一文读懂关基密码应用的总体思路

01 关基的安全稳定运行对密码应用提出更高要求

根据《关键信息基础设施安全保护条例》（中华人民共和国国务院令第745号），关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

在形态构成上，关键信息基础设施（以下简称：关基）可能是单个网络设施、信息系统，也可能涉及多个网络设施、信息系统，甚至一个或者多个网络设施、信息系统的一部分。

对于一般的信息系统而言，用户可以结合自己的实际情况，根据单个业务特点，在保密性、完整性、可用性之间有所侧重。但对于关基而言，其安全保护目标是“保障安全稳定运行”，要求数据的保密性、完整性、可用性缺一不可，关键业务的稳定运行和关键业务信息的安全性同等重要。

而密码技术的基础功能就是确保身份的真实性、数据完整性、数据机密性、行为不可否认性。可以说，密码是保障关基安全稳定运行的核心技术与基础支撑。

02 关基运营者密码应用主体责任更加明确与清晰

从国家现有政策导向来看，”体系化“是今后关基商用密码应用的关键，关基保护将成为我国商用密码高质量发展的重要领域。

2025年8月1日，《关键信息基础设施商用密码使用管理规定》（国家密码管理局、国家互联网信息办公室、公安部令第5号）正式施行。《规定》细化了《中华人民共和国密码法》《商用密码管理条例》关于关基商用密码使用管理的基础性、原则性要求，明确划分了密码管理部门、网信部门、公安机关以及保护工作部门、运营者的职权义务，明确规划、建设、运行等各阶段的规范要求，明确制度、人员、经费等方面的保障措施，将关基商用密码使用管理各方面、各环节的要求以法定形式固化下来，责任明确、环节清晰、措施完备。

03 关基运营者落实主体责任的依据与要点

关基运营者具体落实这些责任要求时，可参考技术标准《关键信息基础设施密码应用要求》(GM/T 0133—2024)来推进。GM/T 0133是制定关基密码应用方案的直接依据，既是关基密码应用的重要框架性标准，也是安全性评估的重要遵循，能为关基运营者开展密码应用的规划、建设、运行、安全性评估等工作提供指引。

关基运营者在相关信息系统密码应用基本要求基础上，可重点针对如下方面进行补充或增强。

1. 落实密码应用各环节关键活动的闭环，从设计到后面的运行、监控都需要有闭环

要做关基的保护，首先是方案设计，对自身需求、设备状况、保护信息要了解，涉及的密码应用方案要进行评估，再进行系统建设。其中系统建设要按照现在的条例进行密码应用合规性评估，并对问题进行改进。其次是运行维护，按要求定期检测、评估。最后是对整个系统运行的监测预警和事件的处理。

2. 统筹关基范围内密码应用的总体规划设计，关基内的整体设计要考虑

为确保密码应用的整体性和协调性，可以从三个方面入手：明确不同责任主体之间的职责划分和协调机制；结合关键业务特点对密码系统的建设和运维模式进行统筹规划（如统一建设统一运维，或各信息系统分别建设各自运维）；针对关键业务信息的密码体系和密钥管理整体设计考虑，确保不同业务、不同级别的数据之间的密钥隔离。

3. 提升密码产品和系统的安全性、可靠性

选择密码产品和服务的时候要确保产品安全性要高，尽量选择二级、三级以上产品。同时对可靠性要考虑，包括预留设备的拓展也需要注意。在密码设计方面，系统设计者对关键节点密码资源部署需要冗余备份，还要确保密钥的传递、备份、恢复过程的安全性。

4. 开展密码产品和密码应用情况的监测预警

监测预警包含三个层面：首先，对密码产品硬件和相关中间件（如密钥管理系统的数据库）的运行状态（如CPU占用率、内存占用率等指标）进行采集汇总后统一监测；其次，利用密码服务平台的统一入口（如API网关上部署的探针）对各业务应用的密码使用情况（如调用密码服务类型、调用成功率、平均响应时间等指标）进行统一监测；最后，基于监测数据进行研判，结合应急预案对不同类型、不同级别的异常或事件实现分级预警。

5. 关注密码产品和供应链的安全

在遵循一般的网络安全产品供应安全的保护策略基础上，关基要确保底层应用的规范性，特别是防范底层基础软硬件产品的代码签名机制异常导致产品和服务功能故障或供应中断的风险，确保核心部件的代码签名验证机制和信任根源不依赖于国外厂商。