news!商用密码应用安全性评估专家名单
news!密评应知必会
中海闻达研究院
密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,是国家安 全的重要战略资源,而当前商用密码应用中仍然存在一些突出问题,主要表现 为:一是应用不广泛;二是应用不规范;三是密码应用不安全。2018年商用密 码应用安全性评估联合委员会对一万余个等保三级及以上的信息系统进行普查 结果显示,超过75%的系统没有使用密码。普查中对第一批118个重要领域的信 息系统进行安全性测评发现,不符合规范的比例达到85%,与此同时,目前仍大 量存在还使用被证明不安全的加密算法(如RSA1024、MD5)的情况。
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键 信息基础设施,其运营者应当使用商用密码进行保护,开展商用密码应用安全性评估。
第三十一条 建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建 立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接, 强化商用密码从业单位自律和社会监督。
《商用密码应用安全性评估管理办法(试行)》第三条、第二十条涉及国家安全 和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简 称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
基础信息网络:电信网、广播电视网、互联网。重要信息系统:能源、教育、公安、 测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重 要信息系统。重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气 管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。面向社会 服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面 向社会服务的信息系统。
《密码法》第三十七条第一款规定:关键信息基础设施的运营者违反本法第二十七条 第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性 评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等 后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十 万元以下罚款。 《国家政务信息化项目建设管理办法》第二十八条第三款规定: 对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不 安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
应依据国家密码管理局有关标准和信息系统的具体特点,利用密码分析技术和经国家 密码管理相关部门认证通过的测评工具开展具体的密码应用安全评估工作。
相关责任单位取得报告后,被测单位自行上报主管部门及所在地区(部门)密码管理 部门备案,测评机构上报国密局备案;等保三级及以上信息系统,评估报告还需由被 测单位上报至所在地区公安部门备案。
(部分信息来源网络)
新实施的网络信息安全规范和标准中,对密码技术应用的要求
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安 全的基础性核心技术,是信息保护和网络信任体系建设的基础,是保障网 络空间安全的关键技术,2019年10月26日由人大表决通过的《中华人民共 和国密码法》,以法律的形式规范了密码应用和管理,本次新实施的规范 和标准,在与密码相关的环节上遵从《中华人民共和国密码法》及其他国 家密码管理的相关法规、标准,做了相应的要求。北京中海闻达信息技术 有限公司作为专注于密码安全性评估技术的企业,从密码应用与测评的角 度对新实施的规范和标准中与密码相关的部分做了相应的解读。
该标准是等级保护2.0系列标准中的重要标准之一,代替十年前发布的 GB/T25058-2010,规定了等级保护对象安全等级保护工作实施的过程, 适用于指导等级保护对象安全等级保护工作的实施。标准以下章节对密 码技术、产品应用做了要求:
解读:
《GB/T 25058-2019 网络安全等级保护实施指南》第7章的产品与服务 部分对密码产品的使用做了要求,此处要求并没有指明针对哪个技术、按 照哪个标准执行,而是泛指:“应当按照国家密码管理的相关规定进行选择 和使用”,这就代表在密码产品与服务的设计、选择上,需要完全按照国家 密码管理的规定执行。那么国家密码管理有哪些规定呢,国家密码管理规定 包含法律、法规、标准等几大类,其中:
