等保三级系统要通过验收,商用密码应用安全性评估(密评)是绕不开的一关。本文把 GB/T 39786-2021《信息系统密码应用基本要求》第三级,拆成 42 条可以逐项打勾的检查清单,覆盖物理、网络、设备、应用数据四个技术层面,外加密钥管理与安全管理,并标出每一条最常见的不合格点。结论一句话:第三级要求"宜"升"应"的项目最多,密钥管理和应用层的真实性、机密性是失分重灾区。本清单用于自查,最终合规结论以具备资质的密评机构现场测评为准。
📚 本文属于专题:等保 · 密评 · 数据合规
等保三级和密评是什么关系
很多人把两者混为一谈。简单说:等保(网络安全等级保护)是大框架,密评是其中"密码应用"这一项的专项评估。GB/T 22239-2019(等保2.0 基本要求)在多处要求"采用密码技术"保证真实性、完整性、机密性;而这些密码措施"用得对不对、合不合规",由 GB/T 39786-2021 这个标准来衡量,通过具备资质的测评机构做密评得出结论。
所以:定级为第三级的系统,密评是验收和定期(通常每年)测评的必备环节,不是可选项。下面的清单就是按 GB/T 39786 第三级的四个技术层面 + 管理要求组织的。
第三级相比第二级,大量"宜"(建议)要求升级为"应"(强制)。自查时凡是涉及"身份鉴别""重要数据传输/存储""关键操作日志"的地方,默认都按"应当使用密码"来要求自己,基本不会错。
这份清单怎么用
每条给出检查项、密码在这里起什么作用、最常见的不合格点三栏。逐项对照你的系统打勾:能明确说出"用了什么密码算法、密钥怎么管、产品是否合规"的算通过;含糊其辞或"用了但不是国密/不是合规密码产品"的,记为待整改。
一、物理和环境安全(4 条)
| # | 检查项 | 密码作用 | 常见不合格 |
|---|---|---|---|
| 1 | 机房等重要区域出入口的电子门禁,身份鉴别是否使用密码技术 | 真实性 | 仅用普通 IC 卡/口令,无密码鉴别 |
| 2 | 电子门禁系统的进出记录是否用密码技术保证存储完整性 | 完整性 | 记录可被随意删改,无完整性保护 |
| 3 | 视频监控记录是否用密码技术保证存储完整性 | 完整性 | 录像未做完整性校验 |
| 4 | 上述密码功能是否由合规、正确、有效的商用密码产品实现 | 合规性 | 使用未获认证的"国密"模块 |
二、网络和通信安全(8 条)
| # | 检查项 | 密码作用 | 常见不合格 |
|---|---|---|---|
| 5 | 通信双方在建立连接前是否进行基于密码的身份鉴别 | 真实性 | 仅单向认证或无认证 |
| 6 | 通信过程中重要数据的机密性是否用密码保护(如 SM2/SM4 的 TLS) | 机密性 | 明文传输或用非国密弱算法 |
| 7 | 通信过程中重要数据的完整性是否用密码(如 HMAC-SM3)保护 | 完整性 | 无完整性校验 |
| 8 | 网络边界访问控制信息的完整性是否受密码保护 | 完整性 | 策略可被篡改 |
| 9 | 是否采用密码技术建立安全的通信信道(如 IPSec/SSL VPN 国密版) | 机密性/真实性 | 用国际算法 VPN 充数 |
| 10 | 密钥协商/分发过程是否安全 | 机密性 | 密钥硬编码或明文下发 |
| 11 | 跨网/跨域数据交换的真实性、完整性是否有密码保障 | 真实性/完整性 | 仅靠网络隔离,无密码 |
| 12 | 所用密码产品/算法是否合规(GM/T 系列、有型号证书) | 合规性 | 算法非 SM 系列 |
三、设备和计算安全(9 条)
| # | 检查项 | 密码作用 | 常见不合格 |
|---|---|---|---|
| 13 | 登录设备的用户身份鉴别是否用密码技术 | 真实性 | 仅静态口令 |
| 14 | 远程管理设备时,鉴别信息的机密性是否受密码保护 | 机密性 | Telnet/明文管理 |
| 15 | 是否基于密码技术对登录用户进行访问控制 | 真实性 | 越权可绕过 |
| 16 | 系统资源访问控制信息的完整性是否受密码保护 | 完整性 | 权限表可被篡改 |
| 17 | 重要程序/文件(如可执行程序、配置)的完整性是否用密码校验 | 完整性 | 无签名校验,可被替换 |
| 18 | 日志记录的完整性是否受密码保护 | 完整性 | 日志可被删改 |
| 19 | 是否对重要可执行程序进行来源真实性验证(代码签名) | 真实性 | 无来源校验 |
| 20 | 设备中密钥是否由密码模块安全存储 | 机密性 | 密钥落地明文磁盘 |
| 21 | 实现上述功能的密码产品是否合规有效 | 合规性 | 软实现冒充硬件密码模块 |
四、应用和数据安全(11 条·失分重灾区)
