本文相关内容主要基于GM/T 0133-2024关键信息基础设施密码应用要求为基础进行梳理和介绍,具体如下:
国家密码管理局公告(第50号)于2024 年 12 月 27 日发布19项新标准,其中包括:GM/T 0133-2024关键信息基础设施密码应用要求,皆为落实《网络安全法》《密码法》等法律法规要求,指导关键信息基础设施运营者合规、正确、有效地开展商用密码应用,保障其安全稳定运行。该标准要求于2025 年 7 月 1 日正式实施。
文件:GM_T 0133-2024《关键信息基础设施密码应用要求》
以下内容是针对GM/T 0133-2024关键信息基础设施密码应用要求进行梳理,特别是针对重点的地方进行标记,以便于阅读和理解,其中关于网络和通信层面的身份鉴别,明确要求需要实现双向身份鉴别。
一、基本概况
发布与实施:2024 年 12 月 27 日由国家密码管理局发布,2025 年7月1日正式实施。
核心目的:落实《网络安全法》《密码法》等法律法规要求,指导关键信息基础设施运营者合规、正确、有效地开展商用密码应用,保障其安全稳定运行。
适用范围:关键信息基础设施的规划、建设、运行及安全性评估,可供运营者及安全保护相关方使用。
此文要求
二、总体原则
商用密码应用需遵循三大核心原则,贯穿全生命周期:
规范性:各环节符合密码相关法律法规,形成 “规划 - 建设 - 运行 - 评估” 闭环。
系统性:立足关键信息基础设施整体视角,以风险管理为导向,构建体系化密码保障能力。
健壮性:强化运行安全保障,确保商用密码保障系统满足关键业务的可靠性、可用性要求。
三、商用密码改造与应用全流程要求(实施要求)
3.1 密码应用规划:顶层设计先行
规划是商用密码应用的基础,需明确 “需求 - 方案 - 调整” 三大核心环节:
以下内容是针对GM/T 0133-2024关键信息基础设施密码应用要求进行梳理,特别是针对重点的地方进行标记,以便于阅读和理解,其中关于网络和通信层面的身份鉴别,明确要求需要实现双向身份鉴别。
一、基本概况
发布与实施:2024 年 12 月 27 日由国家密码管理局发布,2025 年 7 月 1 日正式实施。
核心目的:落实《网络安全法》《密码法》等法律法规要求,指导关键信息基础设施运营者合规、正确、有效地开展商用密码应用,保障其安全稳定运行。
适用范围:关键信息基础设施的规划、建设、运行及安全性评估,可供运营者及安全保护相关方使用。
此文要求
二、总体原则
商用密码应用需遵循三大核心原则,贯穿全生命周期:
规范性:各环节符合密码相关法律法规,形成 “规划 - 建设 - 运行 - 评估” 闭环。
系统性:立足关键信息基础设施整体视角,以风险管理为导向,构建体系化密码保障能力。
健壮性:强化运行安全保障,确保商用密码保障系统满足关键业务的可靠性、可用性要求。
三、商用密码改造与应用全流程要求(实施要求)
3.1 密码应用规划:顶层设计先行
规划是商用密码应用的基础,需明确 “需求 - 方案 - 调整” 三大核心环节:
| 要求项 | 具体内容 |
| 资产与风险分析 | 形成资产清单(含物理、网络、设备、应用、数据等,明确重要性及防护优先级);分析关键业务安全风险,结合现有安全措施、资源能力等确定体系化密码需求。 |
| 制定关键信息基础设施商用密码应用方案 | 密码应用方案需包含: 1)密码应用需求; 2)设计内容(总体架构、技术 / 管理措施、资源供给模式(共享 / 独享、调配、冗余备份)、密钥全生命周期管理、监测预警及应急策略); 3)建设模式(统一建设 / 分级建设)、周期及阶段目标; 4)密码应用方案使用与流转范围。 |
| 动态调整 | 当基础设施发生改建、扩建、所有权变更等重大变化时,重新开展需求分析与方案设计。 |
3.2 密码应用建设:按方案落地实施
建设需严格依据规划方案,确保 “范围明确、集成合规、管理到位”:
明确建设范围:划定需实施密码应用的具体对象及边界。
按方案执行建设:核心任务包括:
1)采购:制定密码产品与服务采购清单,合规采购;
2)集成:将密码产品 / 服务与应用系统正确、合规集成;
3)管理:落实密码应用管理措施;
4)管控:监督控制建设质量、进度、文档及变更。
3.3 密码应用运行:全生命周期管控
运行阶段需保障 “合规执行、安全终止”:
日常运行:严格按应用方案执行技术与管理措施;
终止 / 废弃管理:采用安全方式处理密钥(转移、暂存、清除)、密码产品(迁移、废弃)及存储介质(清除、销毁),防止数据泄露或滥用。
3.4 密码应用安全性评估:强制合规验证
评估是商用密码应用合规性的核心关口,分 “方案评估” 和 “系统评估” 两类:
| 评估类型 | 要求 |
| 方案评估 | 商用密码应用方案需先通过评估,未通过不得作为建设依据;建设中调整方案的,需重新评估通过后方可继续。 |
| 系统评估 | 1)新建系统:投入运行前必须评估,通过后方可上线; 2)已运行系统:每年至少 1 次评估; 3)整改要求:未通过评估的需限期整改,短期内无法整改的需采取临时安全措施。 |
