密码应用安全管理体系制度之密钥管理办法

第一章  总  则

• 为遵循《中华人民共和国密码法》、《信息系统密码应用测评要求》等相关要求，加强本单位应用系统密码应用方面的安全管理，确保系统的运行安全，保障密码技术及产品的恰当使用，达到有效可控的保护信息的保密性、真实性或完整性的目的，特制定本密钥管理办法。本办法主要包括密码控制使用策略，密钥管理人员配备，密钥的生成、分发与传送、装载和启用、保管与交接、删除与销毁等内容。
• 本办法适用于本单位应用系统及各相关密码技术应用单位。
• XXX部门负责本单位信息系统的密码管理相关工作,是密钥管理的具体执行部门。
• XXX部门将定期对本办法的合理性和适用性进行论证和审定，对存在不足或改进之处应及时进行修订。

第二章  密码安全管理策略

• 在信息系统建设过程中，应通过使用适当的密码安全管理措施实现不同的安全目标，包括:

1. 保密性:使用信息加密以保护存储或传输中的敏感或关键信息。
2. 完整性:使用数字签名或消息鉴别码以保护存储和传输中的敏感或关键信息的完整性。
3. 抗抵赖性:使用数字签名技术以提供一个事态或主体操作发生或未发生的证据。
4. 真实性:使用加密技术对请求访问实体和资源的用户以及与系统用户有交互的其他系统实体进行身份鉴别。

• 在使用加密控制措施时，应基于信息需要保护的级别及其所面临的风险，考虑需要的加密算法的类型、强度。
• 在使用加密控制措施时，应符合国家的法律法规要求，符合国家关于应用加密技术的规定和限制。

第三章  密钥管理人员配备 

• 根据密钥管理实际情况，配备专职或兼职密钥管理人员，负责密钥管理工作，未经批准不得擅自互换或代替。
• 密钥管理人员应具有高度的政治觉悟，思想品德高尚，能自觉保守机密;同时具有良好的职业道德，能够遵守各项规章制度，工作责任心强，热爱本职工作。
• 密钥管理人员岗位属于涉密岗位，应签署保密协议，密钥管理岗位应做到互相制约、禁止随意轮换。生成、保管密钥的管理人员因辞职等私人原因离职时，应提前两个月进行工作交接。

第四章  密钥的生成 

• 密钥的生成必须确保随机性，生成工具应使用硬件加密机或其他符合国家、行业法律规范要求的密钥生成工具等。
• 进行密钥生成的工作人员应设置密钥监督员一名、设备操作员一名、密钥生成员二到三名。如果不使用加密设备生成密文，设备操作员可以不参加。
• 密钥监督员负责监督整个密钥生成过程的合法性和规范性;设备操作员负责生成密钥时的设备环境准备;密钥生成人员负责通过相应的密钥生成方式生成一段密钥组件，并负责该密钥组件的后续注入和保管工作。
• 设备操作员有责任培训密钥生成员，要确信密钥生成员已掌握了密钥生成的操作方法后才允许密钥生成员正式进行生成操作，必要时可要求密钥生成员模拟生成过程以便确认。
• 密钥生成员应分别按顺序在密钥操作现场进行密钥生成工作。密钥生成员在生成密钥期间，设备操作员及其他人员不得观看密钥的具体内容;密钥监督员必须监督密钥生成过程，确保操作合规。
• 密钥生成员在确保生成密钥的长度、密钥数字的取值范围、奇偶校验等要素符合规定后应记录下密钥内容(明文、密文、检验码)并立即清除密钥生成媒介上显示的内容。
• 监督密钥生成过程中监督部门人员不得检查明文具体内容，但必要时监督人员应要求生成员按记录的明文重新生成密文及检验码，由监督员复核。

第五章  密钥的分发与传送 

• 各类密钥分发、交接和传送过程必须履行严格的审批手续，作妥详细记录，并经相关人员签名确认，文档资料必须妥善保管。
• 密钥传送应采用信息拆分、分人分段、多种渠道、不在同一天运输的办法。
• 密钥传送过程中存放介质可以是纸质、磁盘、IC卡等，每份介质只可存放一段密钥组件。不得以同一介质传送全部密钥的明文。
• 密钥不得电子邮件(E-mail)、传真、电传、电话等方式传送。如来用其他电子方式传送，该方式应符合国家密码主管部门的规定和相关标准，并经过国家认可的权威机构检测通过。
• 密钥接收单位必须派专人领取，不得由一人领取多段密钥。密钥各个分量的领取人员不得同时乘坐同一个交通工具。在市内分发与传送密钥时，相应工作人员必须乘坐专车，不得乘坐公交车辆、出租车等公共交通工具。
• 接收单位领取密钥时，接收单位的接收、监督等人员应同时到场，审核密封信封的密封章或密封签名是否完整有效，并填写密钥分发与接收记录。

