35.240CCSL70/84團(tuán)體標(biāo)準(zhǔn)通用操作系統(tǒng)商用密碼子系統(tǒng)安全輪廓中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟發(fā)布IT/ZISIA0101-2025前言 V 2.規(guī)范性引用文件 3.術(shù)語(yǔ)和定義 4.符號(hào)和縮略語(yǔ) 5.概述 5.1安全威脅 95.1.1針對(duì)密碼系統(tǒng)的安全威脅 95.1.2針對(duì)操作系統(tǒng)的安全威脅 95.2安全目的 5.2.1概述 105.2.2算法及密鑰安全 5.2.3通信安全 5.2.4存儲(chǔ)安全 5.2.5軟件安全 5.3商密子系統(tǒng)邊界 5.4假定 5.5文件約定 6.安全功能要求 6.1密碼資源 6.2密碼算法 6.2.1加密算法 6.2.2數(shù)字簽名算法 6.2.3雜湊算法 6.2.4帶密鑰的雜湊算法 126.2.5隨機(jī)數(shù)生成 6.3密碼管理 6.3.1密鑰管理 6.3.2證書管理 6.4密碼服務(wù) 6.4.1密碼接口 6.4.2用戶身份鑒別 T/ZISIA0101-20256.4.3存儲(chǔ)數(shù)據(jù)加密 6.4.4通信數(shù)據(jù)保護(hù) 6.4.5應(yīng)用軟件包簽名/驗(yàn)證 6.4.6內(nèi)核代碼簽名/驗(yàn)證 136.4.7安全啟動(dòng) 6.4.8自啟動(dòng) 6.4.9軟件/固件加載 6.4.10安全操作系統(tǒng)密碼支撐 6.5商密子系統(tǒng)安全 136.5.1管理員 6.5.2系統(tǒng)管理 6.5.3身份鑒別 6.5.4數(shù)據(jù)保護(hù) 6.5.5系統(tǒng)隔離 6.5.6可信路徑/通道 6.5.7旁路 146.5.8安全日志 6.5.9自檢 146.5.10軟件/固件安全 6.5.11可信更新 6.5.12有限狀態(tài)模型FSM 147.安全保障要求 7.1開發(fā) 7.1.1功能規(guī)范文檔 7.2指導(dǎo)性文檔 7.2.1用戶操作指南 7.2.2準(zhǔn)備程序 7.3生命周期支持 7.3.1系統(tǒng)標(biāo)簽 7.3.2配置管理覆蓋 7.3.3及時(shí)安全更新 7.4日常管理 7.4.1管理制度 7.4.2人員管理 7.4.3應(yīng)急處置 7.5測(cè)試 7.6脆弱性評(píng)估 T/ZISIA0101-2025附錄A(規(guī)范性附錄)商密子系統(tǒng)要求條款說(shuō)明及評(píng)估 附錄B(資料性附錄)商密子系統(tǒng)支撐GB/T20272-2019密碼技術(shù)相關(guān)要求 46參考文獻(xiàn) 48T/ZISIA0101-2025本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟提出并歸口。本文件起草單位：中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟、麒麟軟件有限公司、中科方德軟件有限公司、阿里云計(jì)算有限公司、興唐通信科技有限公司、螞蟻科技集團(tuán)股份有限公司、北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司、江南信安（北京）科技有限公司、北京吉大正元信息技術(shù)有限公司、北京三博安科技有限公司、神州網(wǎng)絡(luò)信息技術(shù)有限公司。本文件主要起草人：王震、張大朋、岳佳圓、郭亮、胡昆、龔文、劉贏、馮建茹、時(shí)圣亮、李世奇、張?zhí)旒?、姚長(zhǎng)遠(yuǎn)、王輝、錢程、楊洋、張成龍、郭智慧、王堯、李延昭、胡冰、白錦龍、汪海洋、徐劍南、楊子峰、王彤、何道君、王立臣、呂明、王克、胡金山、羅捷、李彬安、劉海濤、林璟鏘、王強(qiáng)、黃建忠。VT/ZISIA0101-2025密碼是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐，通過(guò)加密保護(hù)和安全認(rèn)證兩大核心功能，為信息系統(tǒng)的機(jī)密性、完整性、真實(shí)性和不可否認(rèn)性提供可靠的安全保障。作為計(jì)算機(jī)系統(tǒng)基礎(chǔ)軟件，現(xiàn)代操作系統(tǒng)廣泛運(yùn)用密碼技術(shù)以保護(hù)系統(tǒng)自身安全，系統(tǒng)安全啟動(dòng)、用戶身份鑒別、代碼簽名/驗(yàn)證、數(shù)據(jù)加密保護(hù)等，都依賴密碼技術(shù)。可以說(shuō)，沒有密碼技術(shù)支撐保護(hù)，就沒有操作系統(tǒng)安全，網(wǎng)絡(luò)信息系統(tǒng)安全也難以保證。目前，國(guó)內(nèi)操作系統(tǒng)普遍使用國(guó)外密碼算法和密碼資源，商用密碼算法的使用缺乏頂層規(guī)劃和標(biāo)準(zhǔn)規(guī)范，存在密碼使用不規(guī)范、不正確、不安全，密鑰、證書等敏感數(shù)據(jù)保護(hù)不嚴(yán)格，密碼資源調(diào)用接口不統(tǒng)一，第三方密碼產(chǎn)品適配難等問(wèn)題。為解決上述問(wèn)題，本文件將操作系統(tǒng)內(nèi)各種密碼功能組件邏輯上作為一個(gè)特殊的密碼模塊進(jìn)行規(guī)范，依據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)，提出操作系統(tǒng)密碼子系統(tǒng)的安全功能要求、安全保障要求及評(píng)估方法，為密碼子系統(tǒng)實(shí)現(xiàn)、使用和操作系統(tǒng)密碼安全應(yīng)用提供指導(dǎo)。6T/ZISIA0101-2025通用操作系統(tǒng)商用密碼子系統(tǒng)安全輪廓本文件規(guī)定了通用操作系統(tǒng)商用密碼子系統(tǒng)的安全功能要求和安全保障要求。本文件適用于指導(dǎo)操作系統(tǒng)商用密碼子系統(tǒng)的開發(fā)、使用、管理和檢測(cè)。2.規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T15843.3信息技術(shù)安全技術(shù)實(shí)體鑒別第3部分：采用數(shù)字簽名技術(shù)的機(jī)制GB/T17964-2021信息安全技術(shù)分組密碼算法的工作模式GB/T20272-2019信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20518信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T32905信息安全技術(shù)SM3密碼雜湊算法GB/T32907信息安全技術(shù)SM4分組密碼算法GB/T32918（所有部分）信息安全技術(shù)SM2橢圓曲線公鑰密碼算法GB/T33133（所有部分）信息安全技術(shù)祖沖之序列密碼算法GB/T35275信息安全技術(shù)SM2密碼算法加密簽名消息語(yǔ)法規(guī)范GB/T35276信息安全技術(shù)SM2密碼算法使用規(guī)范GB/T37092信息安全技術(shù)密碼模塊安全要求GB/T38636信息安全技術(shù)傳輸層密碼協(xié)議（TLCP）GM/T0044（所有部分）SM9標(biāo)識(shí)密碼算法GM/T0062-2018密碼產(chǎn)品隨機(jī)數(shù)檢測(cè)要求GM/T0091基于口令的密鑰派生規(guī)范GM/T0092基于SM2算法的證書申請(qǐng)語(yǔ)法規(guī)范GM/T0129SSH密碼協(xié)議規(guī)范GM/Z4001-2013密碼術(shù)語(yǔ)3.術(shù)語(yǔ)和定義GB/T25069、GM/Z4001-2013界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1引導(dǎo)加載器bootloader計(jì)算機(jī)啟動(dòng)過(guò)程中運(yùn)行的一段程序，負(fù)責(zé)初始化計(jì)算機(jī)硬件設(shè)備、檢測(cè)可啟動(dòng)的操作系統(tǒng)、將操作系統(tǒng)內(nèi)核加載到內(nèi)存并將系統(tǒng)控制權(quán)傳遞給操作系統(tǒng)內(nèi)核，從而使操作系統(tǒng)能夠正常啟動(dòng)和運(yùn)行。7T/ZISIA0101-20253.2啟動(dòng)墊片bootshim一種在操作系統(tǒng)啟動(dòng)過(guò)程中的過(guò)渡階段運(yùn)行的軟件，它位于BIOS/UEFI和操作系統(tǒng)內(nèi)核之間，以增強(qiáng)系統(tǒng)安全性，方便在同一臺(tái)計(jì)算機(jī)上安裝和啟動(dòng)多個(gè)操作系統(tǒng)。3.3證書certificate關(guān)于實(shí)體的一種數(shù)據(jù)，該數(shù)據(jù)由認(rèn)證機(jī)構(gòu)的私鑰或秘密密鑰簽發(fā)，并無(wú)法偽造。[來(lái)源：GB/T37092-2018，3.1]3.4證書認(rèn)證機(jī)構(gòu)certificationauthority（CA）對(duì)數(shù)字證書進(jìn)行全生命周期管理的實(shí)體。也稱為電子認(rèn)證服務(wù)機(jī)構(gòu)。[來(lái)源：GM/Z4001-2013，2.145]3.5密碼模塊cryptographicmodule實(shí)現(xiàn)密碼運(yùn)算功能的、相對(duì)獨(dú)立的軟件、硬件、固件或其組合。[來(lái)源：GM/Z4001-2013，2.53]3.6數(shù)據(jù)加密密鑰dataencryptionkey（DEK）用于對(duì)數(shù)據(jù)進(jìn)行加密或解密的密鑰。3.7有限狀態(tài)模型finitestatemodel（FSM）序列機(jī)的一種數(shù)學(xué)模型，該模型包含輸入事件的有限集合、輸出事件的有限集合、狀態(tài)的有限集合、將狀態(tài)和輸入映射到狀態(tài)的函數(shù)（狀態(tài)轉(zhuǎn)移函數(shù)）以及初始狀態(tài)的說(shuō)明。3.8多因素鑒別multi-factorauthentication至少具有兩個(gè)獨(dú)立鑒別因素的鑒別。注：獨(dú)立的鑒別因素類別包括：已知某物，擁有[來(lái)源：GB/T37092-2018，3.10]3.9密鑰加密密鑰keyencryptionkey（KEK）用于對(duì)密鑰進(jìn)行加密或解密的密鑰。8T/ZISIA0101-2025[來(lái)源：GM/Z4001-2013，2.78]3.10操作系統(tǒng)容器operatingsystemcontainers一種虛擬化技術(shù)，允許在單個(gè)操作系統(tǒng)內(nèi)核上運(yùn)行多個(gè)獨(dú)立的用戶空間實(shí)例。這些實(shí)例被稱為容器（containers）。每個(gè)容器包含其自己的文件系統(tǒng)、進(jìn)程空間、網(wǎng)絡(luò)接口和IPC（進(jìn)程間通信）資源，但共享宿主操作系統(tǒng)的內(nèi)核。這使得容器比傳統(tǒng)虛擬機(jī)更加輕量級(jí)，因?yàn)樗鼈儾恍枰暾牟僮飨到y(tǒng)內(nèi)核。3.11根密鑰rootkey（RK）用于生成派生密鑰的密鑰。[來(lái)源：GB/T25069-2022，3.204]3.12安全啟動(dòng)secureboot一種確保計(jì)算機(jī)只運(yùn)行可信軟件的安全功能，主要目的是防止能夠感染操作系統(tǒng)引導(dǎo)加載程序和系統(tǒng)固件的惡意軟件。其工作原理是驗(yàn)證每個(gè)階段的引導(dǎo)加載程序和操作系統(tǒng)內(nèi)核是否具有有效的數(shù)字簽3.13SM2算法SM2algorithm一種橢圓曲線公鑰密碼算法，其密鑰長(zhǎng)度為256比特。[來(lái)源：GM/Z4001-2013，2.118]3.14SM3算法SM3algorithm一種密碼雜湊算法，其輸出為256比特。[來(lái)源：GM/Z4001-2013，2.119]3.15SM4算法SM4algorithm一種分組密碼算法，分組長(zhǎng)度為128比特，密鑰長(zhǎng)度為128比特。