数安商用密码

等保三级密码应用检查清单:42条逐项说明

等保三级系统要通过验收,商用密码应用安全性评估(密评)是绕不开的一关。本文把 GB/T 39786-2021《信息系统密码应用基本要求》第三级,拆成 42 条可以逐项打勾的检查清单,覆盖物理、网络、设备、应用数据四个技术层面,外加密钥管理与安全管理,并标出每一条最常见的不合格点。结论一句话:第三级要求"宜"升"应"的项目最多,密钥管理和应用层的真实性、机密性是失分重灾区。本清单用于自查,最终合规结论以具备资质的密评机构现场测评为准。

等保三级和密评是什么关系

很多人把两者混为一谈。简单说:等保(网络安全等级保护)是大框架,密评是其中"密码应用"这一项的专项评估。GB/T 22239-2019(等保2.0 基本要求)在多处要求"采用密码技术"保证真实性、完整性、机密性;而这些密码措施"用得对不对、合不合规",由 GB/T 39786-2021 这个标准来衡量,通过具备资质的测评机构做密评得出结论。

所以:定级为第三级的系统,密评是验收和定期(通常每年)测评的必备环节,不是可选项。下面的清单就是按 GB/T 39786 第三级的四个技术层面 + 管理要求组织的。

💡
第三级相比第二级,大量"宜"(建议)要求升级为"应"(强制)。自查时凡是涉及"身份鉴别""重要数据传输/存储""关键操作日志"的地方,默认都按"应当使用密码"来要求自己,基本不会错。

这份清单怎么用

每条给出检查项、密码在这里起什么作用、最常见的不合格点三栏。逐项对照你的系统打勾:能明确说出"用了什么密码算法、密钥怎么管、产品是否合规"的算通过;含糊其辞或"用了但不是国密/不是合规密码产品"的,记为待整改。

一、物理和环境安全(4 条)

#检查项密码作用常见不合格
1机房等重要区域出入口的电子门禁,身份鉴别是否使用密码技术真实性仅用普通 IC 卡/口令,无密码鉴别
2电子门禁系统的进出记录是否用密码技术保证存储完整性完整性记录可被随意删改,无完整性保护
3视频监控记录是否用密码技术保证存储完整性完整性录像未做完整性校验
4上述密码功能是否由合规、正确、有效的商用密码产品实现合规性使用未获认证的"国密"模块

二、网络和通信安全(8 条)

#检查项密码作用常见不合格
5通信双方在建立连接前是否进行基于密码的身份鉴别真实性仅单向认证或无认证
6通信过程中重要数据的机密性是否用密码保护(如 SM2/SM4 的 TLS)机密性明文传输或用非国密弱算法
7通信过程中重要数据的完整性是否用密码(如 HMAC-SM3)保护完整性无完整性校验
8网络边界访问控制信息的完整性是否受密码保护完整性策略可被篡改
9是否采用密码技术建立安全的通信信道(如 IPSec/SSL VPN 国密版)机密性/真实性用国际算法 VPN 充数
10密钥协商/分发过程是否安全机密性密钥硬编码或明文下发
11跨网/跨域数据交换的真实性、完整性是否有密码保障真实性/完整性仅靠网络隔离,无密码
12所用密码产品/算法是否合规(GM/T 系列、有型号证书)合规性算法非 SM 系列

三、设备和计算安全(9 条)

#检查项密码作用常见不合格
13登录设备的用户身份鉴别是否用密码技术真实性仅静态口令
14远程管理设备时,鉴别信息的机密性是否受密码保护机密性Telnet/明文管理
15是否基于密码技术对登录用户进行访问控制真实性越权可绕过
16系统资源访问控制信息的完整性是否受密码保护完整性权限表可被篡改
17重要程序/文件(如可执行程序、配置)的完整性是否用密码校验完整性无签名校验,可被替换
18日志记录的完整性是否受密码保护完整性日志可被删改
19是否对重要可执行程序进行来源真实性验证(代码签名)真实性无来源校验
20设备中密钥是否由密码模块安全存储机密性密钥落地明文磁盘
21实现上述功能的密码产品是否合规有效合规性软实现冒充硬件密码模块

四、应用和数据安全(11 条·失分重灾区)

