100053；电话：010-63204533；电子邮箱bzh；网址：jsjdlbzcx）。水利密码应用基本要求1 .范围本标准规定了网络安全等级保护为第一级、第二级和第三级的水利信息系统商用密码应用的基本要求，包括通用要求、基本技术要求、典型业务扩展技术要求和管理要求

4、等。网络安全等级保护为第一级的水利信息系统，应按照GB/T39786第一级的要求开展密码应用。网络安全等级保护为第二级、第三级的水利信息系统应在GB/T39786的基础上，满足本标准要求。本标准适用于指导、规范水利信息系统密码应用的规划、建设、运行等。网络安全等级保护等级为第四级、第五级的水利信息系统，应遵循密码管理相关法律法规标准要求。列入关键信息基础设施的水利信息系统,还应满足关键信息基础设施密码使用管理有关规定。2 .规范性引用文件下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中，凡是注日期的引用文件，仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本（包

5、括所有的修改单）适用于本标准。GB/T35273信息安全技术GB/T37092信息安全技术GB/T39786信息安全技术GB/T43207信息安全技术个人信息安全规范密码模块安全要求信息系统密码应用基本要求信息系统密码应用设计指南SL/T803水利网络安全保护技术规范3 .术语与缩略语3.1. 术语和定义下列术语和定义适用于本标准。3.1.1.机密性confidentiaIity保证信息不被泄露给非授权实体的性质。来源:GB/T397862021,3.13.1.2.数据完整性dataintegrity数据没有遭受以非授权方式所作的改变的性质。来源:GB/T397862021,3.23.1.3.

6、真实性authenticity一个实体是其所声称实体的这种特性。真实性适用于用户、进程、系统和信息之类的实体。来源:GB/T397862021,3.33.1.4.不可否认性no11-repudiation证明一个已经发生的操作行为无法否认的性质。来源:GB/T397862021,3.43.1.5.水利数据waterresourcesdata水事活动组织、个人在开展水利业务、提供水利服务以及日常运营管理过程中产生或获取的，任何以电子或者其他方式对信息的记录。注：如无特别说明，本标准所称水利数据均指通过网络收集、存储、使用、加工、传输、提供、公开的电子形式的水利数据。3.1.6.水利重要数据wat

7、erresourceskeydata达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的水利数据。注：仅影响组织自身或公民个体的数据一般不作为重要数据。3 .1.7.数据安全datasecurity通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。来源:GB/T414792022,3.43.2. 缩略语下列缩略语适用于本标准。PLC：可编程逻辑控制器(ProgrammableLogicController)VPN：虚拟专用网络(VirtualPrivateNetwork)SSL：安全套接层(Securit

8、ySocketlayer)IPSec：互联网安全协议(InternetProtocolSecurity)CPU：中央处理器(CentralProcessingUnit)GPU：图形处理器(GraPhiCSProcessingUnit)API：应用程序编程接口（ApplicationProgrammingInterface）4 .通用要求本项要求包括：a）应结合水利信息系统业务流程和数据资产等，开展密码应用方案设计，使用密码技术实现信息系统的机密性、完整性、真实性、不可否认性保护；b）密码应用应与信息系统同步规划、同步建设、同步运行；c）水利部本级、流域管理机构、省级水利部门、大型（含重要中型）

9、水利工程管理单位等应统筹节约建设使用密码资源，按照SL/T803要求建设或共享统一密码服务。水利统一密码服务设计框架参见附录A；d）水利信息系统中使用的密码算法应符合GB/T39786通用要求中关于密码算法的要求；e）水利信息系统中使用的密码技术应符合GB/T39786通用要求中关于密码技术的要求；f）水利信息系统中使用的密码产品、密码服务应符合GB/T39786中关于密码产品、密码服务的要求；g）基本技术要求和典型业务扩展技术要求共同构成水利信息系统密码应用技术要求，水利信息系统无论以何种形式出现，应根据网络安全等级保护等级实现相应级别的基本技术要求;水利工程控制系统、水利物联感知系统、水利

