信息系统密码应用方案模板（GBT 43207-2023版本）_信息系统商用密码设计方案

1 背景

明确系统的建设规划，国家有关法律法规要求，与规划有关的前期情况描述和项目实施的必要性，以及信息系统相关的其他情况说明。

2 系统概述

2.1 基本情况

系统基本情况包括系统名称、系统责任主体单位情况（名称、地址、所属密码管理部门和单位类型等）、系统上线运行时间、系统该用户情况（使用单位、使用人员和使用场景等）、是否为关键信息基础设施、等级保护定级和备案情况、网络安全等级测评情况以及密码应用安全性评估情况等。

2.2 计算平台现状

如果密码应用方案包括计算平台密码应用方案设计，则包括以下具体描述。

a）物理环境：包括机房或重要场所地点、系统部署位置、内外部环境和管理责任主体。

b）网络环境：包括网络框架、网络边界划分、内外部数据交互情况、设备组成及实现功能、所采取的安全防护措施，并给出系统网络拓扑图。

c）计算环境：包括系统软硬件构成（如服务器、用户终端、网络设备、存储设备、安全防护设备、密码设备等硬件资源和操作系统、数据库系统、应用中间件等软件资源）。

如果密码应用方案不包括计算平台密码应用方案设计，则描述计算平台的场所地点和密码应用安全性评估情况。

2.3 业务应用现状

业务应用现状包括以下具体描述。

a）业务应用的基本情况，包括承载的业务情况和责任主体等。

b）承载的业务情况，包括系统承载的业务应用、业务功能和关键数据类型等。

c）对于多个子应用的信息系统，对每个子应用分别描述。

2.4 密码应用现状

信息系统部署密码设施设备的基本情况，责任主体和密码支撑情况（如密码中间件的部署情况和密码功能的提供模式）等。

2.5 密码应用管理现状

管理要求包括信息系统管理制度、人员管理、建设运行和应急处置等。

3 密码应用需求分析

结合信息系统现状和GB/T 39786中对不同等级的信息系统提出的密码应用基本要求，对密码应用方案设计的计算平台、业务应用、管理制度、人员管理、建设运行和应急处置进行安全风险分析，确定风险控制措施、密码应用基本需求分析和密码应用特殊需求分析。通过风险控制措施缓解信息系统存在的高风险。

4 安全目标及设计原则

4.1 安全目标

提出密码应用方案所涉及对象的密码应用安全目标。

4.2 设计原则和依据

提出密码应用方案的设计原则，遵循的政策法规和相关标准。

5 密码应用设计

5.1 密码应用技术框架

包括密码应用技术框架图及框架说明。密码应用技术框架包括计算平台、密码支撑平台和业务应用密码应用框架等，综合描述各平台、系统之间的关系，清晰展现密码应用整体技术框架。

5.2 计算平台密码应用方案

5.2.1 物理和环境安全

按照GB/T 39786中物理和环境安全对应等级的密码应用基本要求和实际环境的具体需求，对信息系统所在的机房等重要区域、电子门禁记录数据和视频监控记录数据进行密码应用设计，包括选择的密码技术和标准、采用的密码设备、密码设备的部署位置和方式、密码设备的使用和管理等内容。

5.2.2 网络和通信安全

按照GB/T 39786中网络和通信安全对应等级的密码应用基本要求和实际环境的具体需求，对需要密码保护的每一条通信信道进行密码应用设计，包括选择的密码技术和标准、采用的密码设备、密码设备的部署位置和方式、密码设备的使用和管理等内容。需要接入认证的设备，根据具体情况选择使用的密码技术，确定在设备端和认证端部署的密码设备和部署位置，给出密码设备的使用和管理内容。

5.2.3 设备和计算安全

按照GB/T 39786中设备和计算安全对应等级的密码应用基本要求和实际环境的具体需求，对需要保护的对象进行密码应用设计，包括选择的密码技术和标准，设计必要的数据结构、采用的密码设备或模块、密码设备的部署位置和方式、密码设备的使用和管理内容。