[來(lái)源：GM/Z4001-2013，2.120]3.16SM9密碼算法SM9algorithm一種基于身份標(biāo)識(shí)的非對(duì)稱密碼算法。9T/ZISIA0101-2025[來(lái)源：GM/Z4001-2013，2.122]3.17祖沖之序列密碼算法ZUCstreamcipheralgorithm一種序列密碼算法。[來(lái)源：GM/Z4001－2013，2.154]4.符號(hào)和縮略語(yǔ)下列縮略語(yǔ)適用于本文件。API：應(yīng)用程序接口（ApplicationProgramInterface）CA：證書認(rèn)證機(jī)構(gòu)（CertificationAuthority）DEK：數(shù)據(jù)加密密鑰（DataEncryptionKey）FSM：有限狀態(tài)模型（FiniteStateModel）HMAC：基于雜湊的消息鑒別碼（Hash-BasedMessageAuthenticationCode）KEK：密鑰加密密鑰（KeyEncryptionKey）OS：操作系統(tǒng)（OperationSystem）RK：根密鑰（RootKey）SSH：安全交互（SecureShell）TCM：可信密碼模塊（TrustedCryptographyModule）TPM：可信平臺(tái)模塊（TrustedPlatformModule）5.概述5.1安全威脅5.1.1針對(duì)密碼系統(tǒng)的安全威脅密鑰攻擊攻擊者可能突破操作系統(tǒng)訪問(wèn)控制措施，獲取密鑰、密鑰材料，以及與密鑰相關(guān)的中間計(jì)算結(jié)果，或者利用密鑰生成、建立、存儲(chǔ)、使用、銷毀等缺陷恢復(fù)或部分恢復(fù)密鑰，從而破解密碼系統(tǒng)。密碼組件攻擊攻擊者可能通過(guò)對(duì)操作系統(tǒng)的本地攻擊、物理攻擊等手段，對(duì)軟硬件密碼組件進(jìn)行控制、修改，或者繞過(guò)密碼組件調(diào)用機(jī)制，導(dǎo)致密碼系統(tǒng)保護(hù)功能失效。證書攻擊攻擊者可能通過(guò)欺騙、盜竊、篡改等手段攻擊操作系統(tǒng)數(shù)字證書的存儲(chǔ)、管理和使用，從而影響操作系統(tǒng)使用者身份的可信度、數(shù)據(jù)的可信度及關(guān)鍵數(shù)據(jù)的完整性、機(jī)密性。5.1.2針對(duì)操作系統(tǒng)的安全威脅網(wǎng)絡(luò)攻擊T/ZISIA0101-2025攻擊者在遠(yuǎn)程通過(guò)網(wǎng)絡(luò)通道對(duì)操作系統(tǒng)進(jìn)行攻擊竊取系統(tǒng)信息、改變主機(jī)狀態(tài)、修改程序代碼、監(jiān)視網(wǎng)絡(luò)通信數(shù)據(jù)。本地攻擊攻擊者可通過(guò)篡改操作系統(tǒng)上運(yùn)行的應(yīng)用程序或利用軟件供應(yīng)鏈方式使得計(jì)算機(jī)安裝惡意程序?qū)χ鳈C(jī)實(shí)施攻擊，從而竊取操作系統(tǒng)數(shù)據(jù)、癱瘓主機(jī)軟硬件系統(tǒng)等。物理攻擊攻擊者可能在有限的時(shí)間內(nèi)直接接觸計(jì)算機(jī)硬件設(shè)備（如磁盤、內(nèi)存、CPU等），從而嘗試訪問(wèn)其中的操作系統(tǒng)數(shù)據(jù)。5.2安全目的5.2.1概述為防止5.1所述安全威脅，建立操作系統(tǒng)商用密碼子系統(tǒng)（簡(jiǎn)稱商密子系統(tǒng)），實(shí)現(xiàn)保護(hù)OS密碼算法及密鑰安全、保護(hù)OS通信安全、保護(hù)OS存儲(chǔ)安全、保護(hù)OS軟件安全等目的。5.2.2算法及密鑰安全為防止密鑰攻擊、密碼組件以及證書攻擊安全威脅，確保操作系統(tǒng)使用的密碼算法符合商用密碼法規(guī)要求，確保密鑰、證書正確使用及安全，操作系統(tǒng)商用密碼子系統(tǒng)提供商用密碼算法、獨(dú)立的密碼資源、規(guī)范的數(shù)據(jù)加解密應(yīng)用及商用密碼子系統(tǒng)管理及安全保護(hù)功能。5.2.3通信安全為防止網(wǎng)絡(luò)攻擊威脅，商密子系統(tǒng)提供操作系統(tǒng)遠(yuǎn)程通信加密功能，為操作系統(tǒng)與遠(yuǎn)程用戶建立可信信道。5.2.4存儲(chǔ)安全為防止物理攻擊威脅，確保在操作系統(tǒng)存儲(chǔ)介質(zhì)失控情況下存儲(chǔ)數(shù)據(jù)的安全，商密子系統(tǒng)提供靜態(tài)數(shù)據(jù)加密保護(hù)功能。5.2.5軟件安全為防止密碼組件攻擊及本地攻擊威脅，商密子系統(tǒng)為操作系統(tǒng)提供用戶身份鑒別、軟件簽名/驗(yàn)證機(jī)制，確保操作系統(tǒng)及商密子系統(tǒng)軟件完整性、責(zé)任可追溯性，降低軟件供應(yīng)鏈安全威脅。5.3商密子系統(tǒng)邊界商密子系統(tǒng)是在通用操作系統(tǒng)（簡(jiǎn)稱操作系統(tǒng)或OS，包括服務(wù)器操作系統(tǒng)、桌面終端操作系統(tǒng)和移動(dòng)智能終端操作系統(tǒng)）上運(yùn)行的軟硬件組件的集合，主要承擔(dān)需要由操作系統(tǒng)執(zhí)行的內(nèi)核態(tài)和用戶態(tài)商用密碼操作（簡(jiǎn)稱商密應(yīng)用），同時(shí)也可為應(yīng)用軟件提供商密功能調(diào)用。商密應(yīng)用通過(guò)內(nèi)核態(tài)和用戶態(tài)OS商密API進(jìn)行商密功能調(diào)用。商密子系統(tǒng)賴以運(yùn)行的操作系統(tǒng)是商密子系統(tǒng)的宿主操作系統(tǒng)。商密子系統(tǒng)與宿主操作系統(tǒng)其他部分之間的邊界邏輯上可視為一種密碼模塊邊界。圖1中虛線框表示OS商密子系統(tǒng)邊界。T/ZISIA0101-2025用戶態(tài)OS商密應(yīng)用用戶空間商密子商密子商用密碼商用密碼用戶態(tài)OS商密API用戶態(tài)OS商密API非OS商密應(yīng)用OS其他資源非OS商密應(yīng)用OS其他資源用戶態(tài)OS商密資源用戶態(tài)OS商密資源內(nèi)核空間系統(tǒng)管理系統(tǒng)管理操操作工具內(nèi)核態(tài)OS商密API內(nèi)核態(tài)OS商密API內(nèi)核態(tài)OS商密應(yīng)用OS其他模塊內(nèi)核態(tài)OS商密應(yīng)用OS其他模塊內(nèi)核態(tài)OS商密資源內(nèi)核態(tài)OS商密資源圖1OS商密子系統(tǒng)邊界OS商密子系統(tǒng)一般包括內(nèi)核態(tài)和用戶態(tài)OS商密資源、內(nèi)核態(tài)和用戶態(tài)OS商密API、商密子系統(tǒng)管理以及商用密碼操作工具等組件。內(nèi)核態(tài)和用戶態(tài)OS商密資源包括：軟硬件密碼模塊（如密碼算法庫(kù)、密碼機(jī)、智能密碼鑰匙、TPM/TCM、CPU等）及其驅(qū)動(dòng)程序、中間件等。OS商密資源為OS（或應(yīng)用軟件）提供密碼學(xué)基本功能，如數(shù)據(jù)加/解密、數(shù)據(jù)簽名/驗(yàn)證、數(shù)據(jù)雜湊、密鑰生成、密碼協(xié)議等。注：內(nèi)核態(tài)和用戶態(tài)使用的密碼資源可以是同一密碼資源，也可以是不同的密碼資源。內(nèi)核態(tài)和用戶態(tài)OS商密API：分別為內(nèi)核態(tài)、用戶態(tài)OS商密應(yīng)用提供商用密碼調(diào)用標(biāo)準(zhǔn)化接口以及商密資源掛接接口。商密子系統(tǒng)管理：完成OS商密子系統(tǒng)數(shù)據(jù)、密碼資源管理及系統(tǒng)配置等功能。商用密碼操作工具：包括密碼操作命令行、工具包等。5.4假定宿主操作系統(tǒng)應(yīng)保證商密子系統(tǒng)有效運(yùn)行和安全，并提供必要的安全支持。本文件假定宿主操作系統(tǒng)具有：——訪問(wèn)控制、用戶賬戶保護(hù)、軟件運(yùn)行安全保護(hù)等基本安全措施，保證商密子系統(tǒng)管理員具有獨(dú)立使用和管理商密子系統(tǒng)的能力?！踩綦x保護(hù)機(jī)制，保證商密子系統(tǒng)具有相對(duì)隔離的運(yùn)行環(huán)境。5.5文件約定本文件的每一個(gè)要求采用“【要求xx-yy】”格式編號(hào)，xx表示本要求所在的章節(jié)號(hào)，yy表示本要求在xx章節(jié)中的序號(hào)。附錄A給出每個(gè)要求的“說(shuō)明”及“評(píng)估”?！罢f(shuō)明”是對(duì)滿足本要求的含義、條件和實(shí)施方法的展開和補(bǔ)充。因此“說(shuō)明”是“【要求xx-yy】”的組成部分。如一個(gè)要求不需要說(shuō)明，可沒有“說(shuō)明”項(xiàng)?！霸u(píng)估”給出本要求的評(píng)估檢測(cè)事項(xiàng)及方法。6.安全功能要求6.1密碼資源【要求6.1-01】商密子系統(tǒng)應(yīng)包含獨(dú)立的軟/硬件商密資源?！疽?.1-02】商密子系統(tǒng)使用的所有商密資源應(yīng)經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證。T/ZISIA0101-2025【要求6.1-03】商密子系統(tǒng)應(yīng)具有適配密碼資源標(biāo)準(zhǔn)化機(jī)制。6.2密碼算法6.2.1加密算法【要求6.2-01】商密子系統(tǒng)應(yīng)按照指定（核準(zhǔn)）的商密算法提供數(shù)據(jù)加密/解密功能，指定（核準(zhǔn)）的算法至少包括SM4算法（GB/T32907）和祖沖之序列密碼算法（GB/T33133）之一?！疽?.2-02】商密子系統(tǒng)應(yīng)提供SM2公鑰加密算法功能，并滿足GB/T32918.4SM2橢圓曲線公鑰密碼算法公鑰加密算法的規(guī)范要求。6.2.2數(shù)字簽名算法【要求6.2-03】商密子系統(tǒng)應(yīng)按照指定（核準(zhǔn)）的商密算法執(zhí)行數(shù)字簽名/驗(yàn)證操作，數(shù)字簽名算法至少是SM2算法（GB/T32918.2）和SM9算法（GM/T0044）之一。6.2.3雜湊算法【要求6.2-04】商密子系統(tǒng)應(yīng)按照SM3算法（GB/T32905）提供消息摘要功能。6.2.4帶密鑰的雜湊算法【要求6.2-05】商密子系統(tǒng)應(yīng)采用基于SM3雜湊算法的HMAC算法。6.2.5隨機(jī)數(shù)生成【要求6.2-06】商密子系統(tǒng)應(yīng)提供隨機(jī)數(shù)生成功能。生成的隨機(jī)數(shù)應(yīng)符合GM/T0062-2018檢測(cè)要求。6.3密碼管理6.3.1密鑰管理操作系統(tǒng)商密子系統(tǒng)使用的密鑰數(shù)據(jù)包括但不限于：對(duì)稱算法密鑰、非對(duì)稱算法密鑰、隨機(jī)數(shù)生成器生成數(shù)據(jù)、密鑰生成的中間數(shù)據(jù)；按密鑰用途可分為根密鑰（RK）、數(shù)據(jù)加密密鑰（DEK）、密鑰加密密鑰（KEK）等。這些密鑰用于操作系統(tǒng)靜態(tài)數(shù)據(jù)加密、通信加密、軟件簽名/驗(yàn)證、身份驗(yàn)證等過(guò)程?！疽?.3-01】密鑰生成。商密子系統(tǒng)應(yīng)具有密鑰生成功能，并符合GB/T37092-2018敏感安全參數(shù)管理?xiàng)l款要求?！疽?.3-02】密鑰建立。商密子系統(tǒng)應(yīng)具有密鑰建立功能，并符合SM2密鑰交換協(xié)議（GB/T32918.3）或SM9密鑰交換協(xié)議（GM/T0044.3）規(guī)范?！疽?.3-03】密鑰保護(hù)——密鑰鏈。商密子系統(tǒng)應(yīng)建立密鑰鏈機(jī)制保護(hù)數(shù)據(jù)加密密鑰?！疽?.3-04】密鑰保護(hù)——密鑰存儲(chǔ)。商密子系統(tǒng)應(yīng)對(duì)密鑰鏈實(shí)施存儲(chǔ)保護(hù)?！疽?.3-05】密鑰銷毀。