10、大数据平台系统、水利模型平台系统等典型业务，还应满足典型业务扩展技术要求。5 .基本技术要求5.2. 基础要求本项要求包括：a）应符合GB/T39786规定的密码应用基本要求中的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面技术要求；网络安全等级保护第二级、第三级水利信息系统密码应用基本技术要求简表参见附录B；b）信息系统中采用的密码产品应符合GB/T37092规定要求并具有商用密码产品认证证书，且第二级系统采用的密码产品应达到安全一级及以上要求，第三级系统采用的密码产品应达到安全二级及以上要求。5.3. 物理和环境安全本项要求包括：a）身份鉴别：第二级系统、第三级系统宜

11、采用密码技术保护的电子门禁系统等，对进入物理机房等重要物理区域的人员进行身份鉴别，保证人员身份的真实性；b）电子门禁记录数据存储完整性：第二级系统可/第三级系统宜采用密码技术对电子门禁系统进出记录数据进行存储完整性保护；C）视频监控记录数据存储完整性：第三级系统宜采用密码技术对机房等重要物理区域的视频监控音像记录数据进行存储完整性保护。5.4. 网络和通信安全本项要求包括：a）身份鉴别：第二级系统宜/第三级系统应采用密码技术，对信息系统与外界交互的通信信道两端的通信实体进行身份鉴别，保证通信实体身份的真实性；b）通信过程重要数据机密性：第二级系统宜/第三级系统应采用密码技术，对通信过程中水利重

12、要数据进行机密性保护；c）通信数据完整性：第二级系统可/第三级系统宜采用密码技术保证通信过程中数据的完整性;d）网络边界访问控制信息完整性：第二级系统可/第三级系统宜采用密码技术，对网络边界访问控制信息进行完整性保护；e）安全接入认证：第三级系统可采用密码技术对从外部连接到内部网络的设备进行接入认证，确保接入设备身份的真实性。5.5. 设备和计算安全本项要求包括：a）身份鉴别：第二级系统宜/第三级系统应采用密码技术，对登录设备的用户进行身份鉴别，保证用户的身份真实性；b）远程管理通道安全：第三级系统应采用密码技术建立安全的远程管理信息传输通道；c）访问控制信息完整性：第二级系统可/第三级系统宜

13、采用密码技术，对系统资源的访问控制信息进行完整性保护；d）重要信息资源安全标记完整性：第三级系统宜采用密码技术保证设备中的重要信息资源安全标记的完整性；e）日志完整性：第二级系统可/第三级系统宜采用密码技术，对设备的日志记录进行完整性保护；f）重要可执行程序完整性和来源真实性：第三级系统宜采用密码技术，对重要可执行程序进行完整性保护，并对其来源进行真实性验证。5.6. 应用和数据安全本项要求包括：a）身份鉴别：第二级系统宜/第三级系统应采用密码技术，对登录用户进行身份鉴别，保证应用系统用户身份的真实性；b）访问控制信息完整性：第二级系统可/第三级系统宜采用密码技术保证信息系统应用的访问控制信息

14、的完整性；C）重要信息资源安全标记完整性：第三级系统宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性；d）重要数据机密性：第二级系统宜/第三级系统应采用密码技术，对信息系统应用的重要数据在传输和存储过程中进行机密性保护；e）重要数据完整性：第二级系统、第三级系统宜采用密码技术，对信息系统应用的重要数据在传输和存储过程中进行完整性保护；f）不可否认性：在可能涉及法律责任认定的应用系统中，第三级系统宜采用符合法律法规相关要求的密码技术，实现数据原发行为和数据接收行为的不可否认性；g）个人敏感信息：应按照GB/T35273要求，对个人敏感信息采用加密等安全措施。6 .典型业务扩展技术要求