密码相关法律包含:《中华人民共和国密码法》、《中华人民共 和国电子签名法》。
密码法规、条例等规范性文件包含:《商用密码管理条例》、《商用密码科研 管理规定》、《商用密码产品生产管理规定》、《商用密码产品销售管理 规定》、《商用密码产品使用管理规定》、《境外组织和个人在华使用密 码产品管理办法》、《电子认证服务密码管理办法》、《信息安全等级保 护商用密码管理办法》、《含有密码技术的信息产品政府采购规定》以及 《商用密码行政处罚实施办法(试行)》等等。
密码相关标准规范指的是全国信息安全标准化技术委员会、密码 行业标准化技术委员会组织编写、发布的标准文件,密码相关标准规范较多,按照包含以下几类:
1. 密码技术标准。此类标准指的是各类的密码技术标准,也是我们最常见
的标准,包含:
a) 密码基础标准,这类标准对密码术语、密码算法进行规范,比如:
《GM/T 0001祖冲之序列密码算法》、《GM/T 0002 SM4分组密码算
法》、《GM/T 0003 SM2椭圆曲线公钥密码算法》、《GB/T 32905-2016 SM3
密码杂凑算法》等;
b) 密码设备标准,这类标准对密码设备进行规范,比如:《GM/T 0016 智
能密码钥匙密码应用接口规范》、《GM/T 0023 IPSec VPN 网关产品规范》、
《GM/T 0030 服务器密码机技术规范》等;
c) 密码服务标准;这类标准对密码服务接口进行规范,比如:《GM/T 0019 通
用密码服务接口规范》、《GM/T 0020 证书应用综合服务接口规范》;
d) 密码基础设施标准,这类标准对密码基础设施进行规范,比如:《GM/T 0014 数
字证书认证系统密码协议规范》、《GM/T 0034 基于SM2密码算法的证书
认证系统密码及其相关安全技术规范》等;
2. 密码管理标准。这类标准对密码设备和系统的管理进行规范,比如: 《GM/T0050 密码设备管理 设备管理技术规范》、《GM/T0053 密码设 备管理 远程监控和合规性检验接口数据规范》等;
3. 应用系统的密码应用标准,这类标准对不同安全保护等级的应用系统 中的密码技术、密钥管理、安全管理进行规范,比如:《GM/T 0054-2018 信息系统密码应用基本要求》、《GM/T0073-2019 手机银行信息系统密 码应用技术要求》、《银行卡信息系统密码应用技术要求》等。应用系统 的密码应用安全性评估也依照此类标准进行;
4. 密码检测标准。这类标准对密码产品和系统检测中所应依据的 准则进行规范,比如:《GM/T 0005 随机性检测规范》、《GM/T 0039 密码模 块安全检测要求》、《GM/T 0048 智能密码钥匙密码检测规范》、《GM/T 0037 证书 认证系统检测规范》
解读:
《GB/T 25058-2019 网络安全等级保护实施指南》第8章的安全运行与维护 部分专门点明了对运行维护期间对密码、密钥的管理,在日常运维工作中,我 们往往把密码产品当做一般信息安全产品一样对待,比较注重产品的使用,忽 略了密钥管理,密钥是控制密码算法运算的关键信息或参数,一旦密钥泄露, 整个密码体系的整个生命周期(现在、未来)安全都无法得到保证(而相反, 密码产品技术、密码算法泄露对密码体系的安全性并无多大影响),另一方面, 密钥的泄露往往是不可知的,这就使得一次密钥管理问题,带来持续的应用系 统安全漏洞,因此,密钥管理是在安全运维阶段最需要重视的工作,也是密码测评中的主要检查点。
密钥管理是根据安全策略,对密钥的产生、分发、存储、使用、更新、归档、 撤销、备份、恢复和销毁等密钥全生命周期的管理。密码测评工作中的密钥管 理测评部分,要求不同安全等级的信息系统的密钥管理具有不同的安全保护能 力,满足相应安全等级的保护要求。
即使是最低级别的信息系统,只要应用了密码技术,就需要做密钥管理(等级 保护第一级信息系统对密钥管理就提出了要求:至少应包括密钥的生成、存储 和使用等三个过程),这是运营者往往不重视的,在此重点提出,其他更高级 信息系统的密钥管理要求在此不做赘述,请参考相应标准。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
随着技术发展,操作系统的内涵已经从传统的计算机操作系统,扩展到智能终端 操作系统、云操作系统、嵌入式操作系统等多种形态。本标准将操作系统安全技 术要求分为五个等级,与等级保护的五个等级并非一一对应,
由于操作系统在信息系统中有着十分重要的地位和作用,所以对信息系统的攻击 和威胁(包括人为的和自然的),操作系统往往成为主要的目标。也正因为如此, 操作系统的安全就变得十分重要。操作系统安全既要考虑操作系统的安全运行, 也要考虑对操作系统中资源的保护(主要是以文件形式表示的数据信息资源的保 护)。由于攻击和威胁既可能是针对系统运行的,也可能是针对信息的保密性 (主要依赖密码技术实现)、完整性(主要依赖密码技术实现)和可用性的,所 以对操作系统的安全保护的功能要求,需要从操作系统的安全运行和操作系统数 据的安全保护两方面综合进行考虑。
