GM/T 0133-2024 关键信息基础设施密码应用要求.pdf

中华人民共和国密码行业标准

GM/T0133-2024

关键信息基础设施密码应用要求

Requirements for critical information infrastructure cryptography application

国家密码管理局 发布

目次

前言 III引言1范围2规范性引用文件3术语和定义4缩略语5总体原则.6密码应用实施要求 6.1密码应用规划6.2密码应用建设6.3密码应用运行6.4密码应用安全性评估7密码应用技术和管理要求7.1基本要求7.2增强技术要求7.2.1网络和通信安全7.2.2设备和计算安全7.3增强管理要求 7.2.3应用和数据安全7.3.1人员管理7.3.2建设运行 7.3.3 密码产品和服务7.3.4密钥管理8密码运行安全保障要求8.1密码资源弹性供给8.2密码运行状态监测预警8.3密码运行安全事件应急处置附录A（资料性）关键信息基础设施密码应用要求汇总列表参考文献 : 11

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草.

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任.

本文件由密码行业标准化技术委员会提出并归口.

本文件起草单位：北京数字认证股份有限公司、公安部第三研究所、中国科学院信息工程研究所、北京市经济和信息化局网络安全管理中心、中国科学院大学、兴唐通信科技有限公司、华为技术有限公司、中电科网络安全科技股份有限公司、商用密码检测认证中心、中国移动通信集团有限公司、国家计算机网络应急技术处理协调中心、昆仑数智科技有限责任公司、中国电子科技集团公司第十五研究所、 中国石油化工集团有限公司、上海证券交易所、上交所技术有限责任公司、中互金认证有限公司、公安部第一研究所、中科信息安全共性技术国家工程研究中心有限公司、中国电力科学研究院有限公司、上海交通大学、鼎镇商用密码测评技术（深圳）有限公司、教育部教育管理信息中心、中国电子技术标准化研究院、中国信息通信研究院、国家信息中心、中国工业互联网研究院、中国金融电子化集团有限公司、中国工商银行股份有限公司、中国国家铁路集团有限公司科技和信息化部、中电信数智科技有限公司、 天翼云科技有限公司、联通智慧安全科技有限公司、深圳市网安计算机安全检测技术有限公司、长春吉大正元信息技术股份有限公司、三未信安科技股份有限公司.

本文件主要起草人：夏冰冰、詹榜华、林雪焰、陈海虹、李佳曦、王晗、王佳欢、夏鲁宁、杜皎、张永强、黎水林、王勇、贾世杰、马原、陈天宇、赵阳、郑防显、刘尚焱、邵萌、彭红、张立廷、罗鹏、张立花、张艳、张晓娜、张嵩、刘健、杨龙、黄喆磊、朱立、房慧丽、李增局、李秋香、刘志宇、周世杰、胡建勋、高振鹏、 李智虎、银鹰、陈磊、肖飞、张鹏、黄晶晶、徐秀、罗海宁、查奇文、李振、李萌、张文塔、王建峰、刘乐、南杰慧、邓诗智、赵丽丽、高志权.

引言

为落实《中华人民共和国网络安全法中华人民共和国密码法商用密码管理条例关键信息基础设施安全保护条例》中的相关要求，保障关键信息基础设施的安全稳定运行，关键信息基础设施的安采用密码技术对关键信息基础设施实施合规、正确、有效的保护，实现体系化密码应用.

总体面言，关键信息基础设施运营者开展密码应用工作时，在遵循GB/T39786-2021《信息安全技术信息系统密码应用基本要求》的基础上，重点考虑关键业务在稳定性、业务持续性方面的保障要求，从整体视角出发分析识别关键业务所面临的安全风险落实本文件中提出的对关键信息基础设施实施重点保护所需的密码应用实施要求、密码应用技术和管理要求以及密码运行安全保障要求，切实保障 关键信息基础设施安全稳定运行.

关键信息基础设施密码应用要求

1范围

障要求. 本文件规定了关键信息基础设施的密码应用实施要求、密码应用技术和管理要求、密码运行安全保

本文件适用于指导和规范关键信息基础设施运营者对关键信息基础设施密码应用的规划、建设、运行及安全性评估，也可供关键信息基础设施安全保护的其他相关方参考使用.

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本文件.

GB/T22239一2019信息安全技术网络安全等级保护基本要求GB/T25069-2022信息安全技术术语GB/T39204一2022信息安全技术关键信息基础设施安全保护要求GB/T39786一2021信息安全技术信息系统密码应用基本要求

3术语和定义

GB/T22239-2019GB/T 25069-2022、GB/T 39204-2022、GB/T 39786-2021界定的以及下列术语和定义适用于本文件.

3.1

关键信息基础设施critical information infrastructure

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重 要网络设施、信息系统等.

[来源：GB/T 39204-2022.3.1]

3.2

关键信息基础设施边界critical information infrastructure boundary

关键信息基础设施要素的集合.

3.3

商用密码保障系统cryptographic security system

通过商用密码算法、密码协议、密钥管理机制等密码技术实现，能够提供一种或多种密码功能用于系统.

注：密码功能包括但不限于加密传输、加密存储、数字签名、密钥管理等.

3.4

重要数据key data

特定领域、特定群体、特定区域或达到一定精度和规模的，一且被泄露或纂改、损毁，可能直接危害