當(dāng)商密子系統(tǒng)密鑰數(shù)據(jù)需要銷毀時(shí)應(yīng)按照以下方法實(shí)施銷毀：——對(duì)于易失性存儲(chǔ)器，使用以下方式之一對(duì)密鑰數(shù)據(jù)存儲(chǔ)器進(jìn)行擦除：a)撤掉電源；b)用系統(tǒng)提供的隨機(jī)數(shù)生成器生成的偽隨機(jī)數(shù)或單值O（或1）刷新存儲(chǔ)器?！獙?duì)于非易失性存儲(chǔ)器，調(diào)用底層平臺(tái)接口用系統(tǒng)提供的隨機(jī)數(shù)生成器生成的偽隨機(jī)數(shù)或單值0（或1）刷新非易失性存儲(chǔ)器。6.3.2證書管理【要求6.3-06】商密子系統(tǒng)應(yīng)具有宿主操作系統(tǒng)數(shù)字證書管理功能。6.4密碼服務(wù)6.4.1密碼接口【要求6.4-01】商密子系統(tǒng)應(yīng)具有以下密碼接口方式：T/ZISIA0101-2025--內(nèi)核態(tài)、用戶態(tài)OS商密API。用于內(nèi)核及用戶態(tài)商密應(yīng)用操作調(diào)用。--內(nèi)核態(tài)、用戶態(tài)OS商密資源掛接接口。用于商密子系統(tǒng)掛接內(nèi)核態(tài)、用戶態(tài)OS商密資源。6.4.2用戶身份鑒別【要求6.4-02】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)提供基于商密數(shù)字簽名的OS用戶身份鑒別機(jī)制。6.4.3存儲(chǔ)數(shù)據(jù)加密【要求6.4-03】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)提供用戶文件/目錄商密加密功能?！疽?.4-04】商密子系統(tǒng)可為宿主操作系統(tǒng)提供磁盤加密功能?！疽?.4-05】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)提供用戶敏感信息加密保護(hù)功能。6.4.4通信數(shù)據(jù)保護(hù)【要求6.4-06】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)內(nèi)核網(wǎng)絡(luò)安全通信協(xié)議提供商密數(shù)據(jù)保護(hù)功能。6.4.5應(yīng)用軟件包簽名/驗(yàn)證【要求6.4-07】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)提供應(yīng)用軟件包數(shù)字簽名/驗(yàn)證機(jī)制。6.4.6內(nèi)核代碼簽名/驗(yàn)證【要求6.4-08】商密子系統(tǒng)應(yīng)支持宿主操作系統(tǒng)驅(qū)動(dòng)程序數(shù)字簽名/驗(yàn)證功能?！疽?.4-09】商密子系統(tǒng)應(yīng)支持宿主操作系統(tǒng)內(nèi)核程序完整性、數(shù)字簽名/驗(yàn)證功能。6.4.7安全啟動(dòng)【要求6.4-10】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)安全啟動(dòng)提供程序代碼簽名/驗(yàn)證密碼支撐?！疽?.4-11】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)啟動(dòng)階段的可信計(jì)算提供密碼支持。6.4.8自啟動(dòng)【要求6.4-12】商密子系統(tǒng)應(yīng)具備自啟動(dòng)功能。6.4.9軟件/固件加載【要求6.4-13】商密子系統(tǒng)宜具有加載外部軟件/固件的能力。6.4.10安全操作系統(tǒng)密碼功能支撐商密子系統(tǒng)為GB/T20272相關(guān)安全要求提供密碼功能支撐。6.5商密子系統(tǒng)安全6.5.1管理員【要求6.5-01】商密子系統(tǒng)應(yīng)支持商密子系統(tǒng)主管角色設(shè)置，只有商密子系統(tǒng)主管能對(duì)商密子系統(tǒng)實(shí)施相關(guān)管理操作。6.5.2系統(tǒng)管理【要求6.5-02】商密主管應(yīng)對(duì)商密子系統(tǒng)進(jìn)行管理?！疽?.5-03】商密子系統(tǒng)管理操作可通過(guò)命令行或管理面板方式實(shí)施。6.5.3身份鑒別【要求6.5-04】商密子系統(tǒng)應(yīng)具備鑒別機(jī)制以對(duì)商密主管進(jìn)行身份鑒別，防止非商密主管對(duì)商密子系統(tǒng)進(jìn)行控制。6.5.4數(shù)據(jù)保護(hù)【要求6.5-05】商密子系統(tǒng)應(yīng)對(duì)相關(guān)數(shù)據(jù)實(shí)施保護(hù)。【要求6.5-06】商密子系統(tǒng)應(yīng)支持訪問(wèn)控制功能，防止商密子系統(tǒng)相關(guān)數(shù)據(jù)被非法修改、讀取?！疽?.5-07】商密子系統(tǒng)應(yīng)具備對(duì)其敏感數(shù)據(jù)實(shí)施加密保護(hù)功能。T/ZISIA0101-20256.5.5系統(tǒng)隔離【要求6.5-08】商密密碼子系統(tǒng)相關(guān)資源應(yīng)與非商密子系統(tǒng)實(shí)行隔離?！疽?.5-09】商密子系統(tǒng)管理進(jìn)程應(yīng)與系統(tǒng)其他進(jìn)程實(shí)行隔離，商密子系統(tǒng)管理進(jìn)程優(yōu)先權(quán)高于其他進(jìn)程，應(yīng)保證商密子系統(tǒng)管理進(jìn)程與操作員交互數(shù)據(jù)安全。6.5.6可信信道【要求6.5-10】商密子系統(tǒng)應(yīng)使用網(wǎng)絡(luò)安全通信協(xié)議與授權(quán)的實(shí)體之間建立可信信道，進(jìn)行相關(guān)安全通信。6.5.7旁路【要求6.5-11】如果商密子系統(tǒng)具有旁路功能，應(yīng)設(shè)置該功能開啟/關(guān)閉狀態(tài)，并應(yīng)由商密主管開啟和關(guān)閉。6.5.8安全日志【要求6.5-12】商密子系統(tǒng)應(yīng)能夠生成包括但不限于以下事件審計(jì)記錄：a）商密主管身份鑒別（成功/失?。?；b）敏感數(shù)據(jù)文件訪問(wèn)（創(chuàng)建、訪問(wèn)、刪除、修改、修改權(quán)限的嘗試成功和不成功）；c）審計(jì)和記錄數(shù)據(jù)訪問(wèn)（成功/失敗）；d）系統(tǒng)自檢（成功/失?。?；e）系統(tǒng)重新啟動(dòng)和關(guān)閉（成功/失?。籪）其他特別定義的可審計(jì)事件?！疽?.5-13】商密子系統(tǒng)應(yīng)具備運(yùn)行前自測(cè)試和條件自測(cè)試能力。6.5.10軟件/固件安全【要求6.5-14】商密子系統(tǒng)所有的軟件和固件應(yīng)經(jīng)過(guò)安全檢測(cè)。6.5.11可信更新【要求6.5-16】如果商密子系統(tǒng)具有加載外部軟件/固件的能力，加載時(shí)應(yīng)對(duì)外部軟件/固件進(jìn)行簽名驗(yàn)證。6.5.12有限狀態(tài)模型FSM【要求6.5-17】商密子系統(tǒng)應(yīng)建立有限狀態(tài)模型，并在不同狀態(tài)下運(yùn)行。7.安全保障要求7.1開發(fā)7.1.1功能規(guī)范文檔【要求7.1-01】商密子系統(tǒng)開發(fā)者應(yīng)提供商密子系統(tǒng)功能規(guī)范文檔。7.2指導(dǎo)性文檔7.2.1用戶操作指南【要求7.2-01】商密子系統(tǒng)開發(fā)者應(yīng)提供商密子系統(tǒng)用戶操作指南文檔。7.2.2準(zhǔn)備程序【要求7.2-02】商密子系統(tǒng)開發(fā)者應(yīng)提供商密子系統(tǒng)及評(píng)估準(zhǔn)備程序。7.3生命周期支持T/ZISIA0101-20257.3.1系統(tǒng)標(biāo)簽【要求7.3-01】商密子系統(tǒng)應(yīng)具有唯一性標(biāo)簽。7.3.2配置管理覆蓋【要求7.3-02】商密子系統(tǒng)開發(fā)者應(yīng)提供系統(tǒng)配置列表。7.3.3及時(shí)安全更新【要求7.3-03】商密子系統(tǒng)開發(fā)者應(yīng)在功能規(guī)范文檔中說(shuō)明如何及時(shí)進(jìn)行安全更新。7.4日常管理7.4.1管理制度【要求7.4-01】使用商密子系統(tǒng)應(yīng)建立執(zhí)行以下管理制度：——商密主管、操作員管理制度和操作規(guī)程；——密鑰（證書）管理；——重要數(shù)據(jù)備份及應(yīng)急處置；——軟硬件密碼資源及介質(zhì)管理等制度；——商密子系統(tǒng)配置管理規(guī)定。7.4.2人員管理【要求7.4-02】宿主操作系統(tǒng)使用商密子系統(tǒng)應(yīng)符合以下人員管理要求：——設(shè)置商密主管和操作員崗位；——相關(guān)人員應(yīng)了解并遵守密碼相關(guān)法律法規(guī)、密碼應(yīng)用安全管理制度；——建立上崗人員培訓(xùn)制度，對(duì)于涉及密碼的操作和管理的人員進(jìn)行專門培訓(xùn)，確保其具備崗位所需專業(yè)技能；——定期對(duì)相關(guān)人員進(jìn)行考核。7.4.3應(yīng)急處置【要求7.4-03】宿主操作系統(tǒng)使用商密子系統(tǒng)應(yīng)建立應(yīng)急處置機(jī)制。7.5一致性測(cè)試【要求7.5-01】對(duì)商密子系統(tǒng)進(jìn)行一致性測(cè)試。7.6脆弱性評(píng)估【要求7.6-01】應(yīng)對(duì)商密子系統(tǒng)進(jìn)行脆弱性評(píng)估。T/ZISIA0101-2025（規(guī)范性附錄）商密子系統(tǒng)要求條款說(shuō)明及評(píng)估A.1安全功能要求A.1.1密碼資源【要求6.1-01】商碼子系統(tǒng)應(yīng)包含獨(dú)立的軟硬件商密資源。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。評(píng)估：1.文檔審查審查評(píng)估文檔，確認(rèn)是否有關(guān)于密碼子系統(tǒng)包含軟硬件密碼資源的描述。確認(rèn)密碼資源的架構(gòu)、數(shù)據(jù)流向和接口定義等。2.功能測(cè)試：驗(yàn)證在多樣化的硬件和軟件環(huán)境中部署密碼子系統(tǒng)，其功能的正確性和性能的穩(wěn)定性。模擬系統(tǒng)升級(jí)和環(huán)境變化，測(cè)試密碼子系統(tǒng)的自適應(yīng)能力和對(duì)配置更改的響應(yīng)?！疽?.1-02】商密子系統(tǒng)使用的所有商密資源應(yīng)經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。評(píng)估：檢查評(píng)估文檔，確認(rèn)商密子系統(tǒng)使用的密碼模塊經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證?！疽?.1-03】商密子系統(tǒng)應(yīng)具有適配密碼資源標(biāo)準(zhǔn)化機(jī)制。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。為有效掛接多廠家、多形態(tài)的密碼資源，應(yīng)建立適應(yīng)操作系統(tǒng)環(huán)境的密碼資源連接機(jī)制。評(píng)估：1.文檔審查審查評(píng)估文檔，確認(rèn)是否有關(guān)于商密子系統(tǒng)標(biāo)準(zhǔn)化適配密碼資源機(jī)制的描述。2.功能測(cè)試確認(rèn)商密子系統(tǒng)是否具有密碼資源連接機(jī)制，用于標(biāo)準(zhǔn)化適配多廠家、多形態(tài)的密碼資源。測(cè)試密碼資源連接機(jī)制的適配性，嘗試連接不同廠家、不同形態(tài)的密碼資源，并驗(yàn)證其連接穩(wěn)定性和可靠性。檢查密碼資源連接機(jī)制是否遵循標(biāo)準(zhǔn)化接口規(guī)范。