按照测评内容的不同,密码测评体系主要分为三个层次:密码算法测评、密码模块测评和密码系统评估。密码算法测评的主要对象是底层的密码算法,如分组算法、序列算法、公钥算法;实现了密码算法的密码模块是密码评测的第二层内容,密码模块有硬件实现、软件实现、或软硬件混合实现等方式;实现了多个密码模块的密码系统是评测体系的第三层内容。由于密码系统最终会由其他应用所使用,所以密码系统的评估对于信息安全、应用系统稳定也有重要的意义。
密码算法测评现有的技术存在一些问题:如检测方法过多地集中于黑盒式测试;缺乏有效的白盒测试方法;密码分析的自动化程度偏低,主要还是使用人工测试为主;检测方法存在着大量冗余检测,很多检测方法存在重叠,检测效率较低;算法评估缺乏科学有效的评估模型与机制,无法有效的评估密码算法是否合规是否安全。我们密码算法测评的研究也主要是研究这些问题的解决方法,主要的研究内容有:1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。2、检测方法相关性分析研究,研究各类现有检测方法,分析其关联性,提高检测效率。3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。4、评估模型、密码检测指标研究,形成密码评估检测标准,为密码算法的合理评估提供科学依据与量化指标。
关于密码模块的测评研究,我们主要集中在密码模块的自动化检测技术方面,主要包括密码模块实现正确性检验、实现安全性检验以及实
现效率检测等内容。密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提供科学的参考数据,从而提高对密码产品安全隐患的发现能力。
密码系统评估技术研究,可以使用一个金字塔模型来概括:(一)研究适合于密码系统的风险评估原理和模型;(二)研究能够反映密码系统安全性需求的指标体系,包括评估准则、风险指标体系的建立等;(三)研究密码系统的评估方法和密码系统安全风险管理;(四)研究密码系统评估的原型系统设计与实现等内容;最终达到金字塔的顶端:形成完善的密码系统评估准则;合理的密码系统评估流程;实用的密码系统评估方法。概括的讲就是“四个层次三个目标”。
密码测评的研究具有重要的现实意义:1、提高密码测评的基础理论水平:增强对密码测评基础理论与关键技术的研究支持。提高我国密码测评的基础理论水平,从根本上提升我国检测认证工作的先进性。2、增强对密码测评标准规范的研究与相关工作的制定:密码检测系列标准规范,它将为密码算法和密码产品测评的合理化、规范化提供重要的共性技术支撑。3、增强对密码测评自动化工具与平台的研究支持:研制密码测评工具平台将大大提高测评效率,增强检测健壮性,也将有效促进密码测评技术在信息安全领域的应用。4、增强密码测评人才队伍的建设:密码检测认证人员将成为信息安全从业人员的重要组成部分
商用密码应用与安全性评估 导语 密码是国之重器,是网络空间安全体系的基石,在网络安全防护中具有不可替代的重要作用。但密码技术只有得到合规、正确、有效应用,才能发挥安全支撑作用。而在实际应用中,密码技术可能被弃用、乱用、误用,导致应用系统的安全性得不到有效保障,甚至一些不合规、不安全的密码产品和实现还会遭受攻击者的入侵和破坏,造成比不用密码技术更广泛、更严重的安全问题。商用密码应用安全性评估(简称“密评”)正是为了避免或纠正密码应用过程中可能出现的安全性问题。密评是指在采用商用密码技术、产品和服务集成建设的网络与信息系统中,对其密码应用的合规性、正确性、有效性等进行评估。如同风险评估是信息安全管理过程的重要组成部分一样,密评也是密码应用管理过程的重要组成部分和不可缺失的环节。密评的重要性和必要性还在于:密评是商用密码检测认证体系建设的重要组成部分,是衡量商用密码应用是否合规、正确、有效的重要抓手。建立完善密评制度,开展密评工作,是贯彻落实密码法、维护网络空间安全、规范商用密码应用的客观要求,是深化商用密码“放管服”改革的重要手段,是商用密码管理的基础性和开创性工作,也是重要领域网络与信息系统运营者和主管部门必须承担的法定责任。 一、对商用密码的管理 商用密码产品是指采用商用密码技术实现加密解密或安全认证操作等功能的专用硬件、软件。