第六章  密钥的装载和启用 

• 各类密钥注入过程必须履行严格的审批手续，作好详细记录，相关人员签名确认，文档资料必须妥善保管。
• 进行密钥注入的工作人员为密钥监督员一名、设备操作员一名、密钥注入人员二到三名。
• 密钥监督员负责监督密钥注入过程的合法性和规范性;设备操作员负责密钥注入设备及相应环境的准备;密钥注入人员负责将各自的密钥组件注入到密钥注入设备中，注入人员一般由该密钥组件的密钥生成员或保管人员担任。
• 密钥组件启用应经密钥主管部门审批同意后，由主管部门牵头组织密钥的装载和注入工作。
• 在密钥注入前，由密钥监督员、密钥生成员共同检查密钥信封是否有破损迹象，密封章和签名章等是否完整有效。如密钥信封不符合要求应及时报告主管部门领导，根据具体情况处理，必要时应重新生成新的密钥组件。
• 密钥组件的注入必须采用双重控制和信息拆分的原则。注入密钥组件时由输入人员分别在现场单独操作，其他人员必须退到看不到密钥存储设备操作面板和操作显示屏的地方。有摄像监控系统的区域内，摄像头不得对准加密设备的操作面板和操作显示屏。
• 注入完成后，原已开封的密钥保管信封需重新封装，并加盖主管部门、应用部门和监督部门的密封章，同时由密钥监督员、密钥注入员签名确认，交由密钥保管人员保管。

第七章  密钥的保管与交接 

• 密钥应存放在保险箱内，每一段密钥组件必须放置在不同的保险箱内独立存放。每个保险箱钥匙和密码必须分别由密钥组件相应的密钥生成员掌管。
• 密钥存储介质要求用信封密封，封面注明密钥名称、用途、长度、密封日期，由密钥生成员与密钥监督员分别签名确认，加盖密封章。
• 对于加密设备等密钥设备，需要采用双重控制来确保其安全性。由设备操作员、设备管理员负责开启和操作加密设备，所有对加密设备的操作均需在密钥监督员的监督之下进行。
• 加密设备钥匙可由设备管理员负责保管，但必须存放一份在保险箱中，以便于加密设备应急维护时使用。设备管理员调离时，应办理交接手续，保险箱的钥匙备件也应同时移交。
• 加密设备的安全密码、操作窗口密码(或授权操作密码)应分别由设备管理员、设备操作员掌管。上述密码应在保险箱中保留备份，存入之前由密钥监督员用信封密封、签名确认，并加盖密封章。上述人员调离时，应重新设置密码，并更新保险箱中的备份。
• 用于密钥维护的终端设备(PC机)必须专机专用，不得挪作他用。当该终端设备报废时，必须清除存储设备(硬盘、可移动设备等)上的所有信息。
• 密钥档案资料应存入保险箱内，保存期限应不低于记录对象的生命周期。
• 放置密钥保险箱的区域应配备摄像监控头，摄像头不得对准保险箱的操作面板。
• 因发生工作安排调整、私人原因等情况引起密钥工作人员岗位变动的，应及时按规定办妥交接手续。
• 办理交接手续，有关部门应向密钥主管部门提出申请，获得主管部门批准后，在指定密钥监督员的监督下进行交接。
• 密钥交接时，交接双方必须与密钥监督员同时在交接现场，核验密钥封的封装是否完好，密钥封上有关人员的签字及加盖的章戳是否有效，经双方及密钥监督员确认后方可交接，否则，接收人员有权拒绝接收，交接行为无效。
• 密钥交接时，应在密钥封上加签接收人员的姓名、日期，并分别在密钥交接登记演作妥交接原因、核验情况、交接人员与日期等情况的记载。办理密钥交接时不得对密钥封启封。

第八章  密钥的删除与销毁

• 为避免泄漏风险，失效密钥必须及时删除或销毁。失效密钥包括过期密钥、废除密钥、泄漏(含被攻破)密钥。
• 对于不同类型的密钥，有着不同的密钥生存期，超过这个期限，即可标志为过期密钥，应该删除和销毁。
• 废除密钥是指在生存期限内因各种原因不再使用的密钥。
• 泄漏密钥指密钥在其生存期限内被泄漏或怀疑可能被泄漏以及被攻破等情况下的密钥。
• 对失效密钥，应采用执行和检验相结合的方法删除和销毁，确保密钥及其相关资料信息被完全销毁。
• 密钥销毁前应先生成新的同类密钥，如是生产系统密钥，待测试通过后方行销毁。
• 密钥销毁前，密钥监督员须检验密钥封上签名、章戳的有效性，确认密钥封处于密封状态。同时在销毁密钥的过程中应确保没有对密钥封采取启封的操作。
• 密钥的删除和销毁需在主管部门审批确认之后进行。在执行删除和销毁操作时应多人同时在场(设备管理员、密钥销毁员、密钥监督员等)，专人执行(密钥销毁员)，专人验证(密钥监督员)，保证密钥无法被恢复、被泄露，确保密钥真正被销毁。销毁过程应由密钥监督员监控，并进行密钥删除与销毁登记。
• 当一方销毁密钥涉及另一方的成员主密钥时，应书面通知对方机构相应删除和销毁，对方机构执行密钥删除和销毁后应书面回复并经相关人员签字确认。
• 密钥删除和销毁由密钥监督员负责登记，记录应包括密钥名称、销毁时间、操作员、密钥监督员等要素。销毁记录由销毁人和密钥监督员签字后与相关资料一同保存。

附件一：密钥生成/装载和启用/分发申请表

密钥生成/装载和启用/分发申请表

申请人				申请部门
申请类型	密钥生成□	密钥销毁□	密钥装载和启用□		密钥分发□
申请原因
业务部门负责人意见： 负责人签字：                      年   月   日
部门负责人意见： 负责人签字：                      年   月   日
结果确认
密码操作员意见 负责人签字：		密钥管理员意见 负责人签字：		密码审计员意见 负责人签字：

附件二：密钥交接记录表

密钥交接记录表

移交人		接受人
移交原因
相关系统
移交日期
部门负责人意见： 负责人签字：                      年   月   日
密码审计员意见： 负责人签字：                      年   月   日