進(jìn)行密碼資源的功能測(cè)試，驗(yàn)證密碼資源連接機(jī)制能夠正確調(diào)用密碼資源提供的功能，包括加密、解密、數(shù)字簽名等操作。測(cè)試密碼資源連接機(jī)制的兼容性，驗(yàn)證其與不同廠家、不同形態(tài)的密碼資源之間的兼容性。確保密碼資源連接機(jī)制能夠適配各種類型的密碼資源。A.1.2密碼算法T/ZISIA0101-2025A.1.2.1加密算法【要求6.2-01】商密子系統(tǒng)應(yīng)按照指定（核準(zhǔn)）的商密算法提供數(shù)據(jù)加密/解密功能，指定（核準(zhǔn)）的算法至少包括SM4算法（GB/T32907）和祖沖之序列密碼算法（GB/T33133）之一。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。評(píng)估：1.文檔審查檢查評(píng)估文檔，確認(rèn)是否有商密子系統(tǒng)支持SM4、祖沖之序列密碼算法的說(shuō)明。查看商密子系統(tǒng)配置文件，確認(rèn)是否有相關(guān)配置項(xiàng)允許或強(qiáng)制使用這些算法。2.功能測(cè)試SM4算法測(cè)試：使用SM4算法對(duì)一組數(shù)據(jù)進(jìn)行加密，然后解密，驗(yàn)證加密前后數(shù)據(jù)的一致性。使用標(biāo)準(zhǔn)測(cè)試實(shí)例（如GB/T32907附錄或GB/T17964-2021附錄中提供的示例）進(jìn)行測(cè)試，確保算法實(shí)現(xiàn)正確。祖沖之序列密碼算法測(cè)試：使用祖沖之序列密碼算法對(duì)一組數(shù)據(jù)進(jìn)行加密，然后解密，驗(yàn)證加密前后數(shù)據(jù)的一致性。使用標(biāo)準(zhǔn)測(cè)試實(shí)例（如GB/T33133.1附錄C中提供的計(jì)算實(shí)例）進(jìn)行測(cè)試，確保算法實(shí)現(xiàn)正確。3.第三方認(rèn)證確認(rèn)商密子系統(tǒng)SM4算法和祖沖之序列密碼算法是否由經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證的密碼模塊提供?！疽?.2-02】商密子系統(tǒng)應(yīng)提供SM2公鑰加密算法功能，并滿足GB/T32918.4SM2橢圓曲線公鑰密碼算法公鑰加密算法的規(guī)范要求。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。評(píng)估：1.文檔審查審查評(píng)估文檔，確認(rèn)是否有關(guān)于商密子系統(tǒng)提供SM2公鑰加密算法功能的說(shuō)明。2.功能測(cè)試使用操作系統(tǒng)提供的API或工具執(zhí)行SM2公鑰加密算法的數(shù)據(jù)，檢驗(yàn)過(guò)程是否符合GB/T32918.4。3.第三方認(rèn)證確認(rèn)商密子系統(tǒng)SM2公鑰加密算法是否由經(jīng)過(guò)檢測(cè)認(rèn)證的商用密碼模塊提供。A.1.2.2數(shù)字簽名算法【要求6.2-03】商密子系統(tǒng)應(yīng)按照指定（核準(zhǔn)）的商密算法執(zhí)行數(shù)字簽名/驗(yàn)證操作，數(shù)字簽名算法至少是SM2算法（GB/T32918.2）和SM9算法（GM/T0044）之一。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。評(píng)估：1.文檔審查查看評(píng)估文檔，確認(rèn)商密子系統(tǒng)是否有關(guān)于商密子系統(tǒng)支持SM2或SM9數(shù)字簽名算法的說(shuō)明。2.功能測(cè)試——SM2算法測(cè)試密鑰生成：T/ZISIA0101-2025使用商密子系統(tǒng)的API或工具本地生成SM2數(shù)字簽名算法的公鑰和私鑰對(duì)。驗(yàn)證生成的密鑰對(duì)是否符合SM2算法標(biāo)準(zhǔn)GB/T32918.2。簽名操作：使用生成的私鑰對(duì)一組已知數(shù)據(jù)進(jìn)行數(shù)字簽名。簽名驗(yàn)證：使用生成的公鑰對(duì)簽名結(jié)果進(jìn)行驗(yàn)證。確認(rèn)驗(yàn)證結(jié)果是否正確，即簽名是否被成功驗(yàn)證?！猄M9算法測(cè)試密鑰生成：使用商密子系統(tǒng)的API或工具本地生成SM9算法的簽名主私鑰、主公鑰，使用指定用戶ID，生成用戶簽名私鑰。驗(yàn)證生成的主私鑰、主公鑰及用戶簽名私鑰是否符合SM9算法標(biāo)準(zhǔn)GM/T0044.2。簽名操作：使用生成的指定用戶ID所對(duì)應(yīng)的用戶簽名私鑰對(duì)一組已知數(shù)據(jù)進(jìn)行數(shù)字簽名。簽名驗(yàn)證：使用生成的簽名主公鑰及指定用戶ID對(duì)簽名結(jié)果應(yīng)用SM9算法進(jìn)行驗(yàn)證。確認(rèn)驗(yàn)證結(jié)果是否正確。3.符合性檢測(cè)確認(rèn)操作系統(tǒng)SM2和MS9算法是否由經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證的密碼模塊提供。A.1.2.3雜湊算法【要求6.2-04】商密子系統(tǒng)應(yīng)按照SM3算法（GB/T32905）提供消息摘要功能。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。評(píng)估：1.文檔審查審查評(píng)估文檔，確認(rèn)是否有商密子系統(tǒng)提供SM3算法消息摘要功能的說(shuō)明。2.功能檢測(cè)使用操作系統(tǒng)提供的API或工具執(zhí)行SM3算法計(jì)算消息摘要，檢測(cè)計(jì)算過(guò)程是否符合SM3算法標(biāo)準(zhǔn)GB/T32905。3.第三方認(rèn)證確認(rèn)商密子系統(tǒng)SM3算法是否由經(jīng)過(guò)檢測(cè)認(rèn)證的商用密碼模塊提供。A.1.2.4帶密鑰的雜湊算法【要求6.2-05】商密子系統(tǒng)應(yīng)采用基于SM3雜湊算法的HMAC算法。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。HMAC是基于密鑰雜湊算法生成的消息認(rèn)證碼（MAC）。在HTTPS、TLS、SSH、IPSec等協(xié)議中HMAC用于數(shù)字簽名、消息認(rèn)證碼生成、安全密鑰交換等。評(píng)估：1.文檔審查審查評(píng)估文檔，確認(rèn)是否有商密子系統(tǒng)采用SM4算法計(jì)算HMAC的說(shuō)明。2.功能檢測(cè)檢測(cè)商密子系統(tǒng)HMAC生成算法是否基于SM3算法，檢測(cè)計(jì)算過(guò)程是否符合HAMC-SM3算法標(biāo)準(zhǔn)GM/T0091-2020。T/ZISIA0101-2025A.1.2.5隨機(jī)數(shù)生成【要求6.2-06】商密子系統(tǒng)應(yīng)提供隨機(jī)數(shù)生成功能。生成的隨機(jī)數(shù)是否符合GM/T0062-2018檢測(cè)要求。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。評(píng)估：1.文檔審查審查相關(guān)文檔，查看是否有關(guān)于商密子系統(tǒng)提供的隨機(jī)數(shù)生成功能的說(shuō)明。2.功能檢測(cè)使用操作系統(tǒng)提供的API或工具執(zhí)行生成隨機(jī)數(shù)，使用隨機(jī)數(shù)檢測(cè)工具所生成的隨機(jī)數(shù)是否符合GM/T0062-2018檢測(cè)要求。A.1.3密碼管理A.1.3.1密鑰管理【要求6.3-01】密鑰生成——商密子系統(tǒng)應(yīng)具有密鑰生成功能，并符合GB/T37092-2018敏感安全參數(shù)管理?xiàng)l款要求。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。評(píng)估：審查相關(guān)文檔，查看是否有關(guān)于商密子系統(tǒng)具有密鑰生成功能的說(shuō)明。確認(rèn)密鑰生成是否符合GB/T37092-2018敏感安全參數(shù)管理?xiàng)l款要求?！疽?.3-02】密鑰建立。商密子系統(tǒng)應(yīng)具有密鑰建立功能，并符合SM2密鑰交換協(xié)議（GB/T32918.3）或SM9密鑰交換協(xié)議（GM/T0044.3）規(guī)范。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。評(píng)估：1.文檔審查審查相關(guān)文檔，查看是否有關(guān)于商密子系統(tǒng)密鑰建立功能的說(shuō)明。2.功能檢測(cè)按照GB/T32918.3附錄A驗(yàn)證示例驗(yàn)證商密子系統(tǒng)密鑰建立符合SM2密鑰交換協(xié)議。按照GM/T0044.3驗(yàn)證商密子系統(tǒng)密鑰建立符合SM9密鑰交換協(xié)議?！疽?.3-03】密鑰保護(hù)——密鑰鏈。商密子系統(tǒng)應(yīng)建立密鑰鏈機(jī)制保護(hù)數(shù)據(jù)加密密鑰。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。密鑰鏈機(jī)制：——數(shù)據(jù)加密密鑰（DEK）對(duì)系統(tǒng)靜態(tài)數(shù)據(jù)進(jìn)行加密；——密鑰加密密鑰（KEK）對(duì)DEK進(jìn)行加密保護(hù)；——宿主操作系統(tǒng)根密鑰（RK）與用戶口令（或個(gè)人生物信息）聯(lián)合派生KEK。DEK生成滿足【要求6.3-01】，KEK派生符合GM/T0091規(guī)范，RK由隨機(jī)數(shù)生成器產(chǎn)生。KEK對(duì)DEK加密應(yīng)采用【要求6.2-01】要求的算法，由商密子系統(tǒng)密碼資源庫(kù)（或密碼模塊）執(zhí)行。評(píng)估：T/ZISIA0101-20251.文檔審查審查相關(guān)文檔，查看是否有關(guān)于商密子系統(tǒng)應(yīng)建立密鑰鏈機(jī)制保護(hù)數(shù)據(jù)加密密鑰的說(shuō)明。2.功能檢測(cè)——RK檢測(cè)檢查RK生成的規(guī)范和算法是否符合GM/T0091標(biāo)準(zhǔn)?！狵EK檢測(cè)檢測(cè)KEK是否由商密主管口令（或個(gè)人生物信息）派生，或與RK組合派生，且生成過(guò)程符合GM/T0091規(guī)范。確認(rèn)KEK的加密保護(hù)是否采用【要求6.2-01】要求的算法，且加密過(guò)程在商密子系統(tǒng)密碼資源庫(kù)（或密碼模塊）中進(jìn)行。通過(guò)審計(jì)和模擬訪問(wèn)控制測(cè)試，確認(rèn)KEK的存儲(chǔ)安全性和訪問(wèn)控制的有效性?！狣EK檢測(cè)檢測(cè)DEK生成是否滿足【要求6.3-01】。檢測(cè)DEK是否由KEK加密保護(hù)，且加密算法符合商密子系統(tǒng)要求。通過(guò)審計(jì)和模擬操作，檢查DEK的使用和管理是否遵循安全策略，包括生命周期管理、更新和撤銷【要求6.3-04】密鑰保護(hù)——密鑰存儲(chǔ)。商密子系統(tǒng)應(yīng)對(duì)密鑰鏈實(shí)施存儲(chǔ)保護(hù)。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。RK宜存儲(chǔ)在受保護(hù)的硬件中，運(yùn)行時(shí)與操作系統(tǒng)其他任務(wù)隔離，只能被商密子系統(tǒng)進(jìn)程讀取。KEK存儲(chǔ)在用戶證書存儲(chǔ)庫(kù)中，DEK用KEK加密后存儲(chǔ)在用戶應(yīng)用系統(tǒng)選擇的位置。評(píng)估：1.文檔審查審查相關(guān)文檔，查看是否有關(guān)于商密子系統(tǒng)對(duì)靜態(tài)數(shù)據(jù)加密密鑰實(shí)施存儲(chǔ)保護(hù)的說(shuō)明。2.功能檢測(cè)檢查RK是否存儲(chǔ)在受保護(hù)的硬件介質(zhì)中，如USB設(shè)備、硬件安全模塊（HSM）或TPM等。