15、6.2. 水利工程控制系统6.2.1 一般要求本项要求包括：a）本部分要求主要针对第三级水利信息系统，第一级、第二级系统可参考执行；b）在保证实时性的基础上，应全面加强水利工程控制系统中PLC、测控装置等下位机设备和工程师站、操作员站、采集服务器、应用服务器等上位机设备的密码应用；c）应采用密码技术，对水利工程控制系统机房、现地站、关键设备间等进行物理和环境安全保护；d）水利工程控制系统建设、升级、改造时，宜优先部署具有密码功能产品实现密码应用相关要求；e）各层级设备确需改造，但不具备改造能力的，可部署网关类密码产品实现保护。612网络和通信安全本项要求包括：a）水利工程控制系统中的上位机、下

16、位机等设备互联访问时，应完成基于证书或其他身份证明的双向认证；b）设备之间传输的信息应采用密码技术进行完整性和机密性保护；c）水利工程控制系统中的PLC、工程师站、操作员站等关键设备，宜采用密码技术进行接入认证，确保接入设备身份的真实性。6.1.3 设备和计算安全本项要求包括：a）宜使用统一密码服务签发设备证书等方式管理设备合法身份；b）应为水利工程控制系统中关键设备的操作人员发放身份凭证，采用密码技术进行登录认证和权限控制；c）应采用密码技术对设备的访问控制信息、日志记录等重要信息进行完整性保护；d）宜采用密码技术对重要可执行程序进行完整性保护，并对其来源进行真实性验证。6.1.4 应用和数

17、据安全本项要求包括：a）水利工程控制系统运行产生的重要数据，应采用密码技术进行存储完整性和机密性保护；b）应为登录水利工程控制系统的人员发放身份凭证，采用密码技术进行登录认证和权限控制；c）水利工程控制系统中传递的关键控制指令，应采用密码技术进行真实性、完整性和不可否认性保护；d）水利工程控制系统升级更新时，应采用密码技术进行完整性校验和操作授权控制。6.2. 水利物联感知系统6.2.1 一般要求本项要求包括：a）本部分要求主要针对第三级水利信息系统，第一级、第二级系统可参考执行；b）应采用密码技术，实现设备接入认证、数据安全保护等；c）计算存储资源有限的感知终端，宜采用低计算复杂度、低资源占

18、用、低功耗的轻量级密码算法。6.2.2 网络和通信安全本项要求包括：a）应采用密码技术，对感知终端与感控平台、感知终端与水利业务网、感控平台与水利业务网等通信信道中的通信实体进行身份鉴别，保证通信实体身份的真实性；b）宜采用密码技术，对连接到水利物联感知系统的感知终端、感控平台等进行接入认证，确保接入设备身份真实性；c）宜采用密码技术，对水利物联感知系统接入水利业务网进行接入认证，确保接入系统身份真实性；d）感知终端传输鉴别信息、监测数据等信息时，应采用密码技术进行加密保护和完整性保护。6.2.3 设备和计算安全本项要求包括：a）应采用设备证书等密码技术实现设备自身身份认证；b）应为感知终端、

19、感控平台的管理员、设备操作人员发放身份凭证，采用密码技术进行登录认证和权限控制；c）应采用密码技术，对感知终端、感控平台的日志记录、访问控制列表等进行完整性保护。6.2.4 应用和数据安全本项要求包括：a）应采用密码技术，对感知终端、感控平台存储和传输的鉴别信息、监测数据等重要数据进行机密性保护；b）应采用密码技术，对感知终端、感控平台存储和传输的鉴别信息、监测数据等重要数据进行完整性保护。6.3. 水利大数据平台系统6.3.1 一般要求本项要求包括：a）本部分要求主要针对第三级水利信息系统，第一级、第二级系统可参考执行；b）水利大数据平台系统宜配置完善的密码支撑服务平台，由密码支撑服务平台进

