JR T 0222-2021 金融信息系统加密服务的技术能力评价模型.pdf

1、附 件 3ICS 35.240.40CCS A 11 JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 0222 2021金 融 信 息 系 统 加 密 服 务 的 技 术 能 力评 价 模 型 Evaluation model for technical capabilities of cryptographic service infinancial information system 2021 -07- 22发 布 2021- 07-22实 施中 国 人 民 银 行 发 布 JR/T 0222 2021 I 目 次前 言 .1 范 围 .12 规 范 性 引 用 文 件

2、.13 术 语 和 定 义 .14 确 定 评 价 范 围 .45 能 力 评 价 模 型 .55.1 能 力 评 价 结 果 .55.2 模 型 应 用 .5 6 评 价 标 准 .66.1 总 则 .66.2 第 一 级 .86.3 第 二 级 .96.4 第 三 级 .136.5 第 四 级 .216.6 第 五 级 .29参 考 文 献 .38 JR/T 0222 2021 II 前 言本 文 件 按 照 GB/T 1.1 2020 标 准 化 工 作 导 则 第 1部 分 ： 标 准 化 文 件 的 结 构 和 起 草 规 则 的 规 定起 草 。本 文 件 由 中 国 银 行 股

3、份 有 限 公 司 提 出 。本 文 件 由 全 国 金 融 标 准 化 技 术 委 员 会 （ SAC/TC 180） 归 口 。本 文 件 起 草 单 位 ： 中 国 银 行 股 份 有 限 公 司 、 中 国 人 民 银 行 征 信 中 心 、 中 国 人 民 银 行 数 字 货 币 研 究 所 、中 国 银 联 股 份 有 限 公 司 、 网 联 清 算 有 限 公 司 、 中 国 建 设 银 行 股 份 有 限 公 司 、 中 国 人 寿 保 险 （ 集 团 ） 公 司 、中 国 人 寿 保 险 股 份 有 限 公 司 、 中 国 信 息 通 信 研 究 院 、 中 国 科 学 院

4、信 息 工 程 研 究 所 、 国 泰 君 安 证 券 股 份 有限 公 司 、 重 庆 富 民 银 行 股 份 有 限 公 司 、 中 国 金 融 电 子 化 公 司 、 国 家 信 息 安 全 工 程 技 术 研 究 中 心 、 华 中 科技 大 学 、 西 安 电 子 科 技 大 学 。 本 文 件 主 要 起 草 人 ： 刘 鸿 乾 、 李 世 京 、 袁 俊 德 、 李 玉 亭 、 高 国 奇 、 张 学 航 、 周 波 勇 、 蔡 光 明 、 徐 飞燕 、 陈 斌 辉 、 赵 新 宇 、 汤 洋 、 杨 萌 、 何 虎 威 、 龙 志 德 、 汪 浩 鹏 、 王 妙 琼 、 李 凤

5、 华 、 刘 新 亮 、 李 丙 洋 、 刘书 元 、 李 伟 斌 、 王 瑜 辉 、 樊 凯 。 JR/T 0222 2021 1 金 融 信 息 系 统 加 密 服 务 的 技 术 能 力 评 价 模 型1 范 围本 文 件 给 出 了 对 提 供 金 融 机 构 加 密 服 务 的 金 融 信 息 系 统 （ 以 下 简 称 系 统 ） 的 能 力 进 行 评 价 的 方 法 。本 文 件 适 用 于 使 用 专 用 加 解 密 设 备 ， 并 通 过 软 件 和 系 统 提 供 加 解 密 服 务 的 金 融 机 构 。注 ： 专 用 加 解 密 设 备 是 指 获 得 国 家 密 码