模擬訪問(wèn)控制測(cè)試，確認(rèn)只有商密子系統(tǒng)進(jìn)程能夠訪問(wèn)RK。檢測(cè)KEK（密鑰加密密鑰）是否存儲(chǔ)在證書存儲(chǔ)庫(kù)中，該存儲(chǔ)庫(kù)應(yīng)具備訪問(wèn)控制和加密保護(hù)。檢查DEK（數(shù)據(jù)加密密鑰）是否使用KEK加密后存儲(chǔ)。驗(yàn)證只有授權(quán)的用戶或服務(wù)能夠訪問(wèn)主密鑰RK和密鑰加密密鑰KEK。這包括對(duì)存儲(chǔ)位置的物理訪問(wèn)控制和對(duì)證書存儲(chǔ)庫(kù)的訪問(wèn)控制。審計(jì)和日志：檢查是否有詳細(xì)的訪問(wèn)日志和審計(jì)記錄，用于追蹤密鑰的訪問(wèn)和使用情況?！疽?.3-05】密鑰銷毀。當(dāng)商密子系統(tǒng)密鑰數(shù)據(jù)需要銷毀時(shí)應(yīng)按照以下方法實(shí)施銷毀：——對(duì)于易失性存儲(chǔ)器，使用以下方式之一對(duì)密鑰數(shù)據(jù)存儲(chǔ)器進(jìn)行擦除：撤掉電源、用系統(tǒng)提供的隨機(jī)數(shù)生成器生成的偽隨機(jī)數(shù)或單值O（或1）刷新存儲(chǔ)器?！獙?duì)于非易失性存儲(chǔ)器，調(diào)用底層平臺(tái)接口用系統(tǒng)提供的隨機(jī)數(shù)生成器生成的偽隨機(jī)數(shù)或單值0（或1）刷新非易失性存儲(chǔ)器。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。評(píng)估：1.文檔審查審查相關(guān)文檔，查看是否有關(guān)于商密子系統(tǒng)密鑰數(shù)據(jù)銷毀方法的說(shuō)明。2.功能檢測(cè)T/ZISIA0101-2025驗(yàn)證是否可以通過(guò)撤掉電源的方式擦除易失性存儲(chǔ)器中的密鑰數(shù)據(jù)。使用系統(tǒng)提供的隨機(jī)數(shù)生成器生成的偽隨機(jī)數(shù)或單值0（或1）測(cè)試是否有效擦除存儲(chǔ)器中的密鑰數(shù)據(jù)。驗(yàn)證是否可以調(diào)用底層平臺(tái)接口使用偽隨機(jī)數(shù)或單值0（或1）刷新非易失性存儲(chǔ)器。在銷毀操作完成后，進(jìn)行存儲(chǔ)器數(shù)據(jù)恢復(fù)嘗試，驗(yàn)證密鑰數(shù)據(jù)是否已被完全銷毀。A.1.3.2證書管理【要求6.3-06】商密子系統(tǒng)應(yīng)具有宿主操作系統(tǒng)數(shù)字證書管理功能。說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。宿主操作系統(tǒng)證書分內(nèi)核證書和應(yīng)用證書。內(nèi)核證書用于內(nèi)核模塊（包括安全啟動(dòng)）的數(shù)字簽名/驗(yàn)證，應(yīng)用證書用于應(yīng)用軟件的數(shù)字簽名/驗(yàn)證。內(nèi)核證書由商密主管管理，應(yīng)用證書可由其他用戶管理。商密子系統(tǒng)提供的操作系統(tǒng)數(shù)字證書管理包括但不限于以下功能：a)生成SM2算法公私鑰，生成自簽名證書、簽署證書申請(qǐng)、創(chuàng)建證書鏈、證書導(dǎo)入、導(dǎo)出、驗(yàn)證等，證書申請(qǐng)符合GM/T0092規(guī)范要求，證書格式應(yīng)符合GB/T20518規(guī)范的要求；b)管理引導(dǎo)加載器、驅(qū)動(dòng)程序、內(nèi)核程序、應(yīng)用軟件包簽名證書；c)管理可信權(quán)威機(jī)構(gòu)；d)通過(guò)證書策略設(shè)置定義信任根證書、撤銷列表檢查、證書鏈驗(yàn)證等規(guī)則；e)建立證書存儲(chǔ)庫(kù)集中存放宿主操作系統(tǒng)證書，可使用硬件存儲(chǔ)區(qū)存放私鑰。評(píng)估：1.文檔審查審查評(píng)估文檔，確認(rèn)是否有關(guān)于商密子系統(tǒng)具有宿主操作系統(tǒng)數(shù)字證書管理功能的描述。2.功能測(cè)試驗(yàn)證用戶能否成功生成SM2算法（或SM9算法）公私鑰，并生成自簽名證書。測(cè)試用戶是否能成功簽署證書申請(qǐng)。驗(yàn)證用戶是否能夠創(chuàng)建證書鏈。測(cè)試證書的導(dǎo)入、導(dǎo)出功能，并驗(yàn)證導(dǎo)入的證書是否有效。驗(yàn)證證書申請(qǐng)是否符合GM/T0092規(guī)范要求。檢查證書格式是否符合GB/T20518規(guī)范要求。檢查用戶是否能夠管理啟動(dòng)墊片、驅(qū)動(dòng)程序、引導(dǎo)加載器、內(nèi)核程序、應(yīng)用軟件包簽名證書。測(cè)試用戶是否能夠管理可信權(quán)威機(jī)構(gòu)。檢查用戶是否能夠通過(guò)證書策略設(shè)置來(lái)定義信任根證書、撤銷列表檢查、證書鏈驗(yàn)證規(guī)則。驗(yàn)證是否集中存放宿主操作系統(tǒng)證書。檢查是否設(shè)立硬件存儲(chǔ)區(qū)存放私鑰，如USB設(shè)備、硬件安全模塊（HSM）或TPM等。A.1.4密碼服務(wù)A.1.4.1密碼接口【要求6.4-01】商密子系統(tǒng)應(yīng)具有以下密碼接口方式：--內(nèi)核態(tài)、用戶態(tài)OS商密API。用于內(nèi)核及用戶態(tài)商密應(yīng)用操作調(diào)用。--內(nèi)核態(tài)、用戶態(tài)OS商密資源掛接接口。用于商密子系統(tǒng)掛接內(nèi)核態(tài)、用戶態(tài)OS商密資源。T/ZISIA0101-2025說(shuō)明：為實(shí)現(xiàn)5.2.2安全目的提出本要求。商密子系統(tǒng)內(nèi)核態(tài)、用戶態(tài)OS商密API，以及內(nèi)核態(tài)、用戶態(tài)OS商密資源掛接接口應(yīng)為標(biāo)準(zhǔn)化接口，內(nèi)核態(tài)標(biāo)準(zhǔn)接口應(yīng)兼容操作系統(tǒng)原生密碼調(diào)用接口。評(píng)估1.文檔審查審查評(píng)估文檔，確認(rèn)是否有關(guān)于商密子系統(tǒng)應(yīng)具有內(nèi)核態(tài)、用戶態(tài)OS商密API，以及內(nèi)核態(tài)、用戶態(tài)OS商密資源掛接接口的描述。2.功能測(cè)試測(cè)試是否可通過(guò)商密子系統(tǒng)內(nèi)核態(tài)、用戶態(tài)OS商密API標(biāo)準(zhǔn)接口進(jìn)行內(nèi)核態(tài)和用戶態(tài)商密應(yīng)用操作調(diào)用。驗(yàn)證接口是否符合相關(guān)標(biāo)準(zhǔn)。測(cè)試是否可通過(guò)商密子系統(tǒng)內(nèi)核態(tài)、用戶態(tài)OS商密資源掛接標(biāo)準(zhǔn)接口掛接、調(diào)用OS商密資源。驗(yàn)證接口的兼容性，以確保能夠與不同類型的OS商密資源實(shí)現(xiàn)無(wú)縫連接。檢查內(nèi)核態(tài)OS商密API標(biāo)準(zhǔn)接口和OS商密資源掛接接口是否兼容操作系統(tǒng)原生密碼調(diào)用接口。A.1.4.2用戶身份鑒別【要求6.4-02】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)提供基于商密數(shù)字簽名的OS用戶身份鑒別機(jī)制。說(shuō)明：為實(shí)現(xiàn)5.2.4及5.2.5安全目的提出本要求。數(shù)字簽名鑒別機(jī)制符合GB/T15843.3。數(shù)字簽名鑒別應(yīng)使用【要求6.2-03】提供的密碼算法（SM2算法或SM9算法）。如果采用SM2算法，用戶證書應(yīng)由宿主操作系統(tǒng)運(yùn)行組織負(fù)責(zé)頒發(fā)，頒發(fā)證書的CA可以是宿主操作系統(tǒng)運(yùn)行組織自建并維護(hù)的CA，也可以是宿主操作系統(tǒng)組織機(jī)構(gòu)指定的第三方CA，證書格式符合GB/T20518規(guī)范。證書驗(yàn)證時(shí)應(yīng)對(duì)證書鏈進(jìn)行驗(yàn)證，確保證書鏈的所有證書都是受信任CA頒發(fā)的證書。自行建設(shè)并維護(hù)的CA，應(yīng)確保根私鑰的安全。如采用SM9算法，用戶簽名私鑰由宿主操作系統(tǒng)運(yùn)行組織建立的密鑰管理系統(tǒng)（KMS）分發(fā)。當(dāng)宿主操作系統(tǒng)用戶采用SSH協(xié)議遠(yuǎn)程登錄系統(tǒng)時(shí)，商密子系統(tǒng)為SSH提供數(shù)字簽名身份鑒別機(jī)制。數(shù)字簽名身份鑒別機(jī)制一般使用外部智能卡、USB智能密碼鑰匙等硬件介質(zhì)存放用戶鑒別密鑰（證商密子系統(tǒng)使用【要求6.3-06】提供的方法對(duì)用戶證書進(jìn)行管理。評(píng)估：1.文檔審查審查評(píng)估文檔，確認(rèn)是否有關(guān)于商密子系統(tǒng)為宿主操作系統(tǒng)提供基于數(shù)字簽名的用戶身份鑒別機(jī)制的描述。2.功能測(cè)試確認(rèn)商密子系統(tǒng)提供的數(shù)字簽名用戶身份鑒別機(jī)制是否符合GB/T15843.3標(biāo)準(zhǔn)的要求。確認(rèn)數(shù)字簽名算法是否采用商密子系統(tǒng)提供的密碼算法（SM2算法、SM9算法）進(jìn)行用戶身份鑒別。檢查證書格式是否符合GB/T20518規(guī)范，包括證書的結(jié)構(gòu)、字段和內(nèi)容。確認(rèn)系統(tǒng)在證書驗(yàn)證時(shí)是否對(duì)證書鏈進(jìn)行驗(yàn)證，以確保證書鏈中的所有證書都是受信任的CA證書。測(cè)試證書鏈驗(yàn)證功能，確保系統(tǒng)能夠正確處理和驗(yàn)證證書鏈中的所有證書。確認(rèn)如果采用SM9算法，用戶簽名私鑰是否由宿主操作系統(tǒng)運(yùn)行組織建立的密鑰管理系統(tǒng)（KMS）進(jìn)行分發(fā)。確認(rèn)商密子系統(tǒng)使用【要求6.3-06】提供的方法對(duì)用戶證書進(jìn)行管理。T/ZISIA0101-2025A.1.4.3存儲(chǔ)數(shù)據(jù)加密【要求6.4-03】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)提供用戶文件/目錄商密加密功能。說(shuō)明：為實(shí)現(xiàn)5.2.4安全目的提出本要求。文件/目錄商密加密機(jī)制應(yīng)采用【要求6.2-01】提供的算法。加密的文件/目錄可以單個(gè)文件或文件集（或卷、容器等），只有在用戶身份驗(yàn)證后才允許訪問(wèn)加密的文件/目錄。使用數(shù)據(jù)加密密鑰（DEK）對(duì)文件進(jìn)行加密。DEK密鑰由【要求6.3-01】提供的方法產(chǎn)生，每個(gè)文件（或一組文件）使用唯一的DEK。相關(guān)密鑰保護(hù)和銷毀應(yīng)按照【要求6.3-03】、【要求6.3-04】和【要求6.3-05】方法執(zhí)行。在解密/加密操作完成后，解密/加密時(shí)創(chuàng)建的所有原始明文數(shù)據(jù)在易失性和非易失性存儲(chǔ)器中應(yīng)被刪除。文件/目錄加密用戶身份鑒別可采用【要求6.3-01】提供的方法實(shí)施。不在非易失性存儲(chǔ)器中存儲(chǔ)明文密鑰。商密子系統(tǒng)應(yīng)至少能夠執(zhí)行以下文件加密管理功能：配置加密功能、更改身份驗(yàn)證因素、對(duì)數(shù)據(jù)進(jìn)行加密擦除、配置所需的失敗驗(yàn)證嘗試次數(shù)等管理。評(píng)估：1.文檔審查審查評(píng)估文檔，確認(rèn)是否有關(guān)于商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)提供文件/目錄加密機(jī)制的說(shuō)明。2.功能測(cè)試確認(rèn)商密子系統(tǒng)能夠提供文件/目錄加密機(jī)制，包括單個(gè)文件或文件集的加密，以及只有在用戶身份驗(yàn)證后才允許訪問(wèn)加密文件/目錄。