| # | 检查项 | 密码作用 | 常见不合格 |
|---|---|---|---|
| 22 | 登录应用的用户身份鉴别是否用密码技术 | 真实性 | 仅账号口令,无密码鉴别 |
| 23 | 访问控制信息(如权限列表)的完整性是否受密码保护 | 完整性 | 权限数据可篡改 |
| 24 | 重要信息资源敏感标记的完整性是否受密码保护 | 完整性 | 无标记或可改 |
| 25 | 重要数据传输的机密性是否用密码保护 | 机密性 | 接口明文传输 |
| 26 | 重要数据存储的机密性是否用密码保护 | 机密性 | 数据库明文落库 |
| 27 | 重要数据传输的完整性是否用密码保护 | 完整性 | 无 MAC/签名 |
| 28 | 重要数据存储的完整性是否用密码保护 | 完整性 | 存储无完整性校验 |
| 29 | 关键业务操作是否具备基于密码的抗抵赖(数据来源)证据 | 不可否认性 | 无数字签名,无法追责 |
| 30 | 关键业务操作是否具备基于密码的抗抵赖(数据收讫)证据 | 不可否认性 | 缺收讫确认 |
| 31 | 个人信息等敏感数据是否做密码保护(呼应个保法) | 机密性 | 明文存储个人信息 |
| 32 | 应用层密码功能是否由合规商用密码产品实现 | 合规性 | 自研算法/非合规库 |
应用和数据层是密评失分最集中的地方。典型场景:身份鉴别只有账号口令、重要数据明文入库、关键操作没有数字签名导致无法抗抵赖。这三类问题占了我们见过的整改清单的一大半。第 29、30 条的"不可否认性"在第三级是"应",很多系统从未做过签名,是最容易整体漏掉的一项。
五、密钥管理(6 条)
密钥管理贯穿密钥的产生、存储、分发、使用、更新、归档、撤销、销毁全生命周期,是密评的核心,也是自查最容易写不清楚的部分。
| # | 检查项 | 常见不合格 |
|---|---|---|
| 33 | 密钥是否由合规密码产品(如密码机/密码卡)产生,随机性达标 | 用普通随机数生成密钥 |
| 34 | 密钥存储是否受保护,私钥/对称密钥不以明文出现在密码边界之外 | 明文密钥写在配置或代码里 |
| 35 | 密钥分发/导入导出是否有机密性和完整性保护 | 明文传输或邮件发密钥 |
| 36 | 是否有明确的密钥更新/更换周期与机制 | 密钥多年不换 |
| 37 | 密钥归档、撤销、销毁是否有规范且可审计 | 销毁无记录、无法证明 |
| 38 | 密钥管理是否依托专门的密钥管理系统(KMS)/密码机,而非人工台账 | Excel 管密钥 |
六、安全管理(4 条)
| # | 检查项 | 常见不合格 |
|---|---|---|
| 39 | 是否制定密码应用安全管理制度并落地执行 | 只有技术、无制度文件 |
| 40 | 密码相关岗位/人员是否明确职责、做密钥管理的权责分离 | 一人掌握全部密钥 |
| 41 | 密码应用方案是否在系统建设阶段就做了设计与评审 | 上线后才补密码 |
| 42 | 是否有密码应用应急处置预案,并定期演练 | 无应急预案 |
自查后最常见的 5 个整改项
1
身份鉴别没"上密码"
登录还停留在账号+口令。整改方向:引入基于 SM2 的证书/动态令牌或无密码可信认证,把真实性做实。
2
重要数据明文存储
数据库字段明文落库。整改方向:对个人信息、业务敏感字段做 SM4 加密存储,密钥进 KMS。
3
关键操作无抗抵赖
第 29/30 条几乎被整体漏掉。整改方向:对关键业务操作加 SM2 数字签名,留存可验证证据。
4
用了密码但产品不合规
"国密"是自称,没有型号证书。整改方向:替换为通过国家认证的商用密码产品。
5
密钥靠人工台账管理
Excel/纸质台账管密钥。整改方向:上 KMS 或密码机,覆盖密钥全生命周期并可审计。
减少改造量的实操路径:不要逐个系统改密码,而是把身份鉴别、数据加解密、签名验签统一收口到一个密码服务平台 + KMS,业务系统只调 API。这样 42 条里属于"技术实现"的大部分能一次性覆盖,也便于密评时统一举证。
结论
等保三级密评不神秘,它考的就是"该用密码的地方用没用、用得对不对、密钥管没管好、有没有制度兜底"。这 42 条是自查的起点:能逐项打勾、并拿出算法和合规产品证据的,基本就过了八成。
真正的难点不在技术,而在抗抵赖(数字签名)和密钥全生命周期管理这两块最容易整体缺失。建议在系统建设阶段就做密码应用方案设计,而不是等密评前突击。
本清单依据 GB/T 39786-2021 第三级要求整理,供自查参考;具体定级、测评项判定与最终合规结论,以具备资质的密评机构现场测评为准。需要我们对照你们的系统出一份初步差距清单,可以联系工程团队。