6、 管 理 局 认 可 的 、 专 门 用 于 加 解 密 运 算 的 商 用 硬 件 设 备 ， 广 泛 应 用 于 资 金 支 付 、身 份 认 证 、 密 码 校 验 等 业 务 场 景 。2 规 范 性 引 用 文 件下 列 文 件 中 的 内 容 通 过 文 中 的 规 范 性 引 用 而 构 成 本 文 件 必 不 可 少 的 条 款 。 其 中 ， 注 日 期 的 引 用 文 件 ， 仅 该 日 期 对 应 的 版 本 适 用 于 本 文 件 ； 不 注 日 期 的 引 用 文 件 ， 其 最 新 版 本 （ 包 括 所 有 的 修 改 单 ） 适 用 于 本文 件 。GM/T 0

7、019 通 用 密 码 服 务 接 口 规 范GM/T 0054 信 息 系 统 密 码 应 用 基 本 要 求3 术 语 和 定 义下 列 术 语 和 定 义 适 用 于 本 文 件 。3.1 加 解 密 设 备 encryption and decryption device由 国 家 指 定 生 产 厂 商 研 制 开 发 的 ， 专 门 应 用 于 机 构 内 部 系 统 中 ， 以 规 定 的 协 议 通 讯 ， 直 接 与 主 机 相 连 接 ， 实 现 对 网 络 上 传 输 的 信 息 进 行 保 护 或 鉴 别 ， 以 保 证 信 息 的 正 确 性 ， 防 止 内 部 重

8、要 的 数 据 被 非 法 篡改 或 窃 取 的 设 备 。注 ： 典 型 的 加 解 密 设 备 有 金 融 数 据 密 码 机 、 服 务 器 密 码 机 、 签 名 验 签 服 务 器 等 。3.2 明 文 plain text未 加 密 的 信 息 。来 源 ： GB/T 25069 2010， 2.23.3 密 文 cipher text利 用 加 密 技 术 ， 经 变 换 ， 信 息 内 容 被 隐 藏 起 来 的 数 据 。 来 源 ： GB/T 25069 2010， 2.2 JR/T 0222 2021 2 3.4 加 密 encipherment对 数 据 进 行 密 码

9、 变 换 以 产 生 密 文 的 过 程 。注 ： 加 密 过 程 一 般 包 含 一 个 变 换 集 合 ， 该 变 换 使 用 一 套 算 法 和 一 套 输 入 参 量 。 输 入 参 量 通 常 被 称 为 “ 密 钥 ” 。来 源 ： GB/T 25069 2010， 2.23.5 解 密 decipherment将 密 文 转 换 成 明 文 的 处 理 ， 即 加 密 对 应 的 逆 过 程 。来 源 ： GB/T 25069 2010， 2.23.6 密 钥 分 量 key component用 于 建 立 和 维 持 密 钥 的 数 据 。注 ： 是 密 钥 的 组 成 分

10、量 ， 多 个 密 钥 分 量 共 同 组 成 密 钥 。 又 称 为 “ 密 钥 组 件 ” 。3.7 密 钥 校 验 值 check value用 于 校 验 密 钥 输 入 时 正 确 性 的 数 据 。注 ： 密 钥 校 验 值 分 为 密 钥 分 量 的 校 验 值 和 密 钥 合 成 后 的 总 校 验 值 。3.8 个 人 识 别 码 personal identification number； PIN 客 户 持 有 的 用 于 身 份 验 证 的 代 码 或 口 令 。注 ： PIN进 行 一 定 转 换 后 使 用 密 钥 进 行 加 密 的 结 果 称 为 “ PINB

11、LOCK” ， 在 此 过 程 中 使 用 的 密 钥 称 为 “ PIN密 钥 ” ， 整个 过 程 称 为 “ PINBLOCK密 文 转 换 ” 。来 源 ： GB/T 21078， 3.183.9 消 息 鉴 别 码 message authentication code； MAC用 于 检 查 信 息 在 传 递 过 程 中 是 否 被 更 改 的 一 组 数 据 。注 ： 把 一 组 数 据 通 过 算 法 计 算 得 出 MAC的 过 程 称 为 “ MAC计 算 ” 。 MAC计 算 过 程 中 用 到 的 密 钥 称 为 “ MAC密 钥 ” 。3.10数 据 加 密 密 钥