檢驗(yàn)文件/目錄商密加密機(jī)制是否采用【要求6.2-01】提供的算法。驗(yàn)證DEK密鑰由【要求6.3-01】方法產(chǎn)生，對(duì)每個(gè)文件（或一組文件）使用唯一的DEK。驗(yàn)證密鑰保護(hù)和銷毀是否按照【要求6.3-03】、【要求6.3-04】和【要求6.3-05】方法執(zhí)行。確認(rèn)在解密/加密操作完成后，解密/加密時(shí)創(chuàng)建的所有原始明文數(shù)據(jù)在易失性和非易失性存儲(chǔ)器中被銷毀。確認(rèn)文件/目錄加密用戶身份鑒別采用【要求6.4-02】方法實(shí)施。驗(yàn)證不在非易失性存儲(chǔ)器中存儲(chǔ)明文密鑰，以防止未經(jīng)授權(quán)的訪問(wèn)。確認(rèn)商密子系統(tǒng)能夠執(zhí)行所需的管理功能，包括配置加密功能、更改身份驗(yàn)證因素、對(duì)數(shù)據(jù)進(jìn)行加密擦除、配置失敗驗(yàn)證嘗試次數(shù)等?！疽?.4-04】商密子系統(tǒng)可為宿主操作系統(tǒng)提供磁盤加密功能。說(shuō)明：為實(shí)現(xiàn)5.2.4安全目的提出本要求。商密子系統(tǒng)在操作系統(tǒng)內(nèi)核啟動(dòng)后，加載用戶空間的應(yīng)用程序或服務(wù)前對(duì)用戶需要保護(hù)的磁盤空間進(jìn)行加密設(shè)置。操作系統(tǒng)完全啟動(dòng)后商密子系統(tǒng)磁盤加密機(jī)制對(duì)指定的磁盤數(shù)據(jù)（不包括系統(tǒng)主引導(dǎo)記錄）進(jìn)行無(wú)需用戶干預(yù)的加解密操作（寫入加密，讀出解密），只有授權(quán)用戶才允許訪問(wèn)磁盤數(shù)據(jù)。一個(gè)磁盤使用唯一一個(gè)DEK加解密，每次加解密使用不同的DEK。DEK由【要求6.3-01】提供的方法產(chǎn)生。相關(guān)密鑰保護(hù)和銷毀應(yīng)按照【要求6.3-03】、【要求6.3-04】和【要求6.3-05】方法執(zhí)行。商密子系統(tǒng)除執(zhí)行磁盤加解密操作，還承擔(dān)密鑰生成、更新、歸檔、恢復(fù)、保護(hù)，以及銷毀等管理功能。T/ZISIA0101-2025評(píng)估：1.文檔審查審查評(píng)估文檔，確認(rèn)是否有關(guān)于商密子系統(tǒng)為宿主操作系統(tǒng)提供磁盤加密機(jī)制的說(shuō)明。2.功能測(cè)試驗(yàn)證商密子系統(tǒng)能夠在操作系統(tǒng)內(nèi)核啟動(dòng)后正確加載，并在用戶空間的應(yīng)用程序或服務(wù)啟動(dòng)前對(duì)指定的磁盤空間進(jìn)行加密設(shè)置。檢查加解密操作，確認(rèn)商密子系統(tǒng)在操作系統(tǒng)完全啟動(dòng)后對(duì)指定磁盤數(shù)據(jù)執(zhí)行無(wú)需用戶干預(yù)的加解密操作，驗(yàn)證寫入數(shù)據(jù)時(shí)的加密和讀取數(shù)據(jù)時(shí)的解密操作是否正常進(jìn)行。嘗試從加密的磁盤中恢復(fù)數(shù)據(jù)，評(píng)估加密的效果。驗(yàn)證訪問(wèn)控制機(jī)制，確認(rèn)只有授權(quán)用戶可以訪問(wèn)經(jīng)商密子系統(tǒng)加密的磁盤數(shù)據(jù)。檢查商密子系統(tǒng)是否為一個(gè)磁盤使用唯一的DEK進(jìn)行加解密操作。驗(yàn)證DEK的生成是否符合【要求6.3-01】中提供的方法。驗(yàn)證密鑰銷毀是否按照【要求6.3-03】、【要求6.3-04】和【要求6.3-05】方法執(zhí)行。確認(rèn)商密子系統(tǒng)能夠執(zhí)行磁盤相關(guān)密鑰生成、更新、歸檔、恢復(fù)、保護(hù)和銷毀等管理功能?！疽?.4-05】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)提供用戶敏感信息加密保護(hù)功能。說(shuō)明：為實(shí)現(xiàn)5.2.4安全目的提出本要求。宿主操作系統(tǒng)敏感信息至少包括：——用戶賬戶信息，包括用戶名、用戶口令、用戶生物信息等；——SSH密鑰，包括公私鑰對(duì)；——訪問(wèn)控制信息，包括用戶或組對(duì)文件或目錄的訪問(wèn)權(quán)限、ACL（訪問(wèn)控制列表）等；——應(yīng)用程序憑據(jù)，包括API密鑰（應(yīng)用程序訪問(wèn)第三方服務(wù)的唯一標(biāo)識(shí)符）、令牌（用于身份驗(yàn)證和授權(quán)的短時(shí)有效字符串）等；——用戶申請(qǐng)保護(hù)的其他文件。使用數(shù)據(jù)加密密鑰（DEK）對(duì)用戶敏感數(shù)據(jù)進(jìn)行加密，DEK密鑰由【要求6.3-01】提供的方法產(chǎn)生，每一組數(shù)據(jù)使用唯一的DEK。相關(guān)密鑰保護(hù)和銷毀應(yīng)按照【要求6.3-03】、【要求6.3-04】和【要求6.3-05】方法執(zhí)行。在解密/加密操作完成后，解密/加密時(shí)創(chuàng)建的所有原始明文數(shù)據(jù)在易失性和非易失性存儲(chǔ)器中應(yīng)被刪除。如果用戶敏感信息以文件的形式存放，則使用【要求6.4-03】方法實(shí)施加密。評(píng)估：1.文檔審查審查評(píng)估文檔，確認(rèn)是否有關(guān)于商密子系統(tǒng)為宿主操作系統(tǒng)提供用戶敏感信息加密保護(hù)功能的說(shuō)明。2.功能測(cè)試確認(rèn)商密子系統(tǒng)能夠提供用戶敏感信息加密機(jī)制，只有合法用戶才能解密數(shù)據(jù)。檢驗(yàn)數(shù)據(jù)加密機(jī)制是否采用【要求6.2-01】提供的算法。驗(yàn)證DEK密鑰由【要求6.3-01】方法產(chǎn)生，對(duì)每一組數(shù)據(jù)使用唯一的DEK進(jìn)行加密。驗(yàn)證密鑰保護(hù)和銷毀是否按照【要求6.3-03】、【要求6.3-04】和【要求6.3-05】方法執(zhí)行。確認(rèn)在解密/加密操作完成后，解密/加密時(shí)創(chuàng)建的所有原始明文數(shù)據(jù)在易失性和非易失性存儲(chǔ)器中被銷毀。驗(yàn)證不在非易失性存儲(chǔ)器中存儲(chǔ)明文密鑰，以防止未經(jīng)授權(quán)的訪問(wèn)。A.1.4.4通信數(shù)據(jù)保護(hù)T/ZISIA0101-2025【要求6.4-06】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)網(wǎng)絡(luò)安全通信協(xié)議提供商密數(shù)據(jù)保護(hù)功能。說(shuō)明：本要求為實(shí)現(xiàn)5.2.3安全目的而提出。宿主操作系統(tǒng)網(wǎng)絡(luò)安全通信數(shù)據(jù)協(xié)議包括但不限于：——SSH，用于操作系統(tǒng)安全遠(yuǎn)程登錄訪問(wèn)。應(yīng)符合GM/T0129。——KTLS，主要用于客戶端和服務(wù)器之間的安全通信，如瀏覽器通信協(xié)議HTTPS。應(yīng)符合GB/T38636。網(wǎng)絡(luò)安全通信協(xié)議數(shù)據(jù)加密應(yīng)采用【要求6.2-01】提供的算法?！疽?.3-03】、【要求6.3-04】、【要求6.3-05】及【要求6.3-06】。評(píng)估：1.文檔審查審查評(píng)估文檔，確認(rèn)是否有關(guān)于商密子系統(tǒng)為宿主操作系統(tǒng)內(nèi)核網(wǎng)絡(luò)安全通信協(xié)議提供商密數(shù)據(jù)加密功能的說(shuō)明。2.功能測(cè)試使用網(wǎng)絡(luò)抓包工具捕獲數(shù)據(jù)包，驗(yàn)證商密子系統(tǒng)是否支持操作系統(tǒng)內(nèi)核網(wǎng)絡(luò)安全通信協(xié)議，如SSH和KTLS。檢測(cè)網(wǎng)絡(luò)安全通信協(xié)議數(shù)據(jù)加密是否采用【要求6.2-01】提供的算法。測(cè)試網(wǎng)絡(luò)安全通信協(xié)議在傳輸過(guò)程中實(shí)現(xiàn)適當(dāng)?shù)拿荑€交換和加密保護(hù)。驗(yàn)證商密子系統(tǒng)支持的協(xié)議（如SSH和KTLS）是否符合GM/T0129和GB/T38636。檢測(cè)網(wǎng)絡(luò)安全通信協(xié)議的密鑰的生成、建立、保護(hù)、銷毀及證書管理是否符合【要求6.3-01】、【要求6.3-02】、【要求6.3-03】、【要求6.3-04】、【要求6.3-05】及【要求6.3-06】。審查商密子系統(tǒng)的安全配置，包括加密算法的選擇、密鑰管理、訪問(wèn)控制等，確保系統(tǒng)配置符合最佳安全實(shí)踐。A.1.4.5應(yīng)用軟件包簽名/驗(yàn)證【要求6.4-07】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)提供應(yīng)用軟件包數(shù)字簽名/驗(yàn)證機(jī)制。說(shuō)明：本要求為實(shí)現(xiàn)5.2.5安全目的而提出。應(yīng)用軟件包安裝數(shù)字簽名驗(yàn)證機(jī)制是保證軟件供應(yīng)鏈安全的重要方法，可防止應(yīng)用軟件被非法篡改，也提供了應(yīng)用軟件來(lái)源的可追溯性。商密子系統(tǒng)對(duì)應(yīng)用軟件包數(shù)字簽名/驗(yàn)證應(yīng)使用【要求6.2-03】提供的密碼算法（SM2算法或SM9算法）。應(yīng)用軟件包數(shù)字簽名應(yīng)遵循軟件代碼簽名相關(guān)標(biāo)準(zhǔn)，保證應(yīng)用軟件簽名的兼容性、互操作性。宿主操作系統(tǒng)安裝應(yīng)用軟件時(shí)商密子系統(tǒng)使用可信權(quán)威機(jī)構(gòu)分發(fā)的公鑰（證書）對(duì)軟件包進(jìn)行數(shù)字簽名驗(yàn)證，并根據(jù)簽名驗(yàn)證結(jié)果決定是否安裝該應(yīng)用軟件。一個(gè)應(yīng)用軟件包可由多個(gè)軟件責(zé)任主體進(jìn)行簽名，軟件責(zé)任主體包括軟件開發(fā)者、發(fā)行者、檢測(cè)機(jī)構(gòu)等。簽名主體公私鑰（證書）應(yīng)由可信權(quán)威機(jī)構(gòu)分發(fā)，實(shí)施實(shí)名簽名，確保軟件責(zé)任可追溯。各簽名主體的公私鑰（證書）可由不同可信權(quán)威機(jī)構(gòu)分發(fā)。商密子系統(tǒng)可對(duì)一個(gè)應(yīng)用軟件包實(shí)施不同軟件責(zé)任主體簽名/驗(yàn)證。應(yīng)用軟件安裝簽名驗(yàn)證時(shí)商密子系統(tǒng)應(yīng)驗(yàn)證可信權(quán)威機(jī)構(gòu)分發(fā)的公鑰（證書）是否有效，確保公鑰（證書）是指定的可信權(quán)威機(jī)構(gòu)分發(fā)，在有效期內(nèi)且未被吊銷。T/ZISIA0101-2025可信權(quán)威機(jī)構(gòu)分發(fā)應(yīng)用軟件所有簽名者公私鑰（證書）應(yīng)由操作系統(tǒng)廠商授權(quán)分發(fā)?？尚艡?quán)威機(jī)構(gòu)可以是不同的組織，也可以是同一個(gè)組織。為降低宿主操作系統(tǒng)公私鑰（證書）管理復(fù)雜度，可授權(quán)一個(gè)（或幾個(gè)）可信權(quán)威機(jī)構(gòu)負(fù)責(zé)分發(fā)軟件各責(zé)任主體的簽名公私鑰（證書）。商密子系統(tǒng)應(yīng)為應(yīng)用軟件包數(shù)字簽名提供工具。如簽名密鑰生成、軟件包簽名、簽名密鑰（證書）請(qǐng)求及管理等。商密子系統(tǒng)使用【要求6.3-06】提供的方法對(duì)應(yīng)用軟件包簽名證書進(jìn)行管理。評(píng)估：1.文檔審查審查相關(guān)文檔，查看是否有關(guān)于商密子系統(tǒng)為宿主操作系統(tǒng)提供應(yīng)用軟件包數(shù)字簽名/驗(yàn)證機(jī)制的說(shuō)明。