5.3 密码支撑平台方案

密码支撑平台为承载在计算平台上的各类业务提供密码功能服务，可选择采用经认证合格的密码支持服务产品（如密码服务平台等），也可根据各类应用的密码需求、性能需求和责任主体的规划要求等，基于经认证合格的密码产品进行设计，设计的内容包括：

a）密码服务机构的确定、接入方式和服务策略；

b）支持的密码体制和密码算法；

c）接口和功能遵循的标准；

d）提供的密码支撑方式（如租密码机方式、租密码服务器方式和租密码服务方式）；

e）提供密码功能及接口（如实体鉴别、签名验签和加密解密），也可提供密码应用服务（如时间戳、电子印章和安全认证网关）；

f）部署的位置和方式（如部署的位置、部署的方式、使用和管理等内容），部署的方式包括全网统一部署和分租户分散部署；

g）接入计算平台的方式（如独立的形态，不占用计算平台的任何资源；非独立的形态，借用或租用计算平台的计算资源和网络资源）；

h）密钥管理方式，按责任主体的规划要求确定（如租户自行管理，支撑平台提供管理界面；租户委托管理，支撑平台代管密钥）；

i）支撑平台的自身安全性，包括密钥安全、访问安全、管理安全和租户间的隔离安全等。

5.4 业务应用的密码应用方案

按照GB/T 39786中应用和数据安全对应等级的密码应用基本要求和各业务系统实际需求，对需要保护的对象进行密码应用方案设计，具体内容如下：

a）按照信息系统的规划、责任主体的需求、现有或规划的密码功能提供模式，确定密码体制；

b）梳理业务流程，根据流程安全需求，为关键环节设计密码保护机制；

c）梳理业务数据，根据数据安全需求，为重要数据设计密码保护机制；

d）梳理业务对象（如文件、证照、票据、病历、采集的数据和控制指令等），根据安全需求，为其设计密码保护机制；

e）根据角色和访问控制，为其权限和访问策略等设计密码保护机制；

f）根据审计策略，为日志记录设计密码保护机制；

g）为角色分配密钥，明确密钥载体，设计系统的密钥管理策略；

h）使用加密功能的，需指明密码算法、加密模式、数据填充方式和密钥属性等；

i）使用签名功能的，需指明签名算法和签名机制（如签名内容、签名主体和签名位置等）；

j）使用完整性保护功能的，需指明使用的算法和校验机制；

k）根据保护机制，修改被保护对象的数据结构，将上述内容添加到原数据结构中，使其成为带安全机制的数据结构；

l）实现保护机制用到的密码功能和用户登录用到的身份鉴别功能，由密码支撑平台提供，数据传输和数据存储安全，有计算平台负责，有单独需求（如互通且长期保存）或计算平台没有提供的，可设计信源加密机制。

根据确定的密码体制和密码应用方案，设计密钥管理策略，内容包括密钥的种类和用途、密钥的载体和保管方式、密钥的使用和更新、密钥的备份和恢复等，分别针对上述内容所涉及的人员、责任、介质、材料和流程等设计管理机制。

5.5 密码应用部署

包括软硬件设备清单（软硬件设备均需包括已有的密码产品清单）、部署示意图及说明等，新增加的密码设备需要明确标识。

6 安全管理方案

参照GB/T 22240中等级保护定级，根据GB/T 39786对该等级的管理要求，根据部署的密码产品管理机制，设计安全管理方案，包括管理制度、人员管理、建设运行和应急处置方面的制度。

7 安全与合规性分析

逐条对照GB/T 39786对应等级下的各项密码应用基本要求，对方案的使用情况、采取的密码保障措施、采取的缓解措施及自评结果进行说明：

a）若指标为适用，说明采取的密码保障措施或未采取密码保障措施的情况（如采取的缓解及替代性措施）；

b）针对适用的指标，存在部分保护对象不适用的情况，论证其不适用性；

c）若指标为不适用，详细说明其不适用的理由。

根据GB/T 39786中要求和设计的密码应用方案，填写密码应用合规性对照表，自评估密码应用的合规性。密码应用合规性对照如下表所示（以第三级别要求为例，可根据实际系统级别进行修改）。

表1 密码应用合规性对照表

8 实施保障方案

8.1 实施内容

描述实施对象的边界及密码应用的范围、任务要求等。

实施内容包括但不限于采购、软硬件开发或改造、系统集成、综合调试和试运行等。

分析项目实施的重难点问题，提出实施过程中可能存在的风险点及应对措施。

8.2 实施计划

包括实施路线图、进度计划和重要节点等。

按照施工进度计划确定实施步骤，并分阶段描述任务分工、实施主体、项目建设单位和阶段交付物等。

8.3 保障措施

包括项目实施过程中的组织保障、人员保障、经费保障、质量保障和监督检查等措施。

8.4 经费概述

按照经费使用要求，对密码应用项目建设和产生的相关费用进行概算。采购的密码产品和相关服务要描述产品名称、服务类型和数量等。