| 评估管理 | 汇总留存评估情况,符合法律法规要求。 |
四、商用密码技术与管理核心要求
4.1 基本要求:符合基础标准
关键信息基础设施边界内的各等级保护对象,需先满足《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》,涵盖:
技术层面:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;
管理层面:管理制度、人员管理、建设运行、应急处置。
4.2 增强技术要求:针对关键场景强化保护
在基本要求基础上,针对核心安全场景提出更高要求:
(一)网络和通信安全:身份与数据双保障
| 通信场景 | 要求 |
| 边界内等级保护对象间通信 | 用密码技术实现: 1)通信双方身份鉴别(重点提示); 2)通信数据机密性、完整性保护。 |
| 边界内与边界外对象间通信 | 除上述要求外(在边界内等级保护要求基础上,再增加),需额外用密码技术控制 “数据交换” 和 “信息流向”。 |
(二)设备和计算安全:聚焦运维与程序安全
运维日志保护:对重要运维操作形成日志,用密码技术保障日志完整性;
程序安全:用密码技术保护重要可执行程序(含依赖程序、远程更新程序)的完整性,并验证来源真实性。
(三)应用和数据安全:重点保护核心数据
| 类别 | 要求 |
| 应用安全 | 1)用密码技术保护重要操作(业务操作、用户异常操作等)的访问控制信息及操作记录完整性; 2)涉及法律责任认定的应用,需用密码技术实现操作不可否认性。 |
| 数据安全(核心 / 重要数据、敏感个人信息) | 1)来源验证:用密码技术验证数据来源真实性; 2)存储保护:用密码技术保障存储的机密性、完整性;核心数据的解密权限需严格管理并纳入审计; 3)传输保护:跨等级保护对象(含通过网络隔离产品)流动时,用密码技术保障机密性、完整性。 |
4.3 增强管理要求:从人员到供应链全管控
(一)人员管理:岗位全周期合规
| 环节 | 要求 |
| 任职资格 | 密码应用岗位人员需具备相应专业学历或职业技能,符合法规要求。 |
| 任前审查 | 开展背景审查,留存审查记录。 |
| 岗位调整 | 调动时重新评估并修改访问权限及职责。 |
| 离职管理 | 及时终止所有密码相关权限,收回密码产品,按策略处理密钥。 |
(二)建设运行管理:强化对抗与供应链
攻防对抗演习:定期开展,识别密码应用脆弱性(如功能旁路、配置错误等),模拟攻防并整改;
供应链安全:
1)采购符合《GB/T 39204-2022》要求;
2)与服务方签订 SLA(明确服务连续性、安全性、合规性);
3)梳理基础软硬件代码签名风险,纳入应急预案;
安全运维:按《GB/T 39204-2022》执行,对密码产品的策略配置、补丁升级等集中管理;
情况报告:按法规要求上报商用密码使用情况。
(三)密码产品和服务:强制合规要求
商用密码产品、服务需经检测认证合格;
密码算法、协议、密钥管理机制等需通过国家密码管理部门审查鉴定。
(四)密钥管理:全生命周期安全
密钥是密码应用的核心,需严格遵循 “安全、专用、更新、备份” 原则:
| 要求项 | 具体内容 |
| 生命周期安全 | 公钥防非授权修改;其他密钥防非授权访问、使用、泄露、修改。 |
| 密钥专用 | 不同业务、不同级别数据使用不同密钥。 |
| 定期更新 | 按密钥管理策略执行更新。 |
| 安全备份 | 按策略备份,保障密钥可用性。 |
五、商用密码运行安全保障要求
(一)密码资源弹性供给:应对业务波动与故障
资源调配:按规划的资源调配策略,动态调整密码资源;
冗余备份:按冗余策略,在密码产品功能中断时切换至备份产品,保障业务连续性。
(二)密码运行状态监测预警:实时感知风险
监测预警:按规划的监测策略开展监测,基于数据研判并预警;
信息保护:用密码技术保障监测数据、预警信息的完整性及来源真实性;涉及核心 / 重要数据的,需符合数据安全要求。
(三)密码运行安全事件应急处置:快速响应与恢复
应急预案:包含事件分类分级、启动条件、组织构成、报告流程、处置恢复、资源保障、演练培训等;
应急演练:定期开展演练;
事件处置:按预案分类分级处置,形成记录;配合主管部门工作,通知受影响方;
报告与知识库:按法规上报事件及处置情况;建立应急知识库(历史经验、应对措施);将预案纳入人员培训考核。
六、其他内容补充
| 术语 | 定义 |
| 关键信息基础设施 | 公共通信、能源、交通、金融等重要行业领域的网络设施 / 信息系统,一旦受损可能危害国家安全、国计民生。 |
| 商用密码保障系统 | 用商用密码技术(算法、协议、密钥管理)提供加密、签名、密钥管理等功能,保障系统安全及身份真实、数据完整等。 |
| 核心数据 | 影响政治安全的重要数据(如国家安全、国民经济命脉相关数据)。 |
| 重要数据 | 泄露 / 篡改可能危害国家安全、经济运行等的数据(仅影响组织或个人的不算)。 |
| 敏感个人信息 | 泄露可能侵害人格尊严或人身、财产安全的个人信息。 |