12、 data encryption key； DEK 在 密 钥 的 层 次 关 系 中 ， 对 明 文 进 行 加 密 的 密 钥 。注 ： 典 型 的 DEK有 终 端 PIN密 钥 （ TPK） 、 区 域 MAC密 钥 （ ZAK） 等 。3.11 JR/T 0222 2021 3 密 钥 交 换 密 钥 key encryption key； KEK在 密 钥 的 层 次 关 系 中 ， 对 数 据 加 密 密 钥 进 行 加 密 的 密 钥 。注 ： 典 型 的 KEK有 终 端 主 密 钥 （ TMK） 、 区 域 主 密 钥 （ ZMK） 等 。3.12本 地 主 密 钥 loc

13、al master key； LMK在 密 钥 的 层 次 关 系 中 ， 用 于 保 护 其 他 密 钥 的 最 高 层 的 密 钥 。注 ： 又 称 为 “ 加 密 机 主 密 钥 ” ， 其 受 硬 件 加 解 密 设 备 保 护 。3.13对 称 密 钥 symmetric key 加 密 和 解 密 过 程 中 使 用 的 相 同 的 密 钥 。注 ： 对 称 密 钥 用 于 对 称 加 密 算 法 。3.14非 对 称 密 钥 asymmetric key使 用 其 中 一 把 密 钥 进 行 加 密 ， 则 只 能 使 用 另 一 把 密 钥 进 行 解 密 的 一 组 密 钥

14、对 。注 ： 两 把 密 钥 分 别 称 为 “ 公 钥 ” 和 “ 私 钥 ” 。 非 对 称 密 钥 用 于 非 对 称 加 密 算 法 。3.15签 名 signature对 一 个 数 字 单 元 进 行 密 码 变 换 ， 以 提 供 数 据 源 鉴 别 、 数 据 完 整 性 和 签 名 人 抗 抵 赖 性 服 务 。 注 ： 又 称 为 “ 数 字 签 名 ” 。3.16摘 要 算 法 digest algorithm把 任 意 长 度 的 数 据 进 行 处 理 ， 生 成 固 定 长 度 数 据 的 一 种 算 法 。3.17证 书 certificate确 认 实 体 与

15、宣 称 身 份 关 系 的 文 件 。注 ： 又 称 为 “ 数 字 证 书 ” 。3.18 访 问 控 制 access control仅 允 许 经 授 权 的 人 员 或 应 用 对 信 息 或 信 息 处 理 设 施 进 行 访 问 的 一 种 管 理 手 段 。3.19告 警 alarm JR/T 0222 2021 4 对 预 期 外 的 事 件 进 行 通 知 的 过 程 。3.20鉴 别 authentication确 认 实 体 声 明 身 份 的 过 程 。来 源 ： ISO/IEC TR 13335:2000， 3.13.21审 计 日 志 audit journal系

16、统 运 行 的 时 序 记 录 ， 该 记 录 足 够 重 建 、 复 审 、 检 查 环 境 的 系 列 事 物 和 周 边 行 为 ， 或 导 出 一 笔 交 易从 起 始 到 输 出 最 终 结 果 路 径 中 的 每 个 事 件 。 3.22生 产 环 境 production environment承 担 对 外 业 务 服 务 的 软 件 和 硬 件 环 境 。3.23非 生 产 环 境 non-production environment不 承 担 对 外 业 务 服 务 的 软 件 和 硬 件 环 境 。注 ： 典 型 的 非 生 产 环 境 有 开 发 环 境 、 测 试 环