1、密码的分类 根据《中华人民共和国密码法》第6、7、8条:密码分为核心密码、普通密码、商用密码。 ?核心密码、普通密码: 用于保护国家秘密信息。 核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。 ?商用密码用于保护不属于国家秘密的信息。 由上述密码分类方式知,大众消费类产品所采用的密码,也属于商用密码。 2、旧条例对商用密码的专控管理 对于商用密码产品的管理,我印象非常深刻的是:1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理,规定“商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格”,“任何单位或个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品”。当初的这条规定,意味着所有的商用密码产品都要受到专门控制,包括大众消费类产品所采用的商用密码。比如说,某个人想使用自编的小加密程序,来加密自己的隐私数据,也需经过国家密码管理机构的认可。这在实际操作中完全是不可行的。对此,笔者一直非常困惑。 3、新密码法对商用密码的管理
信息安全等级保护商用密码测评机构审批 服务指南 一、适用范围 本指南适用于信息安全等级保护商用密码测评机构审批的申请和办理。 二、项目信息 项目名称:信息安全等级保护商用密码测评机构审批 子项名称:无 审批类别:非行政许可审批(正在履行新设行政许可程序) 项目编号:60012 三、办理依据 《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)第九条:“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。” 《信息安全等级保护管理办法》(公通字〔2007〕43号)第一条:“为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。” 第三十八条:“信息系统中的密码及密码设备的测评工
作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。” 《信息安全等级保护商用密码管理办法》(国密局发〔2007〕11号)第十一条:“信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。” 四、受理机构 国家密码管理局 五、决定机构 国家密码管理局 六、审批数量 无数量限制 七、办事条件 申请人应当具备以下条件: 1.独立法人资格的企事业单位; 2.产权关系明晰,资产总值不低于1000万元; 3.具备信息安全系统测评相关经验,具有密码相关工作经验的专业技术人员,人数不少于30人; 4.具备必要的系统测评环境、设备和设施; 5.具有完备的系统测评质量管理、安全保密管理和人员管理等规章制度; 6.申请单位的法人性质、产权构成以及组织结构能够保证其公正、独立地实施系统测评活动,不从事密码产品生产、
倪光南:航天科工“商密网”是实行自主可控替代的典型 【观察者网讯】日前,在乌镇举行的第四届世界互联网大会上,中国工程院院士倪光南做了《使中国“泛互联网之树”根深叶茂》的报告。倪光南介绍称,航天科工“商密网”是实行自主可控替代的典型,此外,航天昆仑数据库一体机等人们不熟悉的自主创新实例表明,在网信领域,整体上中国已进入第一梯队,正从跟跑向跟跑并跑发展。 倪光南表示,不久前,在“砥砺奋进的五年·大型成就展”上,“泛互联网之树”成果引人注目,可以说是“根深叶茂”。 “根深”指这棵树扎根扎实,基本具备了核心芯片、基础软件、关键设备等三个方面的支撑,沿着这个方向前进,我们的网信事业就可以不受制于人、持续健康发展。 “叶茂”指这棵树惠及到社会经济的每个角落,惠及到千家万户,惠及到每一个人。今天中国的“新四大发明”——高铁、网购、移动支付和共享单车,这后三项基本上都是互联网应
