重磅发布丨渔翁信息密评整改方案助力用户密码应用改造.pdf

丈夫志四方，有事先悬弧，焉能钧三江，终年守菰蒲。——《顾炎武》

重磅发布⼁渔翁信息密评整改⽅案助⼒⽤户密码应⽤改造

⽴潮头

▌安全挑战

近年来，国内外⼤规模数据泄露事件频频发⽣，全球⽹络与信息安全形势骤然加紧，国家、企业及个⼈层⾯的⽹络与信

息安全备受挑战。⾯对⽇益严峻的⽹络环境，密码技术作为⽹络安全的核⼼和基础，已成为各⽅关注的焦点，国家对使

⽤密码技术保护⽹络安全也提出了更⾼的要求。

然⽽，国内密码应⽤形势并不乐观！

根据2018年商⽤密码应⽤安全性评估联合委员会对⼀万余个等保三级及以上的信息系统普查的结果显⽰，国内密码

应⽤普遍存在：

1. 密码应⽤不⼴泛：普查中有超过75%的系统没有使⽤密码。

2. 密码应⽤不规范：在对第⼀批118个重要领域的信息系统进⾏安全性测评时，不符合规范的⽐例达到85%。

3. 密码应⽤不安全：当前密码应⽤中⼤量已被证明不安全的加密算法（如RSA1024、MD5）仍在使⽤。

为解决当前密码应⽤存在的突出问题，根据我国 《密码法》及 《商⽤密码管理条例》相关要求，各类信息系统中涉及密

码应⽤的部分应按照国家密码管理局相关标准要求，采⽤国密算法和国密标准的密码应⽤模式，并对信息系统进⾏相应

的合规性改造，实现信息平台满⾜《⽹络安全法》《密码法》，信息系统等保三级要求以及信息系统密码应⽤合规性相

关法规、政策、标准要求。

▌渔翁实⼒

渔翁信息拥有20余年密码应⽤积累和丰富的密评整改项⽬经验。公司基于对信息系统密码应⽤现状的深⼊研究，可为党

政、企业⽤户量⾝打造符合国家密码管理局相关要求的密码应⽤体系。

形成了从整体调研到密评服务的⼀站式解决⽅案

▌测评要求

依据 《中华⼈民共和国密码法》规定，关键信息基础设施的运营者应当使⽤商⽤密码进⾏保护，委托商⽤密码检测机构

开展商⽤密码应⽤安全性评估。信息系统密码测评⼯作遵循GM/T0054-2018 《信息系统密码应⽤基本要求》标准。

密码算法

信息系统中使⽤的密码算法应当符合法律、法规的规定和密码相关国家标准、⾏业标准的要求。常⽤的国产密码算法有

SM1、SM2、SM3、SM4、SM9等密码算法。

业务系统、服务器、⽹络设备、安全设备、密码设备所使⽤的密码算法应进⾏全⾯细致梳理，按照《密码法》及相关政

策标准要求，将信息系统中所使⽤的密码算法全部替换成国家密码⾏政主管部门认可的密码算法，或在保留原算法基础

上，进⾏国密算法加固。

密码设备

信息系统中使⽤的密码产品与密码模块应通过国家密码管理部门核准。产品必须取得商⽤密码产品型号证书或者信息安

全产品密码检测证书。典型的密码产品有数字证书认证系统(CA)、密钥管理系统(KM)、服务器密码机、IPSec/SSLVPN

安全⽹关、签名验签服务器、时间戳服务器、智能密码钥匙。

现有系统中已有的密码产品，通过国家密码管理部门核准，且符合对于密码算法要求并正常使⽤的，继续保留。对于未

通过国家密码管理部门核准，或采⽤的密码算法不符合要求，根据设备使⽤情况逐步进⾏更换。

物理和环境安全

万两黄金容易得，知心一个也难求。——《曹雪芹》

◆ 应使⽤密码技术的真实性功能来保护物理访问控制⾝份鉴别信息，保证重要区域进⼊⼈员⾝份的真实性。

古之立大事者，不惟有超世之才，亦必有坚忍不拔之志。——苏轼

◆ 应使⽤密码技术的真实性功能来保护物理访问控制⾝份鉴别信息，保证重要区域进⼊⼈员⾝份的真实性。

◆ 应使⽤密码技术的完整性功能来保证电⼦门禁系统进出记录的完整性。

◆ 应使⽤密码技术的完整性功能来保证视频监控⾳像记录的完整性。

⽹络和通信安全

◆ 应在通信前基于密码技术对通信双⽅进⾏⾝份认证，使⽤密码技术的机密性和真实性功能来实现防截获、防假冒、和

防重⽤，保证传输过程中鉴别信息的机密性和⽹络设备实体⾝份的真实性。

◆ 应使⽤密码技术的完整性功能来保证⽹络边界和系统资源访问控制信息的完整性。

◆ 应采⽤密码技术保证通信过程中数据的完整性。

◆ 应采⽤密码技术保证通信过程中敏感信息数据字段或整个报⽂的机密性;应采⽤密码技术建⽴⼀条安全的信息传输通

道，对⽹络中的安全设备或安全组件进⾏集中管理。

设备和计算安全

◆ 应使⽤密码技术对登录的⽤户进⾏⾝份标识的鉴别，⾝份标识具有唯⼀性，⾝份鉴别信息具有复杂度要求并定期更

换。

◆ 在远程管理时，应使⽤密码技术的机密性功能来实现