17、 境 等 。 生 产 环 境 加 非 生 产 环 境 统 称 为 “ 基 础 环 境 ” 。3.24高 可 用 集 群 high-available clusters 减 少 由 计 算 机 硬 件 和 软 件 易 错 性 造 成 损 失 的 一 种 架 构 模 式 。3.25备 份 backup业 务 信 息 的 额 外 存 储 ， 一 旦 遇 到 信 息 资 源 丢 失 ， 可 确 保 业 务 的 持 续 性 。3.26应 急 预 案 contingency plan遭 遇 事 故 后 ， 恢 复 业 务 可 用 性 的 规 程 和 策 略 。3.27应 用 程 序 接 口 applica

18、tion programming interface； API 软 件 系 统 不 同 组 成 部 分 衔 接 的 约 定 。4 确 定 评 价 范 围 JR/T 0222 2021 5 对 金 融 机 构 的 系 统 进 行 评 价 前 ， 首 先 明 确 本 文 件 适 用 的 评 价 范 围 。本 文 件 适 用 的 评 价 范 围 如 下 ：a） 本 文 件 仅 针 对 使 用 硬 件 加 解 密 设 备 的 金 融 机 构 或 系 统 。b） 储 存 客 户 信 息 、 账 户 信 息 、 交 易 数 据 ， 或 处 理 业 务 逻 辑 的 软 件 模 块 在 评 价 范 围 外 。

19、c） 调 用 或 管 理 加 解 密 设 备 ， 提 供 数 据 加 解 密 运 算 的 服 务 ， 或 者 提 供 密 钥 、 证 书 管 理 功 能 的 模 块 在评 价 范 围 内 。一 个 典 型 的 加 密 服 务 系 统 架 构 见 下 图 ， 图 中 实 线 框 定 的 应 用 在 本 文 件 的 评 价 范 围 内 。 图 典 型 加 密 服 务 系 统 架 构5 能 力 评 价 模 型5.1 能 力 评 价 结 果评 价 标 准 共 分 为 五 级 ， 表 1表 述 了 各 级 别 所 对 应 的 整 体 要 求 。 从 第 一 级 到 第 五 级 ， 分 别 对 应 下 文

20、 6.2至 6.6， 成 熟 度 能 力 每 级 递 进 。 在 每 一 级 评 价 过 程 中 ， 出 现 当 前 级 别 与 其 他 级 别 指 标 冲 突 的 情 况 ， 以 当前 评 价 级 别 指 标 为 准 。 表 1 标 准 分 级 级 别 描 述第 一 级 满 足 系 统 完 成 级 要 求 。 此 级 别 表 示 加 密 服 务 系 统 运 转 的 最 低 要 求 。第 二 级 满 足 系 统 管 理 级 要 求 。 满 足 系 统 可 管 理 、 有 冗 余 、 可 恢 复 等 方 面 要 求 ， 具 备 加 密 相 关 的 数 据 保 护 措 施 。第 三 级 满 足 系

21、 统 定 义 级 要 求 。 满 足 系 统 可 监 控 、 可 审 计 等 要 求 ， 具 备 应 急 管 理 能 力 ， 具 备 系 统 架 构 对 数 据 的安 全 保 护 能 力 。第 四 级 满 足 系 统 量 化 管 理 级 要 求 。 满 足 系 统 高 可 用 、 服 务 连 续 等 要 求 ， 具 备 应 急 预 防 能 力 ， 具 备 软 硬 件 生 命周 期 管 理 能 力 。第 五 级 满 足 系 统 优 化 级 要 求 。 满 足 系 统 自 主 可 控 、 接 口 规 范 等 要 求 ， 具 备 对 自 然 灾 害 以 及 国 际 局 势 变 动 导 致的 不 可

22、抗 力 的 应 对 能 力 。5.2 模 型 应 用 JR/T 0222 2021 6 5.2.1 概 述本 模 型 广 泛 适 用 于 使 用 专 用 加 解 密 设 备 的 金 融 信 息 系 统 。 金 融 机 构 可 参 照 模 型 的 要 求 建 立 、 保 持 和改 进 系 统 加 密 服 务 的 能 力 ， 包 括 ：a） 将 本 模 型 作 为 指 南 ， 确 定 系 统 加 密 服 务 能 力 建 设 和 改 进 的 目 标 和 途 径 。b） 以 某 个 能 力 级 别 为 目 标 实 施 全 面 改 进 ， 提 升 系 统 加 密 服 务 能 力 。c） 借 鉴 本 模