#检查项密码作用常见不合格
22登录应用的用户身份鉴别是否用密码技术真实性仅账号口令,无密码鉴别
23访问控制信息(如权限列表)的完整性是否受密码保护完整性权限数据可篡改
24重要信息资源敏感标记的完整性是否受密码保护完整性无标记或可改
25重要数据传输的机密性是否用密码保护机密性接口明文传输
26重要数据存储的机密性是否用密码保护机密性数据库明文落库
27重要数据传输的完整性是否用密码保护完整性无 MAC/签名
28重要数据存储的完整性是否用密码保护完整性存储无完整性校验
29关键业务操作是否具备基于密码的抗抵赖(数据来源)证据不可否认性无数字签名,无法追责
30关键业务操作是否具备基于密码的抗抵赖(数据收讫)证据不可否认性缺收讫确认
31个人信息等敏感数据是否做密码保护(呼应个保法)机密性明文存储个人信息
32应用层密码功能是否由合规商用密码产品实现合规性自研算法/非合规库
⚠️
应用和数据层是密评失分最集中的地方。典型场景:身份鉴别只有账号口令、重要数据明文入库、关键操作没有数字签名导致无法抗抵赖。这三类问题占了我们见过的整改清单的一大半。第 29、30 条的"不可否认性"在第三级是"应",很多系统从未做过签名,是最容易整体漏掉的一项。

五、密钥管理(6 条)

密钥管理贯穿密钥的产生、存储、分发、使用、更新、归档、撤销、销毁全生命周期,是密评的核心,也是自查最容易写不清楚的部分。

#检查项常见不合格
33密钥是否由合规密码产品(如密码机/密码卡)产生,随机性达标用普通随机数生成密钥
34密钥存储是否受保护,私钥/对称密钥不以明文出现在密码边界之外明文密钥写在配置或代码里
35密钥分发/导入导出是否有机密性和完整性保护明文传输或邮件发密钥
36是否有明确的密钥更新/更换周期与机制密钥多年不换
37密钥归档、撤销、销毁是否有规范且可审计销毁无记录、无法证明
38密钥管理是否依托专门的密钥管理系统(KMS)/密码机,而非人工台账Excel 管密钥

六、安全管理(4 条)

#检查项常见不合格
39是否制定密码应用安全管理制度并落地执行只有技术、无制度文件
40密码相关岗位/人员是否明确职责、做密钥管理的权责分离一人掌握全部密钥
41密码应用方案是否在系统建设阶段就做了设计与评审上线后才补密码
42是否有密码应用应急处置预案,并定期演练无应急预案

自查后最常见的 5 个整改项

1
身份鉴别没"上密码"
登录还停留在账号+口令。整改方向:引入基于 SM2 的证书/动态令牌或无密码可信认证,把真实性做实。
2
重要数据明文存储
数据库字段明文落库。整改方向:对个人信息、业务敏感字段做 SM4 加密存储,密钥进 KMS。
3
关键操作无抗抵赖
第 29/30 条几乎被整体漏掉。整改方向:对关键业务操作加 SM2 数字签名,留存可验证证据。
4
用了密码但产品不合规
"国密"是自称,没有型号证书。整改方向:替换为通过国家认证的商用密码产品。
5
密钥靠人工台账管理
Excel/纸质台账管密钥。整改方向:上 KMS 或密码机,覆盖密钥全生命周期并可审计。
减少改造量的实操路径:不要逐个系统改密码,而是把身份鉴别、数据加解密、签名验签统一收口到一个密码服务平台 + KMS,业务系统只调 API。这样 42 条里属于"技术实现"的大部分能一次性覆盖,也便于密评时统一举证。

结论

等保三级密评不神秘,它考的就是"该用密码的地方用没用、用得对不对、密钥管没管好、有没有制度兜底"。这 42 条是自查的起点:能逐项打勾、并拿出算法和合规产品证据的,基本就过了八成。

真正的难点不在技术,而在抗抵赖(数字签名)和密钥全生命周期管理这两块最容易整体缺失。建议在系统建设阶段就做密码应用方案设计,而不是等密评前突击。

本清单依据 GB/T 39786-2021 第三级要求整理,供自查参考;具体定级、测评项判定与最终合规结论,以具备资质的密评机构现场测评为准。需要我们对照你们的系统出一份初步差距清单,可以联系工程团队