用推广的成果。 根深才能叶茂。为了使“泛互联网之树”能持续发展,取得更 大成果,我们要使它扎根更深、更牢,为此要坚持安全和发展同步推进,还要尽快弥补我国网信技术的短板。 倪光南称,网信领域的软硬件是形成技术体系的,单项软硬件不成气候,要使网信事业能持续健康发展,必须打造安全可控的信息技术体系。近年来,政府部门推行国产自主可控替代计划:在桌面领域要用国产操作系统+CPU构成的电脑及其应用去替代Wintel架构电脑及其应用。 这方面我们和世界网络强国——美国相比,还有很大的差距,例如我国网信技术和产品的对外技术依存度很高。而美国网信领域几乎不依赖于外国,几乎全用本国的软硬件产品和服务。 据工信部测评,目前国产软硬件基本上达到了可用阶段,与
按照测评内容的不同,密码测评体系主要分为三个层次:密码算法测评、密码模块测评和密码系统评估。密码算法测评的主要对象是底层的密码算法,如分组算法、序列算法、公钥算法;实现了密码算法的密码模块是密码评测的第二层内容,密码模块有硬件实现、软件实现、或软硬件混合实现等方式;实现了多个密码模块的密码系统是评测体系的第三层内容。由于密码系统最终会由其他应用所使用,所以密码系统的评估对于信息安全、应用系统稳定也有重要的意义。 密码算法测评现有的技术存在一些问题:如检测方法过多地集中于黑盒式测试;缺乏有效的白盒测试方法;密码分析的自动化程度偏低,主要还是使用人工测试为主;检测方法存在着大量冗余检测,很多检测方法存在重叠,检测效率较低;算法评估缺乏科学有效的评估模型与机制,无法有效的评估密码算法是否合规是否安全。我们密码算法测评的研究也主要是研究这些问题的解决方法,主要的研究内容有:1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。2、检测方法相关性分析研究,研究各类现有检测方法,分析其关联性,提高检测效率。3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。4、评估模型、密码检测指标研究,形成密码评估检测标准,为密码算法的合理评估提供科学依据与量化指标。 关于密码模块的测评研究,我们主要集中在密码模块的自动化检测技术方面,主要包括密码模块实现正确性检验、实现安全性检验以
及实现效率检测等内容。密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提供科学的参考数据,从而提高对密码产品安全隐患的发现能力。 密码系统评估技术研究,可以使用一个金字塔模型来概括:(一)研究适合于密码系统的风险评估原理和模型;(二)研究能够反映密码系统安全性需求的指标体系,包括评估准则、风险指标体系的建立等;(三)研究密码系统的评估方法和密码系统安全风险管理;(四)研究密码系统评估的原型系统设计与实现等内容;最终达到金字塔的顶端:形成完善的密码系统评估准则;合理的密码系统评估流程;实用的密码系统评估方法。概括的讲就是“四个层次三个目标”。 密码测评的研究具有重要的现实意义:1、提高密码测评的基础理论水平:增强对密码测评基础理论与关键技术的研究支持。提高我国密码测评的基础理论水平,从根本上提升我国检测认证工作的先进性。2、增强对密码测评标准规范的研究与相关工作的制定:密码检测系列标准规范,它将为密码算法和密码产品测评的合理化、规范化提供重要的共性技术支撑。3、增强对密码测评自动化工具与平台的研究支持:研制密码测评工具平台将大大提高测评效率,增强检测健壮性,也将有效促进密码测评技术在信息安全领域的应用。4、增强密码测评人才队伍的建设:密码检测认证人员将成为信息安全从业人员的重要组成部分
信息安全等级保护商用密码系统安全测评流程详解 信息安全等级保护商用密码系统安全测评流程图测评申请 现场检测 报告与结论