20、行统一的密码应用服务；c）在开展密码应用前，应按照水利数据分类分级有关要求完成数据分类分级，建立重要数据目录，采用密码技术对重要数据进行重点保护。6.3.2 网络和通信安全本项要求包括：a）应采用密码技术，建立水利大数据平台与外部系统交互的安全通道；b）在建立安全通道时，应采用密码技术对通信双方进行身份认证，防止非法接入；c）水利大数据平台与外部系统传输的信息应由安全通道进行完整性和机密性保护。6.3.3 设备和计算安全本项要求包括：a）应采用密码技术，建立水利大数据平台系统服务器、存储等设备的远程管理信息传输通道；b）应为水利大数据平台的运维人员发放身份凭证，采用密码技术进行登录认证和权限控

21、制；c）应采用密码技术，对水利大数据平台设备的访问控制信息、日志记录等重要信息进行完整性保护；d）宜采用密码技术对重要可执行程序进行完整性保护，并对其来源进行真实性验证。6.3.4 应用和数据安全本项要求包括：a）应针对地理空间数据、基础数据、监测数据、业务管理数据、外部共享数据的数据格式特点，完善完整性、机密性保护机制；b）宜针对LI、L2、L3级地理空间数据设置强度递增的完整性、机密性保护机制；c）应制定多租户数据存储隔离机制，不同业务应用间应通过密码技术进行加密隔离并配置不同的密钥；d）宜采用透明加密、字段加密等技术，实现不同层面的数据存储机密性保护；e）宜采用同态加密、多方安全计算、差

22、分隐私、机密计算等技术实现数据不出域及可用不可见保护。6.4. 水利模型平台系统6.4.1 一般要求本项要求包括：a）本部分要求主要针对第三级水利信息系统，第一级、第二级系统可参考执行；b）水利模型平台系统应同步建设基于密码的安全治理框架；c）水利模型平台系统应具备基于证书或其他基于密码的认证能力；d）水利模型平台系统应具备加密传输能力；e）水利模型平台系统应具备完整性校验能力。6.4.2 语料安全本项要求包括：a）应对远程训练数据源进行双向身份认证；b）应对远程数据传输过程进行加密保护；c）应支持用户对上传到模型平台的数据进行完整性校验；d）水利模型平台建设为多租户系统的，应为各租户的数据存

23、储空间提供独立密钥服务；e）水利模型平台接入互联网LLM（LargeLanguageModel,大语言模型）服务的，应建设差分隐私变换、假名化等脱敏服务。643模型安全本项要求包括：a）应对模型传输过程进行加密保护；b）应提供数字签名服务，支持模型的真实性完整性校验；c）应采用密码技术，对模型生成消息鉴别码、进行数字签名等，确保模型的真实性；d）模型更新时，应采用密码技术，确保更新操作的不可抵赖性。6.4.4 训练和推理安全本项要求包括：a）宜采用密码技术，为不同用户的训练、推理任务设置隔离环境，包括但不限于基于容器的隔离、基于虚拟机的隔离等；b）水利模型平台涉及大量敏感数据的，应支持创建受信

24、任执行环境的通用CPU和GPU等加速器；c）应采用密码技术，对推理APl进行身份鉴别和访问控制保护；d）水利模型平台面向互联网提供服务的，应建设泛化、假名化等脱敏服务。7 .密码应用管理要求7.4. 管理制度本项要求包括：a）具备密码应用安全管理制度：第二级系统/第三级系统应制定密码应用安全管理制度，包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度；b）密钥管理规则：第二级系统/第三级系统应建立密钥管理规则，包括根密钥、对称密钥、非对称密钥等密钥管理规则；c）建立操作规程：第二级系统/第三级系统应对密码管理人员或操作人员执行的日常管理操作建立操作规程；d）定期修订安全