23、型 的 具 体 要 求 ， 对 选 定 的 能 力 域 或 能 力 项 进 行 提 升 。本 模 型 作 为 评 价 金 融 信 息 系 统 加 密 服 务 能 力 的 准 则 和 依 据 ， 可 应 用 以 下 四 种 模 式 ：a） 自 我 评 价 ： 系 统 加 密 服 务 能 力 的 自 我 评 价 。b） 外 部 评 价 ： 第 三 方 机 构 对 系 统 加 密 服 务 能 力 的 外 部 评 价 。c） 需 方 评 价 ： 服 务 需 方 对 金 融 机 构 的 选 择 评 价 。d） 准 入 评 价 ： 金 融 机 构 评 级 和 市 场 准 入 的 辅 助 依 据 。5.2.

24、2 自 我 评 价 金 融 信 息 系 统 加 密 服 务 能 力 的 自 我 评 价 是 指 金 融 机 构 根 据 需 要 以 及 能 力 提 升 目 标 ， 对 自 身 系 统 加 密服 务 能 力 进 行 的 内 部 分 析 和 评 价 。 自 我 评 价 旨 在 发 现 和 分 析 系 统 加 密 服 务 能 力 的 问 题 或 不 足 ， 便 于 了 解自 身 的 差 距 ， 设 立 自 身 的 改 进 目 标 和 范 围 ， 并 针 对 差 距 采 取 改 进 措 施 ， 提 升 系 统 加 密 服 务 的 能 力 。5.2.3 外 部 评 价金 融 信 息 系 统 加 密 服

25、务 能 力 的 外 部 评 价 是 指 第 三 方 机 构 对 系 统 加 密 服 务 能 力 成 熟 度 的 评 价 。 外 部 评价 旨 在 从 独 立 第 三 方 角 度 出 发 ， 客 观 地 评 价 并 证 实 被 评 价 系 统 加 密 服 务 能 力 已 经 达 到 的 成 熟 度 级 别 。 其评 价 结 果 可 用 于 金 融 机 构 了 解 自 身 的 真 实 情 况 、 金 融 服 务 需 方 选 择 金 融 机 构 的 辅 助 依 据 ， 以 及 其 他 金 融机 构 评 级 、 市 场 准 入 的 辅 助 依 据 。5.2.4 需 方 评 价金 融 信 息 系 统 加

26、 密 服 务 能 力 的 需 方 评 价 是 指 金 融 服 务 需 方 选 择 金 融 机 构 时 ， 为 选 择 符 合 其 需 求 的 金融 机 构 所 进 行 的 评 价 。 需 方 评 价 旨 在 通 过 评 价 结 果 证 实 金 融 机 构 的 系 统 加 密 服 务 能 力 所 达 到 的 成 熟 度 级 别 ， 来 确 定 满 足 要 求 的 程 度 。 其 评 价 结 果 可 以 来 自 第 三 方 评 价 机 构 ， 也 可 以 来 自 于 服 务 需 方 或 其 认 可 的机 构 。5.2.5 准 入 评 价金 融 信 息 系 统 加 密 服 务 能 力 的 准 入 评

27、 价 是 指 相 关 监 管 机 构 通 过 评 价 结 果 证 实 金 融 机 构 的 系 统 加 密服 务 能 力 所 达 到 的 成 熟 度 级 别 ， 作 为 金 融 机 构 是 否 可 以 进 入 某 市 场 ， 或 允 许 开 展 某 类 型 业 务 的 准 入 门 槛的 依 据 。6 评 价 标 准6.1 总 则能 力 评 价 维 度 的 总 体 框 架 见 表 2。 表 2 能 力 评 价 维 度 JR/T 0222 2021 7 能 力 评 价 维 度 技 术 要 点 评 测 要 求开 发 迭 代 维 度 基 础 环 境 生 产 隔 离 性版 本 管 理 参 数 管 理代 码