一、检测依据 《信息安全等级保护商用密码管理办法》 《信息安全等级保护商用密码技术实施要求》 《信息系统安全等级保护基本要求》 二、检测范围 信息安全等级为三级以上(含三级)信息系统中的商用密码系统。 三、检测程序 上海市信息安全测评认证中心(以下简称测评中心)的商用密码系统安全等级保护测评工作拟分以下三个阶段进行: 1.测评申请阶段 1)填写文档 申请单位可到上海市信息安全测评认证中心网站https://www.doczj.com/doc/dc6033497.html,下载《信息安全等级保护商用密码系统安全测评申请书》,并填写相关信息。 2)提交申请 申请单位: l须按照申报表的要求,据实填写(用Word录入排版)。 l提交申报表纸质版1份(加盖单位公章)、电子版本1份,并送交测评中心。 l须同时提交上海市密码管理局有关收到“信息安全等级保护商用密码产品备案表”的确认回执单。 3)受理申请 测评中心对申请单位提交的有关材料进行审核后,对符合测评条件的予以受理,并协商有关测评的费用,发放测评受理单或签订相关委托测评协议。 2.现场检测阶段 测评中心组成检测小组对现场商用密码信息系统进行调研,明确商用密码产
品实际使用情况和系统相关信息。 测评中心按照信息安全等级保护商用密码技术实施要求等技术规范要求以及实验室质量体系管理的要求,和申请单位及相关集成单位协商制订测试方案、测试计划,并实施测试任务。 3.报告与结论阶段 测评中心检测小组对现场采集的检测结果数据进行分析,形成有关商密系统的安全测评意见,并告知申请单位。 测评中心最后向申请单位出具安全测评报告,并将有关测评情况和安全测评结论报送上海市密码管理局。
一文读懂商用密码应用性评估流程 由海量数据、复杂结构、多样应用共同组成的“网络空间”,已经成为继陆地、海洋、天空、太空之后的“第五空间”,并且已经演变成各个国家争抢的新领域,以及未来军事较量的新战场。网络空间已经纳入国家安全战略范围。 由海量数据、复杂结构、多样应用共同组成的“网络空间”,已经成为继陆地、海洋、天空、太空之后的“第五空间”,并且已经演变成各个国家争抢的新领域,以及未来军事较量的新战场。网络空间已经纳入国家安全战略范围。 一、法律规定
《中华人民共和国密码法》第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。二、密评的意义 密评是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性、有效性进行评估的活动。 密评是衡量商用密码应用是否合规、正确、有效的重要手段,也是维护网络空间安全、规范商用密码应用的客观要求,同时也是加强事中和事后监管的方法,是网络信息系统运营者和主管部门必须承担的法律责任。 三、密评职责 1、网络信息系统责任单位 ?规划阶段依据商密技术标准制定合规的密码应用方案。 ?系统建设完成后,开展密评,合格后投入运行。 ?运行期间定期开展密评,不断整改优化。 ?发生安全事件时,开展密评,进行应急处置和安全方案措施。 ?完成密评工作后,要在30个工作日内到本地密码管理部门备案。 2、测评机构和测评人员 ?经过国家密码管理部门审核,取得资格,纳入测评机构目录。 ?按照法律法规和标准要求科学、公正的开展密评。
密码算法测评现有的技术存在一些问题:如检测方法过多地集中于黑盒式测试;缺乏有效的白盒测试方法;密码分析的自动化程度偏低,主要还是使用人工测试为主;检测方法存在着大量冗余检测,很多检测方法存在重叠,检测效率较低;算法评估缺乏科学有效的评估模型与机制,无法有效的评估密码算法是否合规是否安全。我们密码算法测评的研究也主要是研究这些问题的解决方法,主要的研究内容有:1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。2、检测方法相关性分析研究,研究各类现有检测方法,分析其关联性,提高检测效率。3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。4、评估模型、密码检测指标研究,形成密码评估检测标准,为密码算法的合理评估提供科学依据与量化指标。 关于密码模块的测评研究,我们主要集中在密码模块的自动化检测技术方面,主要包括密码模块实现正确性检验、实现安全性检验以及实现效率检测等内容。密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提供科学的参考数据,从而提高对密码产品安全隐患的发现能力。 密码系统评估技术研究,可以使用一个金字塔模型来概括:(一)研究适合于密码系统的风险评估原理和模型;(二)研究能够反映密码系统安全性需求的指标体系,包括评估准则、风险指标体系的建立等;(三)研究密码系统的评估方法和密码系统安全风险管理;(四)研究