25、管理制度：第三级系统应明确安全管理制度和操作规程的发布流程；应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定，对存在不足或需要改进之处进行修订，并留存论证和审定记录；e）明确管理制度发布流程：第三级系统应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制；f）制度执行过程记录留存：第三级系统应妥善保存密码应用操作规程的相关执行记录。7.5. 人员管理本项要求包括：a）了解并遵守密码相关法律法规和密码管理制度：第二级系统/第三级系统相关人员应了解并遵守密码相关法律法规和密码应用安全管理制度；b）建立密码应用岗位责任制度：第二级系统/第三级系统应设置密码应用相关岗位

26、明确各岗位的职责和权限；1）第三级系统应根据密码应用的实际情况，设置密钥管理员、密码安全审计员、密码操作员等关键岗位；对关键岗位建立多人共管机制；2）第三级系统密钥管理员、密码安全审计员、密码操作员职责应互相制约互相监督，密码安全审计员不可兼任密钥管理员、密码操作员；3）第三级系统相关设备与系统的管理和使用账号、动态令牌、智能密码钥匙等不应多人共用；4）关键信息基础设施运营者，应在密码应用岗位人员任前进行背景审查，并留存审查结果记录；岗位人员应具备相应的专业学历或职业技能。c）建立岗位人员培训考核制度：第二级系统/第三级系统上岗前应对相关岗位人员进行专门培训，考核通过后方可从事相关岗位工作；

27、d）定期进行安全岗位人员考核：第三级系统应定期（至少每年一次）或密码应用相关要求发生重大变化时，对相关岗位人员进行培训和考核，应妥善保存培训和考核记录；e）建立关键岗位人员保密制度和调离制度：第二级系统/第三级系统应建立岗位人员保密制度和调离制度，签订保密合同，承担保密义务；人员调离时，应及时终止离岗人员密码设备与系统的访问权限、操作权限，收回相应的密码产品或设备。7.6. 建设运行本项要求包括：a）制定密码应用方案：第二级系统/第三级系统信息系统规划阶段，应依照相关法律法规和GB/T43207等密码相关标准规范，结合信息系统实际情况分析和密码应用需求，同步制定密码应用方案；b）制定密钥安全管

28、理策略：第二级系统/第三级系统应根据密码应用方案，确定系统涉及的密钥种类、体系及其生存周期环节，各环节密钥管理要求参照附录C。c）制定实施方案：第二级系统/第三级系统应按照密码应用方案制定密码应用实施方案，依据密码应用实施方案实施建设。d）投入运行前进行密码应用安全性评估：第三级系统投入运行前，应委托商用密码应用安全性评估机构开展商用密码应用安全性评估，信息系统未通过商用密码应用安全性评估的，应进行改造，改造期间不应投入运行；第二级系统投入运行前，宜进行商用密码应用安全性评估；e）定期开展密码应用安全性评估：第三级系统在运行过程中，每年应至少开展一次商用密码应用安全性评估，确保密码应用正确有效

29、运行。未通过商用密码应用安全性评估的，应进行改造，并在改造期间采取必要措施保证信息系统运行安全；f）定期开展攻防对抗演习：第三级系统在运行过程中，应严格执行密码应用安全管理制度和操作规程，开展日常运行管理工作，及时检查、总结、调整现有的密码应用措施，确保各项密码技术和管理措施落实到位，并定期开展商用密码应用安全性评估及攻防对抗演习，并根据评估结果制定整改方案进行整改。7.7. 应急处置本项要求包括：a）应急策略：第二级系统/第三级系统做好应急资源准备，当发现发生密码应用安全事件、安全隐患或者特殊紧急情况，应立即启动应急处置措施，结合实际情况及时处置；b）事件处置：第三级系统发现发生密码应用安全

