密评材料清单
密评评审所需材料全列表,含平台自动生成部分、人工补充部分和第三方证书要求。
数安商用密码密码服务平台已经过密评机构评审,密评首次通过率 100%。本文档列出评审时需要准备的所有材料,以及平台能自动生成哪些、需要人工补充哪些。
材料概览
密评评审材料分为三类:
- 平台自动生成:部署完成后从管理控制台一键导出
- 需人工补充:根据你们的系统实际情况填写
- 第三方材料:密码设备的国密局认证证书等
平台自动生成的材料
| 材料名称 | 格式 | 导出路径 | 说明 |
|---|---|---|---|
| 密码算法使用说明 | .docx | 管理台 → 合规 → 导出 | 列举系统使用的所有密码算法及其应用场景 |
| 密码模块描述 | .docx | 管理台 → 合规 → 导出 | 密码服务平台的模块说明,含国密局认证信息 |
| 密钥管理说明 | .docx | 管理台 → 合规 → 导出 | 密钥层级、生成方式、存储位置、轮换策略 |
| 审计日志样本 | .csv | 管理台 → 审计 → 导出 | 连续 7 天的完整操作日志,含完整性校验说明 |
| 性能测试报告 | 管理台 → 合规 → 导出 | SM4/SM2/SM3 算法正确性和性能测试结果 |
需人工补充的材料
| 材料名称 | 内容要点 | 负责方 |
|---|---|---|
| 密码应用方案说明 | 你们的业务系统在哪些环节使用了密码算法,各环节使用了什么算法和密钥 | 客户 IT 部门 |
| 系统总体架构图 | 包含密码服务平台位置、各业务系统与平台的调用关系 | 客户 IT 部门 |
| 业务系统密码改造说明 | 哪些系统做了改造,改造前后的对比,改造工作量 | 客户 IT 部门 |
| 访问控制矩阵 | 哪些用户/系统可以访问密码服务,权限是如何控制的 | 客户安全部门 |
常见被驳回原因:系统架构图与实际不符、访问控制矩阵与系统配置不一致、审计日志字段不完整(缺少操作结果或操作对象)。准备材料时建议先做内部预演,模拟评审官检查方式验证材料与系统实际一致。
第三方材料
- 密码服务平台国密局检测报告:由数安商用密码提供,有效期内可直接使用
- HSM 国密局认证证书:由 HSM 硬件厂商提供,注意检查有效期
- 服务器国密证书:如使用国密 TLS,需提供 CA 签发的 SM2 证书
评审前自查清单
1
算法合规确认
全系统扫描,确认没有 MD5、SHA-1、DES、RSA-1024 等不合规算法。密码服务平台管理台可以生成算法使用报告。
2
密钥管理验证
确认密钥由 HSM 或 KMS 管理,没有明文密钥存在配置文件或代码库中。从管理台导出密钥管理说明。
3
审计日志完整性
导出最近 7 天日志,确认包含:操作主体、时间戳(精确到秒)、操作对象、操作结果。日志需有完整性保护说明。
4
材料一致性核验
所有书面材料中描述的系统状态,要与现场演示时的实际状态完全一致。评审官会做现场验证。
5
证书有效期检查
检查 HSM 认证证书、国密 TLS 证书等所有第三方证书的有效期,过期材料会被直接驳回。
需要协助?
数安商用密码工程师可以协助准备密评材料,包括:
- 密评材料一对一审核(提交前帮你找问题)
- 模拟评审答疑陪练
- 评审现场技术答疑支持
联系方式:zhangliusheng@gzdscc.com 或 在线咨询