28、 介 质 管 理持 续 运 行 维 度 容 量 管 理 容 量 标 称容 量 感 知容 量 管 理高 可 用 集 群 集 群 管 理集 群 冗 余 性监 控 告 警 监 控 管 理监 控 指 标 监 控 日 志异 常 恢 复 应 急 响 应灾 难 与 恢 复问 题 管 理应 用 服 务 维 度 算 法 支 持 对 称 算 法非 对 称 算 法摘 要 算 法加 解 密 接 口 封 装 标 准场 景 支 持资 源 池 管 理 设 备 资 源 池池 管 理 系 统 主 密 钥 安 全 域安 全 管 控 维 度 制 度 管 理 规 范 定 义人 员 要 求密 钥 操 作 管 理访 问 控 制 登 录

29、和 认 证用 户 管 控审 计 日 志 日 志 内 容日 志 保 存密 钥 管 理 维 度 加 解 密 设 备 硬 件 要 求资 质 要 求设 备 管 理 对 称 密 钥 密 钥 生 成密 钥 存 储对 称 密 钥 使 用对 称 密 钥 分 发密 钥 备 份非 对 称 密 钥 生 成 密 钥 或 证 书使 用 密 钥 或 证 书更 换 密 钥 或 证 书 JR/T 0222 2021 8 6.2 第 一 级6.2.1 持 续 运 行 维 度 容 量 管 理第 一 级 持 续 运 行 维 度 中 ， 关 于 容 量 管 理 的 评 价 标 准 见 表 3。表 3 容 量 管 理 - 第 一 级评

30、 测 要 求 评 测 程 序6.2.1.1 容 量 标 称 提 供 加 解 密 服 务 的 系 统 或 加 解 密 设 备 ， 应 规 定 以 下 性 能 容 量 标 称 值 ：a) 对 称 算 法 性 能 容 量 标 称 值 ：DES/3DES 算 法 64 位 、 128 位 、 192 位 密 钥 长 度 每 秒 能 够 处 理 的 PINBLOCK 密 文 转 换 /MAC计 算 /数 据 加 解 密 的 交 易 笔 数 。 AES算 法 128位 、 192 位 、 256 位 密 钥 长 度 每 秒 能 够 处 理 的 PINBLOCK密 文 转 换 /MAC计 算 /数 据 加

31、解 密 的 交 易 笔 数 。SM4算 法 每 秒 能 够 处 理 的 PINBLOCK密 文 转 换 /MAC计 算 /数 据 加 解 密 的 交 易 笔 数 。b) 非 对 称 算 法 性 能 容 量 标 称 值 ：RSA算 法 1024位 、 2048位 、 3072位 、 4096位 密 钥 长 度 每 秒 能 够 处 理 的 公 钥 加 密 /私 钥 解密 /私 钥 签 名 /公 钥 验 证 签 名 的 交 易 笔 数 。ECC 算 法 160 位 、 256 位 、 384位 、 512 位 密 钥 长 度 每 秒 能 够 处 理 的 公 钥 加 密 /私 钥 解 密 /私 钥 签

32、 名 /公 钥 验 证 签 名 的 交 易 笔 数 。SM2每 秒 能 够 处 理 的 公 钥 加 密 /私 钥 解 密 /私 钥 签 名 /公 钥 验 证 签 名 的 交 易 笔 数 。RSA算 法 1024位 、 2048 位 、 3072位 、 4096位 密 钥 长 度 每 秒 能 够 生 成 的 密 钥 对 数 量 。ECC算 法 160位 、 256位 、 384位 、 512位 密 钥 长 度 每 秒 能 够 生 成 的 密 钥 对 数 量 。 SM2算 法 每 秒 能 够 生 成 的 密 钥 对 数 量 。c) 摘 要 算 法 性 能 容 量 标 称 值 ：SHA-1、 SHA