30、事件、安全隐患或者特殊紧急情况后，应及时向信息系统主管部门及归属的密码管理部门报告，必要时开展商用密码应用安全性评估;c）向有关主管部门上报处置情况：第三级系统事件处置完成后，应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。d）应急策略培训与演练：第二级系统/第三级系统应根据应急策略定期开展应急演练，确保应急处置人员熟练掌握应急处置措施；e）应急策略修订与完善：第二级系统/第三级系统应定期检查应急策略、应急措施的正确性、完整性和适用性，并适时进行完善和调整。附录A（资料性）水利统一密码服务设计框架水利密码应用技术框架包含密码支撑服务和密码安全应用两部分，如图1所示。密码

31、服务统一身份认证服务签名验签服务电子签章服务数字证书服务时间戳服务密码支撑服务密钥管数据加薪理服务密服务密码支撑平台密码资源证书认证密钥管理系统系统云服务器服务器密签名验签服务器SSLVPXIPSecVP、安全网关I身份认证电了签章时间戳服网关系统务器图1水利统一密码服务设计框架密码支撑服务为信息系统应用密码提供支撑，包括密码资源和密码服务。密码资源是实现密码运算、密钥管理等功能的设备、系统、模块等，主要包括证书认证系统、密钥管理系统、云服务器/服务器密码机、签名验签服务器、SSLVPN/IPSecVPN安全网关、身份认证网关、电子签章系统、时间戳服务器等密码产品组成。遵循以下要求：a）针对密

32、码资源可构建物理密码资源和虚拟密码资源共同组成的水利密码计算资源；b）密码资源的最大服务范围应控制在独立安全可控的网络区域内；c）密码资源应能够根据业务需求进行弹性扩充，并进行统一监控调度和分配，应具有协同处理和容错能力，避免单元设备故障或失效影响；d）密码资源内采用的密码产品应具备商用密码产品认证证书。密码服务以接口形式提供密码功能，供信息系统调用，以实现各信息系统密码应用需求。包括密码支撑平台和密钥管理服务、数据加解密服务、完整性验证服务、签名验签服务、数字证书服务、统一身份认证服务、电子签章服务、时间戳服务等各项服务。遵循以下要求。a）宜建设密码支撑平台对密码资源进行统一管理，并以服务接

33、口的方式提供密码服务功能；b）信息系统对密码服务时效性、稳定性要求特别高时，可直接调用相应密码资源提供密码服务功能；c）应建立水利行业统一信任体系下的数字证书基础设施，实现水利数字证书统一签发、统一分发、统一管理等；d）宜构建统一的密钥安全管理和级联加解密服务。密码安全保障依托密码支撑服务为信息系统需提供基于密码的安全应用保障，围绕主要包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面，实现信息系统的机密性、完整性、真实性、不可否认性保护。附录B（资料性）第二级、第三级水利信息系统密码应用基本技术要求汇总表技术指标第二级第三级主要应用范围或功能点技术要求物理和环境安全

34、身份鉴别宜宜重要物理区域（中心机房、灾备机房、控制室等）出入人员电子门禁记录数据存储完整性宜宜重要物理区域门禁日志记录数据视频监控记录数据存储完整性宜宜重要物理区域视频音像记录数据网络和通信安全身份鉴别宜应信息系统与外界交互的通信信道两端（客户端/浏览器到信息系统服务端之间、VPN客户端到VPN服务端之间、信息系统与外部系统之间等）的通信实体通信过程重要数据机密性宜应通信信道中传输的重要数据通信数据完整性可宜通信信道中传输的数据网络边界访问控制信息完整性可宜防火墙、边界路由、VPN等网络边界设备的访问控制列表安全接入认证可外部连接到内部的设备设备和计算安全身份鉴别宜应登录设备（通用设备、网络及