密码系统评估的原型系统设计与实现等内容;最终达到金字塔的顶端:形成完善的密码系统评估准则;合理的密码系统评估流程;实用的密码系统评估方法。概括的讲就是“四个层次三个目标”。 密码测评的研究具有重要的现实意义:1、提高密码测评的基础理论水平:增强对密码测评基础理论与关键技术的研究支持。提高我国密码测评的基础理论水平,从根本上提升我国检测认证工作的先进性。2、增强对密码测评标准规范的研究与相关工作的制定:密码检测系列标准规范,它将为密码算法和密码产品测评的合理化、规范化提供重要的共性技术支撑。3、增强对密码测评自动化工具与平台的研究支持:研制密码测评工具平台将大大提高测评效率,增强检测健壮性,也将有效促进密码测评技术在信息安全领域的应用。4、增强密码测评人才队伍的建设:密码检测认证人员将成为信息安全从业人员的重要组成部分
网络和信息系统商用密码使用 情况调查表 填表单位(盖章): 填表人/电话: 填表时间: 江西省国家密码管理局制 2017年8月
填写说明 一、单位基本情况表和网络和信息系统商用密码使用情况汇总表 每个单位只须填写一张。 二、网络和信息系统商用密码使用情况表 (1)表中的“密码机类”主要包括以下产品:网络密码机、链路密码机、密码认证网关、存储加密机、磁带库/磁盘阵列存储加密机、密钥管理密码机、终端密钥分发器、量子密码机、服务器密码机、终端密码机、金融数据密码机、签名验证服务器、税控密码机、支付服务密码机、传真密码机、电话密码机等。 (2)表中的“密码系统类”主要包括以下系统:动态令牌认证系统、数字证书认证系统、证书认证密钥管理系统、IC卡密钥管理系统、身份认证系统、数据加密传输系统、密码综合服务系统、密码设备管理系统等。 (3)表中的“智能IC卡、智能密码钥匙、动态令牌、安全浏览器”主要包括国家密码行政主管部门审批的具有商用密码产品型号的智能IC卡、USBKEY智能密码钥匙、动态令牌、安全浏览器等产品。 (4)表中的“安全电子签章、时间戳、签名验证服务器”主要包括国家密码行政主管部门审批的具有商用密码产品型号的安全电子签章、时间戳产品、签名验证服务等产品。 (5)表中的“含VPN密码模块的防火墙”主要包括防火墙中含有VPN功能,如VPN防火墙或者计算机信息系统安全专用产品公安销售许可证。 (6)表中的“含密码模块安全网关”主要包括国家密码行政主管部门审批的具有商用密码产品型号的代理服务器、安全认证服务器。 (7)表中的“含密码模块安全数据库”主要包括国家密码行政主管部门审批的商用密码产品型号的数据库。 (8)表中的“含密码模块安全操作系统”、“含密码模块网络安全存储”、“含密码模块安全隔离与信息交换”主要包括云操作系统、麒麟安全操作系统、深度操作系统、网络隔离设备等。 (9)表中的“含密码模块网络通信”主要包括以下产品:无线接入点、无线上网卡、加密电话机、加密传真机、加密手机、加密VOIP终端等。 (10)表中的“含密码模块移动设备”主要包括平板、智能手机终端等 (11)表中第二、三部分“密码设备使用情况”的“名称及型号”栏,应填写产品名称及国家密码行政主管部门审批的商用密码产品型号(已取得国家密码管理局型号的商用密码产品可通过国家商用密码管理委员会办公室网站产品信息栏目查询,网址:https://www.doczj.com/doc/dc6033497.html,),若产品无商用密码产品型号,可填写产品相关资质证书上标注的型号或生产厂家自定义的型号。有计算机信息系统安全专用产品销售许可证的产品请到计算机信息系统安全专用产品销售许可证服务平台中(https://www.doczj.com/doc/dc6033497.html,/ispl/)许可证查询模块查询。 (12)每个系统应填写1张表;表中的设备栏目填写不下时,可自行附页。