33、-256、 SHA-384、 SHA-512、 MD5、 SM3等 摘 要 算 法 每 秒 能 够 处 理 的 交 易 笔 数 。d) 系 统 或 加 解 密 设 备 提 供 服 务 的 最 大 并 发 数 。注 ： DES/3DES、 AES、 SM4分 别 是 对 称 算 法 的 一 种 ， RSA、 ECC、 SM2分 别 是 非 对 称 算 法 的 一 种 ， SHA-1、 SHA-256、 SHA-384、SHA-512、 MD5、 SM3分 别 是 摘 要 算 法 的 一 种 。6.2.2 应 用 服 务 维 度 算 法 支 持第 一 级 应 用 服 务 维 度 中 ， 关 于 算

34、 法 支 持 的 评 价 标 准 见 表 4。表 4 算 法 支 持 - 第 一 级 评 测 要 求 评 测 程 序6.2.2.1 对 称 算 法 加 解 密 设 备 应 支 持 或 部 分 支 持 以 下 对 称 算 法 ， 并 达 到 对 应 的 强 度 ：a) 加 解 密 设 备 支 持 SM4算 法 。b) 加 解 密 设 备 支 持 DES/3DES算 法 ， 并 达 到 64位 、 128 位 、 192位 强 度 。c) 加 解 密 设 备 支 持 AES算 法 ， 并 达 到 128位 、 192 位 、 256位 强 度 。6.2.2.2 非 对 称 算 法 加 解 密 设

35、备 应 支 持 或 部 分 支 持 以 下 非 对 称 算 法 ， 并 达 到 对 应 的 强 度 ：a) 加 解 密 设 备 支 持 SM2算 法 。b) 加 解 密 设 备 支 持 RSA算 法 ， 并 达 到 1024位 、 2048 位 、 3072位 、 4096位 强 度 。c) 加 解 密 设 备 支 持 ECC算 法 ， 并 达 到 160位 、 256位 、 384位 、 512位 强 度 。 JR/T 0222 2021 9 表 4 算 法 支 持 - 第 一 级 （ 续 ）评 测 要 求 评 测 程 序6.2.2.3 摘 要 算 法 加 解 密 设 备 应 支 持 或 部

36、 分 支 持 以 下 摘 要 算 法 ， 并 达 到 对 应 的 强 度 ：a) 加 解 密 设 备 支 持 MD5算 法 。b) 加 解 密 设 备 支 持 SM3算 法 。c) 加 解 密 设 备 支 持 SHA系 列 算 法 ， 并 达 到 SHA-1、 SHA-256、 SHA-384、 SHA-512强 度 。6.2.3 密 钥 管 理 维 度6.2.3.1 加 解 密 设 备第 一 级 密 钥 管 理 维 度 中 ， 关 于 加 解 密 设 备 的 评 价 标 准 见 表 5。表 5 加 解 密 设 备 - 第 一 级 评 测 要 求 评 测 程 序6.2.3.1.1 硬 件 要

37、求 在 提 供 加 解 密 服 务 的 系 统 中 应 使 用 专 用 的 加 解 密 运 算 设 备 。6.2.3.1.2 资 质 要 求 加 解 密 设 备 的 资 质 应 满 足 以 下 要 求 ：a) 密 码 机 具 备 国 家 密 码 局 授 予 的 商 用 型 号 。b) 签 名 验 签 服 务 器 具 备 国 家 密 码 局 授 予 的 商 用 型 号 。c) 如 果 系 统 仅 用 于 涉 外 业 务 ， 可 以 没 有 国 家 密 码 局 授 予 的 型 号 。注 ： 涉 外 业 务 指 与 国 外 机 构 之 间 进 行 的 业 务 。6.2.3.2 对 称 密 钥第 一