2.功能檢測(cè)確認(rèn)商密子系統(tǒng)提供的應(yīng)用軟件包數(shù)字簽名/驗(yàn)證機(jī)制是否使用【要求6.2-03】提供的密碼算法（SM2算法或SM9算法）。審核應(yīng)用軟件包數(shù)字簽名是否遵循軟件代碼簽名相關(guān)標(biāo)準(zhǔn)。驗(yàn)證應(yīng)用軟件簽名者的公私鑰（證書）是否由可信權(quán)威機(jī)構(gòu)分發(fā)，確保軟件包簽名實(shí)名化。驗(yàn)證商密子系統(tǒng)對(duì)一個(gè)應(yīng)用軟件包實(shí)施不同軟件責(zé)任主體簽名/驗(yàn)證正確性。確認(rèn)商密子系統(tǒng)在應(yīng)用軟件安裝簽名驗(yàn)證時(shí)是否是可信權(quán)威機(jī)構(gòu)分發(fā)的公鑰（證書）的有效性。對(duì)可信權(quán)威機(jī)構(gòu)分發(fā)的證書鏈進(jìn)行驗(yàn)證，驗(yàn)證應(yīng)用軟件數(shù)字簽名公鑰（證書）是否由授權(quán)的可信權(quán)威機(jī)構(gòu)分發(fā)。安裝一個(gè)沒有數(shù)字簽名和一個(gè)有簽名的應(yīng)用軟件，驗(yàn)證沒有簽名的軟件安裝失敗，有簽名的軟件安裝成功。使用無(wú)效公鑰（證書）和有效公鑰（證書）分別對(duì)應(yīng)用軟件進(jìn)行簽名驗(yàn)證，驗(yàn)證無(wú)效公鑰（證書）的應(yīng)用軟件安裝失敗，有效公鑰（證書）的安裝成功。確認(rèn)商密子系統(tǒng)使用【要求6.3-06】提供的方法對(duì)應(yīng)用軟件包簽名證書進(jìn)行管理。A.1.4.6內(nèi)核代碼簽名/驗(yàn)證【要求6.4-08】商密子系統(tǒng)應(yīng)支持宿主操作系統(tǒng)驅(qū)動(dòng)程序數(shù)字簽名/驗(yàn)證功能。說(shuō)明：本要求為實(shí)現(xiàn)5.2.5安全目的而提出。驅(qū)動(dòng)程序（內(nèi)核模塊）包括字符設(shè)備驅(qū)動(dòng)程序和塊設(shè)備驅(qū)動(dòng)程序，如鍵盤、鼠標(biāo)、硬盤驅(qū)動(dòng)程序等。每個(gè)驅(qū)動(dòng)程序須經(jīng)數(shù)字簽名。當(dāng)OS安全啟動(dòng)時(shí)對(duì)內(nèi)核驅(qū)動(dòng)程序進(jìn)行數(shù)字簽名驗(yàn)證，驗(yàn)證不通過(guò)不能加載運(yùn)行。某些驅(qū)動(dòng)程序在OS安全啟動(dòng)前進(jìn)行簽名驗(yàn)證不在本文件要求范圍。安全啟動(dòng)要求見【要求6.4-10】。商密子系統(tǒng)對(duì)驅(qū)動(dòng)程序數(shù)字簽名/驗(yàn)證應(yīng)使用【要求6.2-03】提供的密碼算法（SM2算法或SM9算法）。商密子系統(tǒng)應(yīng)為操作系統(tǒng)驅(qū)動(dòng)程序數(shù)字簽名/驗(yàn)證提供工具。如簽名密鑰生成、代碼包簽名、簽名密鑰（證書）請(qǐng)求及管理等。一個(gè)驅(qū)動(dòng)程序可由多個(gè)責(zé)任主體進(jìn)行簽名，軟件責(zé)任主體包括軟件開發(fā)者、發(fā)行者、檢測(cè)機(jī)構(gòu)等。簽名主體公私鑰（證書）應(yīng)由可信權(quán)威機(jī)構(gòu)分發(fā)。各簽名主體的公私鑰（證書）可由不同可信權(quán)威機(jī)構(gòu)分發(fā)。驅(qū)動(dòng)程序由宿主操作系統(tǒng)加載運(yùn)行時(shí)，商密子系統(tǒng)使用可信權(quán)威機(jī)構(gòu)分發(fā)的公鑰（證書）進(jìn)行數(shù)字簽名驗(yàn)證，簽名驗(yàn)證不通過(guò)不能加載運(yùn)行。分發(fā)驅(qū)動(dòng)程序所有簽名者公私鑰（證書）的可信權(quán)威機(jī)構(gòu)應(yīng)由操作系統(tǒng)廠商授權(quán)。可信權(quán)威機(jī)構(gòu)可以是同一個(gè)組織，也可以是不同的組織。為提高驅(qū)動(dòng)程序的兼容性、互操作性、安全檢測(cè)標(biāo)準(zhǔn)的一致性T/ZISIA0101-2025以及簽名公私鑰（證書）的管理效率，操作系統(tǒng)廠商可授權(quán)一個(gè)可信權(quán)威機(jī)構(gòu)分發(fā)開發(fā)者、發(fā)行者、檢測(cè)機(jī)構(gòu)的簽名公私鑰（證書）。商密子系統(tǒng)使用【要求6.3-06】提供的方法對(duì)內(nèi)核代碼簽名證書進(jìn)行管理。評(píng)估：1.文檔審查審查相關(guān)文檔，查看是否有關(guān)于商密子系統(tǒng)應(yīng)支持宿主操作系統(tǒng)驅(qū)動(dòng)程序商密數(shù)字簽名/驗(yàn)證功能的說(shuō)明。2.功能檢測(cè)確認(rèn)商密子系統(tǒng)提供的驅(qū)動(dòng)程序數(shù)字簽名/驗(yàn)證機(jī)制是否使用【要求6.2-03】提供的SM2算法或SM9算法。確認(rèn)驅(qū)動(dòng)程序簽名者的公私鑰（證書）是否由可信權(quán)威機(jī)構(gòu)分發(fā)。測(cè)試數(shù)字簽名驗(yàn)證功能，確保系統(tǒng)能夠正確驗(yàn)證驅(qū)動(dòng)程序的簽名，并根據(jù)驗(yàn)證結(jié)果決定是否允許代碼執(zhí)行。確認(rèn)商密子系統(tǒng)在驅(qū)動(dòng)程序加載簽名驗(yàn)證時(shí)是否是可信權(quán)威機(jī)構(gòu)分發(fā)的公鑰（證書）的有效性。對(duì)可信權(quán)威機(jī)構(gòu)分發(fā)的證書鏈進(jìn)行驗(yàn)證，驗(yàn)證驅(qū)動(dòng)程序數(shù)字簽名公鑰（證書）是否由授權(quán)的可信權(quán)威機(jī)構(gòu)分發(fā)。安裝一個(gè)沒有數(shù)字簽名和一個(gè)有簽名的驅(qū)動(dòng)程序，驗(yàn)證沒有簽名的內(nèi)核代碼加載失敗，有簽名的內(nèi)核代碼加載成功。使用無(wú)效公鑰（證書）和有效公鑰（證書）分別對(duì)驅(qū)動(dòng)程序進(jìn)行簽名驗(yàn)證，驗(yàn)證無(wú)效公鑰（證書）的驅(qū)動(dòng)程序加載失敗，有效公鑰（證書）的加載成功。確認(rèn)商密子系統(tǒng)使用【要求6.3-06】提供的方法對(duì)驅(qū)動(dòng)程序簽名證書進(jìn)行管理?！疽?.4-09】商密子系統(tǒng)應(yīng)支持宿主操作系統(tǒng)內(nèi)核程序完整性、數(shù)字簽名/驗(yàn)證功能。說(shuō)明：本要求為實(shí)現(xiàn)5.2.5安全目的而提出。內(nèi)核程序是非驅(qū)動(dòng)程序的內(nèi)核代碼，當(dāng)內(nèi)核程序加載時(shí)操作系統(tǒng)對(duì)其進(jìn)行雜湊值或數(shù)字簽名進(jìn)行驗(yàn)證，并根據(jù)安全策略決定是否運(yùn)行。商密子系統(tǒng)內(nèi)核程序雜湊計(jì)算應(yīng)使用【要求6.2-04】提供的算法（SM3算法），數(shù)字簽名/驗(yàn)證應(yīng)使用【要求6.2-03】提供的密碼算法（SM2算法或SM9算法）。商密子系統(tǒng)應(yīng)為操作系統(tǒng)內(nèi)核程序雜湊計(jì)算、數(shù)字簽名提供工具。如雜湊值生成、簽名密鑰生成、代碼包簽名、簽名密鑰（證書）請(qǐng)求及管理等。一個(gè)內(nèi)核程序可由多個(gè)責(zé)任主體進(jìn)行簽名，軟件責(zé)任主體包括軟件開發(fā)者、發(fā)行者、檢測(cè)機(jī)構(gòu)等。簽名主體公私鑰（證書）應(yīng)由可信權(quán)威機(jī)構(gòu)分發(fā)。各簽名主體的公私鑰（證書）可由不同可信權(quán)威機(jī)構(gòu)分發(fā)。內(nèi)核程序加載時(shí)商密子系統(tǒng)使用可信權(quán)威機(jī)構(gòu)分發(fā)的公鑰（證書）進(jìn)行數(shù)字簽名驗(yàn)證，驗(yàn)證不通過(guò)不能加載運(yùn)行。內(nèi)核程序簽名驗(yàn)證時(shí)商密子系統(tǒng)應(yīng)驗(yàn)證可信權(quán)威機(jī)構(gòu)分發(fā)的公鑰（證書）是否有效，確保公鑰（證書）是指定的可信權(quán)威機(jī)構(gòu)分發(fā)，并且沒有作廢。分發(fā)內(nèi)核程序所有簽名者公私鑰（證書）的可信權(quán)威機(jī)構(gòu)應(yīng)由操作系統(tǒng)廠商授權(quán)?？尚艡?quán)威機(jī)構(gòu)可以是同一個(gè)組織，也可以是不同的組織。為提高內(nèi)核代碼的兼容性、互操作性、安全檢測(cè)標(biāo)準(zhǔn)的一致性以及簽名公私鑰（證書）的管理效率，操作系統(tǒng)廠商可授權(quán)一個(gè)可信權(quán)威機(jī)構(gòu)分發(fā)開發(fā)者、發(fā)行者、檢測(cè)機(jī)構(gòu)的簽名公私鑰（證書）。商密子系統(tǒng)使用【要求6.3-06】提供的方法對(duì)內(nèi)核程序簽名證書進(jìn)行管理。評(píng)估：T/ZISIA0101-20251.文檔審查審查相關(guān)文檔，查看是否有關(guān)于商密子系統(tǒng)應(yīng)支持宿主操作系統(tǒng)內(nèi)核程序完整性、數(shù)字簽名/驗(yàn)證功能的說(shuō)明。2.功能檢測(cè)確認(rèn)商密子系統(tǒng)提供的內(nèi)核程序完整性驗(yàn)證是否使用【要求6.2-04】提供的SM3算法。確認(rèn)商密子系統(tǒng)提供的內(nèi)核程序數(shù)字簽名/驗(yàn)證是否使用【要求6.2-03】提供的SM2算法或SM9算法。確認(rèn)內(nèi)核程序簽名者的公私鑰（證書）是否由可信權(quán)威機(jī)構(gòu)分發(fā)。測(cè)試數(shù)字簽名驗(yàn)證功能，確保系統(tǒng)能夠正確驗(yàn)證內(nèi)核程序的簽名，根據(jù)驗(yàn)證結(jié)果決定是否允許代碼執(zhí)行。確認(rèn)商密子系統(tǒng)在內(nèi)核程序加載簽名驗(yàn)證時(shí)是否驗(yàn)證可信權(quán)威機(jī)構(gòu)分發(fā)的公鑰（證書）的有效性。對(duì)可信權(quán)威機(jī)構(gòu)分發(fā)的證書鏈進(jìn)行驗(yàn)證，驗(yàn)證內(nèi)核程序數(shù)字簽名公鑰（證書）是否由授權(quán)的可信權(quán)威機(jī)構(gòu)分發(fā)。安裝一個(gè)沒有數(shù)字簽名和一個(gè)有簽名的內(nèi)核程序，驗(yàn)證沒有簽名的內(nèi)核程序加載失敗，有簽名的內(nèi)核程序加載成功。使用無(wú)效公鑰（證書）和有效公鑰（證書）分別對(duì)內(nèi)核程序件進(jìn)行簽名驗(yàn)證，驗(yàn)證無(wú)效公鑰（證書）的內(nèi)核程序加載失敗，有效公鑰（證書）的加載成功。確認(rèn)商密子系統(tǒng)使用【要求6.3-06】提供的方法對(duì)內(nèi)核程序簽名證書進(jìn)行管理。A.1.4.7安全啟動(dòng)【要求6.4-10】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)安全啟動(dòng)提供程序代碼簽名/驗(yàn)證密碼支撐。說(shuō)明：本要求為實(shí)現(xiàn)5.2.5安全目的而提出。計(jì)算機(jī)安全啟動(dòng)機(jī)制大致分為兩個(gè)階段：硬件啟動(dòng)和操作系統(tǒng)啟動(dòng)。硬件啟動(dòng)階段不屬于本文件規(guī)范內(nèi)容。操作系統(tǒng)安全啟動(dòng)過(guò)程：第一步，啟動(dòng)墊片驗(yàn)證操作系統(tǒng)引導(dǎo)加載器數(shù)字簽名；第二步，引導(dǎo)加載器驗(yàn)證操作系統(tǒng)內(nèi)核代碼數(shù)字簽名；第三步，操作系統(tǒng)內(nèi)核運(yùn)行。