《商用密码应用规范(试行)》

《商用密码应用规范(试行)》商用密码应用需遵循国家密码管理相关法律法规及技术标准，适用于非涉密信息系统、网络和数据安全领域中使用商用密码进行保护的场景，涵盖信息系统建设、运行维护、检测评估等全生命周期。基本要求方面，商用密码的使用应确保密码服务的正确性、有效性和合规性。密码算法需采用国家密码管理局认可的商用密码算法（如SM2、SM3、SM4、SM9等），禁止使用未通过国家密码检测认证的算法或已被明确淘汰的算法。密码产品和服务需通过国家密码管理部门的合规性检测，使用经认证的商用密码产品（如密码机、数字证书、加密芯片等），并确保产品来源可追溯、安全可控。技术要求分为身份认证、数据加密、完整性保护、密钥管理等核心环节。身份认证需采用基于商用密码的技术实现，如数字证书认证、动态令牌认证或基于SM2算法的签名验证，禁止使用明文传输的弱认证方式。数据加密应区分传输和存储场景：传输加密需采用符合国密标准的协议（如GMT0024-2014SSLVPN密码技术规范），使用SM4对称加密或SM2非对称加密算法，密钥协商过程需基于SM2或SM9算法；存储加密需对敏感数据（如用户密码、支付信息）采用SM4或SM9算法进行加密，密钥与数据分离存储，禁止明文存储敏感数据。完整性保护需通过SM3杂凑算法生成摘要值，确保数据在传输或存储过程中未被篡改，关键操作日志需附加SM3摘要并定期验证。密钥管理需覆盖生成、存储、分发、使用、更新、归档、销毁的全生命周期：密钥生成应使用符合国密标准的随机数发生器（如GM/T0005-2012随机数发生器），禁止使用弱随机数；密钥存储需采用硬件安全模块（HSM）或密码机等安全载体，禁止明文存储密钥；密钥分发需通过安全通道（如基于SM2的密钥交换协议）或安全介质进行，确保传输过程中不泄露；密钥更新周期需根据业务风险确定，高敏感系统密钥更新周期不超过90天；密钥销毁需通过物理擦除或密码学擦除方式，确保无法恢复。管理要求包括制度建设、人员管理、运维保障。制度层面需制定商用密码应用管理制度，明确密码设备采购、部署、运维、更换的流程，以及密码事件（如密钥泄露、设备故障）的应急处置预案。人员管理需对接触密码设备、密钥的人员进行安全背景审查，签订保密协议，定期开展商用密码法律法规和技术培训（每年至少1次），关键岗位（如密钥管理员）需实行权限最小化原则，禁止单人操作关键密码操作（如密钥生成、销毁）。运维保障需建立密码设备运行日志记录制度，记录设备状态、操作行为、异常事件等信息，日志留存时间不少于6个月；定期对密码设备进行巡检（每季度至少1次），检查设备物理安全、固件版本、认证状态，及时更新补丁；对承载核心业务的密码设备需部署冗余备份，确保单点故障时业务连续性。实施流程分为规划、设计、实施、运行四个阶段。规划阶段需开展密码应用需求分析，明确保护对象（如用户身份、交易数据）、安全等级（如第一级至第四级信息系统）、密码服务类型（加密、签名、完整性），形成密码应用方案。设计阶段需根据规划要求，选择符合国密标准的密码算法、产品和协议，设计密码服务接口（如API调用规范）、密钥管理策略（如主密钥、会话密钥的层级关系）、密码模块与业务系统的集成方式（如嵌入式、外接式），形成密码应用设计文档。实施阶段需按照设计文档部署密码设备，配置密码参数（如密钥长度、加密模式），完成密码模块与业务系统的联调测试，验证密码功能正确性（如加密后数据无法被未授权解密）、性能影响（如加密延迟不超过业务系统响应时间的10%），形成实施测试报告。运行阶段需持续监控密码设备运行状态，定期进行密码服务有效性评估（每半年至少1次），评估内容包括密码算法合规性、密钥管理规范性、密码设备可用性，发现问题及时整改。检测评估要求信息系统投入运行前需通过商用密码应用安全性评估，评估内容覆盖密码算法使用、密码产品合规性、密码系统设计、密钥管理、安全管理制度等方面，评估机构需具备国家密码管理部门认可的资质。运行期间，第三级及以上信息