38、级 密 钥 管 理 维 度 中 ， 关 于 对 称 密 钥 的 评 价 标 准 见 表 6。表 6 对 称 密 钥 - 第 一 级 评 测 要 求 评 测 程 序6.2.3.2.1 密 钥 生 成 对 称 密 钥 的 生 成 过 程 应 满 足 以 下 要 求 ：a) 使 用 随 机 数 生 成 算 法 产 生 密 钥 数 据 。b) 加 解 密 设 备 的 多 组 密 钥 分 量 合 成 密 钥 的 算 法 公 开 并 可 以 复 制 。c) 支 持 以 LMK、 KEK保 护 的 形 式 生 成 并 输 出 密 钥 数 据 。6.2.3.2.2 对 称 密 钥 分发 对 称 密 钥 在 分

39、 发 之 前 应 对 接 收 者 的 身 份 进 行 确 认 。6.2.3.3 非 对 称 密 钥第 一 级 密 钥 管 理 维 度 中 ， 关 于 非 对 称 密 钥 的 评 价 标 准 见 表 7。表 7 非 对 称 密 钥 - 第 一 级 评 测 要 求 评 测 程 序6.2.3.3.1 生 成 密 钥 或证 书 非 对 称 密 钥 或 证 书 的 生 成 过 程 应 满 足 以 下 要 求 ：a) 非 对 称 密 钥 对 的 生 成 方 式 保 证 私 钥 的 机 密 性 。b) 生 成 新 证 书 时 ， 可 以 指 定 算 法 、 算 法 强 度 和 失 效 日 期 。6.3 第

40、二 级 JR/T 0222 2021 10 6.3.1 开 发 迭 代 维 度6.3.1.1 基 础 环 境第 二 级 开 发 迭 代 维 度 中 ， 关 于 基 础 环 境 的 评 价 标 准 见 表 8。表 8 基 础 环 境 - 第 二 级评 测 要 求 评 测 程 序6.3.1.1.1 生 产 隔 离 性 具 备 生 产 环 境 与 非 生 产 环 境 管 理 概 念 ， 且 生 产 环 境 与 非 生 产 环 境 相 对 隔 离 。6.3.1.2 版 本 管 理第 二 级 开 发 迭 代 维 度 中 ， 关 于 版 本 管 理 的 评 价 标 准 见 表 9。表 9 版 本 管 理

41、- 第 二 级 评 测 要 求 评 测 程 序6.3.1.2.1 参 数 管 理 以 下 数 据 应 在 生 产 环 境 中 配 置 ， 不 应 编 入 代 码 或 预 编 译 进 程 序 ：a) 生 产 环 境 的 网 络 协 议 地 址 （ IP地 址 ） 信 息 。b) 生 产 环 境 使 用 的 密 钥 数 据 。c) 生 产 环 境 使 用 的 私 钥 数 据 。6.3.1.2.2 代 码 介 质 管理 代 码 介 质 的 管 理 应 满 足 以 下 要 求 ：a) 建 立 代 码 库 ， 管 理 有 关 的 代 码 以 及 编 译 后 的 程 序 。b) 建 立 软 件 介 质 库

42、 ， 管 理 生 产 环 境 使 用 的 软 件 产 品 。6.3.2 持 续 运 行 维 度6.3.2.1 容 量 管 理第 二 级 持 续 运 行 维 度 中 ， 关 于 容 量 管 理 的 评 价 标 准 见 表 10。 表 10 容 量 管 理 - 第 二 级评 测 要 求 评 测 程 序6.3.2.1.1 容 量 标 称 提 供 加 解 密 服 务 的 系 统 或 加 解 密 设 备 ， 应 规 定 以 下 性 能 容 量 标 称 值 ：a) 对 称 算 法 性 能 容 量 标 称 值 ：DES/3DES 算 法 64 位 、 128 位 、 192 位 密 钥 长 度 每 秒 能 够 处 理 的 PINBLOCK 密 文 转