對(duì)啟動(dòng)墊片和部分驅(qū)動(dòng)程序（內(nèi)核模塊）簽名驗(yàn)證由硬件啟動(dòng)過(guò)程負(fù)責(zé)。商密子系統(tǒng)可使用硬件密碼模塊支撐宿主操作系統(tǒng)安全啟動(dòng)。商密子系統(tǒng)為宿主操作系統(tǒng)安全啟動(dòng)提供密碼支撐包括：使用【要求6.2-03】提供的方法對(duì)引導(dǎo)加載器和驅(qū)動(dòng)程序（內(nèi)核模塊）進(jìn)行簽名和驗(yàn)證。使用【要求6.3-06】提供的方法對(duì)引導(dǎo)加載器和驅(qū)動(dòng)程序（內(nèi)核模塊）簽名證書進(jìn)行管理。商密子系統(tǒng)對(duì)引導(dǎo)加載器和驅(qū)動(dòng)程序（內(nèi)核模塊）進(jìn)行簽名使用的公私鑰（證書）由宿主操作系統(tǒng)廠商指定（授權(quán)）的可信權(quán)威機(jī)構(gòu)簽發(fā)，以保證操作系統(tǒng)底層資源及內(nèi)核代碼供應(yīng)鏈安全責(zé)任可追溯。啟動(dòng)墊片和部分驅(qū)動(dòng)程序（內(nèi)核模塊）的簽名公鑰（證書）存儲(chǔ)在硬件啟動(dòng)資源中，用于硬件啟動(dòng)時(shí)驗(yàn)證啟動(dòng)墊片和部分驅(qū)動(dòng)程序（內(nèi)核模塊）簽名。引導(dǎo)加載器及部分驅(qū)動(dòng)程序（內(nèi)核模塊）簽名公鑰（證書）存儲(chǔ)在操作系統(tǒng)可控的資源中，用于操作系統(tǒng)啟動(dòng)時(shí)驗(yàn)證引導(dǎo)加載器及部分驅(qū)動(dòng)程序（內(nèi)核模塊）的簽名。評(píng)估：1.文檔審查T/ZISIA0101-2025檢查評(píng)估文檔，查看是否有關(guān)于商密子系統(tǒng)為宿主操作系統(tǒng)安全啟動(dòng)提供密碼支撐的說(shuō)明。2.功能測(cè)試使用【要求6.2-03】提供的方法對(duì)引導(dǎo)加載器和驅(qū)動(dòng)程序（內(nèi)核模塊）進(jìn)行簽名和驗(yàn)證。使用【要求6.3-06】提供的方法對(duì)引導(dǎo)加載器和驅(qū)動(dòng)程序（內(nèi)核模塊）簽名證書進(jìn)行管理。進(jìn)行啟動(dòng)流程的測(cè)試，包括簽名驗(yàn)證、完整性驗(yàn)證等步驟的模擬和驗(yàn)證，確保商密子系統(tǒng)提供的密碼支撐能夠有效地保護(hù)系統(tǒng)安全啟動(dòng)?！疽?.4-11】商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)啟動(dòng)階段的可信計(jì)算提供密碼支持。說(shuō)明：本要求為實(shí)現(xiàn)5.2.5安全目的而提出。商密子系統(tǒng)只負(fù)責(zé)宿主操作系統(tǒng)引導(dǎo)加載器啟動(dòng)后的可信計(jì)算支撐。可信計(jì)算機(jī)制可調(diào)用商密子系統(tǒng)密碼接口實(shí)現(xiàn)對(duì)OS啟動(dòng)時(shí)的可信計(jì)算功能。啟動(dòng)墊片及部分驅(qū)動(dòng)程序（內(nèi)核模塊）可信計(jì)算驗(yàn)證由硬件啟動(dòng)過(guò)程負(fù)責(zé)。注：宿主操作系統(tǒng)引導(dǎo)加載器啟動(dòng)后的可信計(jì)算機(jī)制參評(píng)估：1.文檔審查檢查評(píng)估文檔，查看是否有關(guān)于商密子系統(tǒng)應(yīng)為宿主操作系統(tǒng)啟動(dòng)階段的可信計(jì)算提供密碼支撐的說(shuō)明。2.功能測(cè)試檢查商密子系統(tǒng)能否支持宿主操作系統(tǒng)啟動(dòng)階段的可信計(jì)算。使用【要求6.2-04】提供的方法，驗(yàn)證商密子系統(tǒng)是否對(duì)驅(qū)動(dòng)程序（內(nèi)核模塊）進(jìn)行雜湊值生成和驗(yàn)證。A.1.4.8自啟動(dòng)【要求6.4-12】商密子系統(tǒng)應(yīng)具備自啟動(dòng)功能。說(shuō)明：本要求為實(shí)現(xiàn)5.2.2安全目的而提出。商密子系統(tǒng)應(yīng)無(wú)需操作員請(qǐng)求，其內(nèi)核部分優(yōu)先于宿主操作系統(tǒng)內(nèi)核其他部分啟動(dòng)，以完成操作系統(tǒng)啟動(dòng)所需的密碼操作，如內(nèi)核代碼完整性度量及簽名驗(yàn)證等。自啟動(dòng)密碼服務(wù)能力由商密主管配置，該配置可以在商密子系統(tǒng)重置、重啟之后保留下來(lái)。評(píng)估：1.文檔審查檢查評(píng)估文檔，查看是否有關(guān)于商密子系統(tǒng)應(yīng)具備自啟動(dòng)功能的說(shuō)明。2.功能測(cè)試驗(yàn)證商密子系統(tǒng)能夠優(yōu)先于宿主操作系統(tǒng)內(nèi)核其他部分啟動(dòng)，無(wú)需操作員干預(yù)或請(qǐng)求。確保商密子系統(tǒng)能夠生成啟動(dòng)日志并記錄自啟動(dòng)過(guò)程中的關(guān)鍵事件和狀態(tài)。進(jìn)行系統(tǒng)集成測(cè)試，驗(yàn)證商密子系統(tǒng)的自啟動(dòng)功能不會(huì)影響宿主操作系統(tǒng)的正常運(yùn)行，完成所需要的密碼操作，并且能夠與其他系統(tǒng)組件良好協(xié)同工作。測(cè)試自啟動(dòng)失敗時(shí)的應(yīng)急處理機(jī)制，確保商密子系統(tǒng)能夠在自啟動(dòng)失敗時(shí)進(jìn)行適當(dāng)?shù)奶幚砗突謴?fù)。A.1.4.9軟件/固件加載【要求6.4-13】商密子系統(tǒng)宜具有加載外部軟件/固件的能力。說(shuō)明：本要求為實(shí)現(xiàn)5.2.2安全目的而提出。T/ZISIA0101-2025如果商密子系統(tǒng)具有加載外部軟件或固件的能力，那么在軟件/固件加載之前經(jīng)過(guò)審驗(yàn)機(jī)構(gòu)審驗(yàn)。加載時(shí)禁止密碼應(yīng)用操作，直到軟件/固件加載完成。應(yīng)修改商密子系統(tǒng)版本信息。評(píng)估：1.文檔審查檢查評(píng)估文檔，查看是否有關(guān)于商密子系統(tǒng)可具有加載外部軟件/固件的能力的說(shuō)明。2.功能測(cè)試審驗(yàn)外部軟件/固件，確保商密子系統(tǒng)具有加載外部軟件或固件的能力之前，這些外部軟件/固件必須經(jīng)過(guò)審驗(yàn)機(jī)構(gòu)的審驗(yàn)。檢測(cè)加載外部軟件或固件之前，商密子系統(tǒng)應(yīng)禁止密碼應(yīng)用操作。監(jiān)控加載外部軟件/固件過(guò)程，確保加載過(guò)程中的操作符合規(guī)范并且沒有異常行為。檢驗(yàn)在外部軟件或固件加載完成后，商密子系統(tǒng)恢復(fù)密碼應(yīng)用操作。檢查在加載外部軟件或固件后，是否修改商密子系統(tǒng)版本信息。加載日志記錄，記錄加載外部軟件或固件的過(guò)程和相關(guān)操作，生成加載日志以便日后審查和追蹤。A.1.4.10安全操作系統(tǒng)密碼支撐【要求6.4-14】商密子系統(tǒng)應(yīng)為GB/T20272相關(guān)密碼應(yīng)用要求提供支撐。說(shuō)明：見附錄B。A.1.5商密子系統(tǒng)安全A.1.5.1概述【要求6.5-01】~【要求6.5-17】是為實(shí)現(xiàn)5.2.2安全目的而提出。A.1.5.2管理員【要求6.5-01】商密子系統(tǒng)應(yīng)支持商密子系統(tǒng)主管角色設(shè)置，只有商密子系統(tǒng)主管能對(duì)商密子系統(tǒng)實(shí)施相關(guān)管理操作。說(shuō)明：商密主管負(fù)責(zé)執(zhí)行商密子系統(tǒng)相關(guān)管理，例如，商密子系統(tǒng)初始化、自測(cè)試、配置設(shè)置、敏感數(shù)據(jù)以及審計(jì)管理等。相關(guān)管理項(xiàng)目由【要求6.5-02】給出。商密主管可建立、授權(quán)系統(tǒng)操作員。評(píng)估：1.文檔審查審查相關(guān)文檔，查看是否有關(guān)于商密主管角色的詳細(xì)描述，包括角色定義、權(quán)限范圍、操作流程等的說(shuō)明。2.功能測(cè)試創(chuàng)建一個(gè)普通用戶賬號(hào)和一個(gè)商密主管賬號(hào)。嘗試使用普通用戶賬號(hào)訪問(wèn)商密子系統(tǒng)的管理功能，應(yīng)被系統(tǒng)拒絕。使用商密主管賬號(hào)進(jìn)行管理操作，應(yīng)能夠成功執(zhí)行。檢查系統(tǒng)日志，確認(rèn)只有商密主管賬號(hào)的操作被記錄。嘗試使用非商密主管賬號(hào)進(jìn)行管理操作，如創(chuàng)建、修改、刪除商密數(shù)據(jù)等，確認(rèn)系統(tǒng)是否拒絕這些操作，并給出相應(yīng)的權(quán)限不足提示。使用商密主管賬號(hào)進(jìn)行上述操作，確認(rèn)操作是否成功。T/ZISIA0101-2025在系統(tǒng)中切換到非商密主管角色，嘗試執(zhí)行商密子系統(tǒng)的管理操作，確認(rèn)系統(tǒng)是否拒絕操作，并給出權(quán)限不足的提示。使用商密主管賬號(hào)執(zhí)行一系列管理操作，查看系統(tǒng)日志，確認(rèn)是否記錄了這些操作的時(shí)間、操作類型、操作結(jié)果等信息。模擬異常情況，如斷電、網(wǎng)絡(luò)中斷等，在異常情況恢復(fù)后，檢查商密子系統(tǒng)的狀態(tài)，確認(rèn)是否只有商密主管可以執(zhí)行管理操作。A.1.5.3系統(tǒng)管理【要求6.5-02】商密主管應(yīng)對(duì)商密子系統(tǒng)進(jìn)行管理。說(shuō)明：商密主管至少對(duì)表1給出的項(xiàng)目進(jìn)行管理。表1商密子系統(tǒng)管理項(xiàng)目管理項(xiàng)目說(shuō)明商密主管用戶、操作員憑證管理管理商密主管、操作員登錄憑證，包括用戶名、口令、密鑰等。商密主管、操作員鑒別設(shè)置設(shè)定商密主管、操作員鑒別機(jī)制，如雙因素認(rèn)證、生物識(shí)別等。商密子系統(tǒng)配置設(shè)定商密子系統(tǒng)啟動(dòng)參數(shù)。密鑰管理公私鑰、數(shù)據(jù)加密密鑰（DEK）、密鑰加密密鑰（KEK）導(dǎo)入、導(dǎo)出、更新、刪除等。證書管理管理數(shù)字證書，包括證書的導(dǎo)入、導(dǎo)出和刪除操作。文件、磁盤加密設(shè)置對(duì)商密子系統(tǒng)相關(guān)文件和磁盤進(jìn)行加密設(shè)置。通信加密設(shè)置對(duì)商密子系統(tǒng)對(duì)外通信進(jìn)行加密設(shè)置。內(nèi)核代碼簽名對(duì)宿主操作系統(tǒng)內(nèi)核代碼進(jìn)行簽名。內(nèi)核代碼雜湊值生成對(duì)內(nèi)核代碼雜湊值生成以支撐可信計(jì)算。敏感數(shù)據(jù)存儲(chǔ)保護(hù)設(shè)置對(duì)商密子系統(tǒng)敏感數(shù)據(jù)進(jìn)行特殊保護(hù)進(jìn)行設(shè)置，如存儲(chǔ)位置、加密存儲(chǔ)、訪問(wèn)控制等。日志策略設(shè)置設(shè)定對(duì)商密子系統(tǒng)審計(jì)策略，記錄和監(jiān)控系統(tǒng)的操作行為。密碼資源管理安裝、升級(jí)、測(cè)試密碼資源庫(kù)。密碼調(diào)用接口管理管理密碼調(diào)用接口，確保系統(tǒng)各部分在需要時(shí)能夠正確、安全地調(diào)用密碼資源。啟用/禁用外部接口控制外部接口的啟用和禁用，防止未授權(quán)訪問(wèn)和攻擊。其他必要的管理包括但不限于系統(tǒng)備份與恢復(fù)、系統(tǒng)監(jiān)控等，確保系統(tǒng)的整體安全和穩(wěn)定運(yùn)行。評(píng)估：表2給出【要求6.4-02】評(píng)估方法。表2【要求6.4-02】評(píng)估方法管理項(xiàng)目評(píng)