35、安全设备、密码设备、堡垒机等）的管理员远程管理通道安全应运维管理终端与设备之间的管理通道访问控制信息完整性可宜设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中的数据访问控制信息、堡垒机的权限访问控制信息等重要信息资源安全标记完整性宜通用设备、网络及安全设备、密码设备、堡垒机等的重要信息资源安全标记日志完整性可宜通用设备、网络及安全设备、密码设备、堡垒机等的日志重要可执行程序完整性和来源真实性宜通用设备、网络及安全设备、密码设备、堡垒机等的重要可执行程序应用和数据安全身份鉴别宜应登录或访问应用系统的用户访问控制信息完整性可宜应用系统中的访问控制信息重要信息资源安全标记完整

36、性宜应用系统中重要信息资源的安全标记重要数据机密性宜应应用系统中的身份鉴别信息、个人信息、日志信息、业务数据等重要数据重要数据完整性可宜应用系统中的身份鉴别信息、个人信息、日志信息、业务数据等重要数据不可否认性宜应用系统中的关键操作附录C（资料性）密钥生存周期管理C.1概述密钥管理对于保证密钥全生存周期的安全性是至关重要的，可以保证密钥（除公钥外）不被非授权的访问、使用、泄露、篡改和替换，可以保证公钥不被非授权的篡改和替换。信息系统的应用和数据层面的密钥体系由业务系统根据密码应用需求在密码应用方案中明确，并在密码应用实施中落实。密钥管理包括密钥的产生、分发、存储、使用、更新、归档、撤销、备份、

37、恢复和销毁等环节。以下给出各个环节的密钥管理建议供参考。C.2密钥产生密钥可以以随机产生、协商产生等不同的方式来产生。密钥在符合GB/T37092的密码产品中产生是十分必要的，产生的同时可在密码产品中记录密钥关联信息，包括密钥种类、长度、拥有者、使用起始时间、使用终止时间等。C.3密钥分发密钥分发是密钥从一个密码产品传递到另一个密码产品的过程，分发时要注意抗截取、篡改、假冒等攻击，保证密钥的机密性、完整性以及分发者、接收者身份的真实性等。C.4密钥存储密钥不以明文方式存储在密码产品外部是十分必要的，并采取严格的安全防护措施，防止密钥被非授权的访问或篡改。公钥是例外，可以以明文方式在密码产品外存

38、储、传递和使用，但有必要采取安全防护措施，防止公钥被非授权篡改或替换。C.5密钥使用每个密钥一般只有单一的用途，明确用途并按用途正确使用是十分必要的。密钥使用环节需要注意的安全问题是：使用密钥前获得授权、使用公钥证书前对其进行有效性验证、采用安全措施防止密钥的泄露和替换等。另外，有必要为密钥设定更换周期，并采取有效措施保证密钥更换时的安全性。C.6密钥更新密钥更新发生在密钥超过使用期限、已泄露或存在泄露风险时，根据相应的更新策略进行更新。C.7密钥归档如果信息系统中有密钥归档需求，则根据实际安全需求采取有效的安全措施，保证归档密钥的安全性和正确性。需要注意的是，归档密钥只能用于解密该密钥加密的

39、历史信息或验证该密钥签名的历史信息。如果执行密钥归档，则有必要生成审计信息，包括归档的密钥、归档的时间等。C.8密钥撤销密钥撤销一般针对公钥证书所对应的密钥。当证书到期后，密钥自然撤销。也可以按需进行密钥撤销，撤销后的密钥具备使用效力。C.9密钥备份对于需要备份的密钥，采用安全的备份机制对密钥进行备份是必要的，以确保备份密钥的机密性和完整性，这与密钥存储的要求是一致的。密钥备份行为是审计涉及的范围，有必要生成审计信息，包括备份的主体、备份的时间等。C.10密钥恢复可以支持用户密钥恢复和司法密钥恢复。密钥恢复行为是审计涉及的范围，有必要生成审计信息，包括恢复的主体、恢复的时间等。C.11密钥销毁密钥销毁要注意的是销毁过程的不可逆，即无法从销毁结果中恢复原密钥。