由中国密码学会密评联委会组织编制的《政务信息系统密码应用与安全性评估工作指南》(2020版)（以下简称《指南》）日前正式发布。结合当前密码技术、产品和服务的实际情况，《指南》在政务信息系统密码应用方面，给项目建设单位给出了针对性的措施建议。

 

　　物理和环境安全等6个应用领域均涵盖

 

　　结合当前密码技术、产品和服务的实际情况，《指南》在政务信息系统密码应用方面，给出了针对性的措施建议。具体应用领域包括：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、秘钥管理、安全管理等。如在网络和通信安全的密码应用方面，为实现对信息系统与外部实体之间网络通信的安全防护，确认通信实体的身份以及保护通信过程中的数据。

 

　　《指南》提出，项目建设单位可结合政务信息系统的网络安全保护等级，部署IPSec VPN 类产品（符合 GM/T 0022-2014《IPSec VPN技术规范》、GM/T 0023-2014《IPSec VPN网关产品规范》等标准），或是SSL VPN 类产品（符合GM/T 0024-2014《SSL VPN技术规范》、GM/T 0025-2014《SSL VPN网关产品规范》等标准）实现通信双方的身份鉴别，通信过程中敏感数据的机密性、完整性保护。

 

　　电子公文处理密码应用有范本

 

　　在《指南》附录，记者看到，对于某部机关电子公文处理系统密码应用方案，《指南》给出了政务信息系统密码应用方案模板、密码相关标准，为项目建设单位编写方案提供指导。其中，根据安全管理制度方面的要求，建设单位需制定与系统相适应的密码安全管理制度和操作规范，内容至少包含密码设计、建设、运维、人员、设备、密钥等6 个方面，并同步在单位现有的制度发布流程中补充密码相关管理制度发布流程。

 

　　据悉，除对项目建设单位有具体要求外，《指南》也对国家政务信息系统建设、使用和集成单位等密码应用与安全性评估责任单位，落实国家密码管理有关要求，同步规划、同步建设、同步运行密码保障系统，给出了具体的指导。