标准以下章节对密码技术、产品应用做了要求:
解读:
此处并不强制使用密码技术保证口令的不可见,特别是征求意见稿中本来标明了 “使用加密方法”,但是正式发布稿去掉了这个要求,从这个角度也能看出,正式 标准是允许使用非密码技术实现的,但是,实现“口令的不可见”的最简单办法就 是使用杂凑密码算法,如果不使用密码技术,反倒很难实现,并且很容易出现安 全漏洞。实际工作中,往往是使用了杂凑密码算法实现,但是想避开密码检查, 于是声称并未使用密码算法,这在测评中是可以测试到的。
解读:
本段指出的密码算法,已经包括了所有现代密码算法种类,正确性和符合性分别指:
正确性是指密码算法、密码协议、密钥管理、密码产品和服务使用正确,即系统
中釆用的标准密码算法、协议和密钥管理机制按照相应的密码国家和行业标准进行
正确的设计和实现。
符合性是指密码算法、密码协议、密钥管理、密码产品和服务使用合规,即按照
密码法规和行业相关的密码使用要求,使用符合国家密码法规和标准规定的商用
密码算法,使用经过国家密码管理局审批的密码产品或服务。
<从以上说明也看到,只要使用密码算法,就不是简单的一段密码算法函数的应用,而是全部规范的满足。具体的规范要参照相应的密码标准。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
随着技术发展,操作系统的内涵已经从传统的计算机操作系统,扩展到智能终端 操作系统、云操作系统、嵌入式操作系统等多种形态。本标准将操作系统安全技 术要求分为五个等级,与等级保护的五个等级并非一一对应,
由于操作系统在信息系统中有着十分重要的地位和作用,所以对信息系统的攻击 和威胁(包括人为的和自然的),操作系统往往成为主要的目标。也正因为如此, 操作系统的安全就变得十分重要。操作系统安全既要考虑操作系统的安全运行, 也要考虑对操作系统中资源的保护(主要是以文件形式表示的数据信息资源的保 护)。由于攻击和威胁既可能是针对系统运行的,也可能是针对信息的保密性 (主要依赖密码技术实现)、完整性(主要依赖密码技术实现)和可用性的,所 以对操作系统的安全保护的功能要求,需要从操作系统的安全运行和操作系统数 据的安全保护两方面综合进行考虑。
标准以下章节对密码技术、产品应用做了要求:
解读:
此处在密码技术应用方面与第一级差别不大,参考第一级。
解读:
此处需要使用密码技术实现加密,文件加密需要使用对称密码算法。密钥明确要 求采用硬件形式,而硬件形式保护密钥的密码设备必须具备《商用密码产品型号证 书》,对密钥的保护也需要注意要有密钥管理流程。
解读:
此处对通信环节做了要求,并且同时提出要进行数据加密和完整性保护,代表同 时需要使用对称密码算法和杂凑密码算法。一般来说,最简单的实现方式是通过经 过审批的密码模块、密码产品提供的套件同时实现此两类安全功能。
解读:
此处对用户登录访问控制做了要求,并未要求一定使用密码技术,不过“鉴别机 制不准许被旁路”的最简单实现办法就是通过密码技术实现。
解读:
此处要求与第一级并无不同,参考第一级。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
随着技术发展,操作系统的内涵已经从传统的计算机操作系统,扩展到智能终端 操作系统、云操作系统、嵌入式操作系统等多种形态。本标准将操作系统安全技 术要求分为五个等级,与等级保护的五个等级并非一一对应,
由于操作系统在信息系统中有着十分重要的地位和作用,所以对信息系统的攻击 和威胁(包括人为的和自然的),操作系统往往成为主要的目标。也正因为如此, 操作系统的安全就变得十分重要。操作系统安全既要考虑操作系统的安全运行, 也要考虑对操作系统中资源的保护(主要是以文件形式表示的数据信息资源的保 护)。由于攻击和威胁既可能是针对系统运行的,也可能是针对信息的保密性 (主要依赖密码技术实现)、完整性(主要依赖密码技术实现)和可用性的,所 以对操作系统的安全保护的功能要求,需要从操作系统的安全运行和操作系统数 据的安全保护两方面综合进行考虑。
标准以下章节对密码技术、产品应用做了要求:
解读:
此处明确提出了数字证书鉴别方式,但是并没有强调必须用,因此在不用时,在 密码技术应用方面与第二级差别不大,参考第二级。如果使用了数字证书鉴别方式, 需要符合国家密码相关要求。系统密码测评时,需要检测数字证书与身份鉴别方面相关检测项。
解读:
此处在功能方面增加了透明加解密的功能,其他部分在密码技术应用方面与第二级差别不大,参考第二级。
解读:
此处增加了可信接入认证要求,可信接入认证必须通过密码技术实现。在密码安 全性评估时,需要对通信环节进行的可信接入进行测试。其他部分在密码技术应用方面与第二级无区别。
解读:
此处虽然描述与第二级没有区别,但是结合第三级的其他要求,必须使用密码技 术实现安全的鉴别机制。系统密码测评时,需要相应检测。
解读:
第二级6.2.2.4可信度量章节也做了完整性要求,但是要求的比较模糊,并未严 格要求必须通过密码技术实现三条完整性要求,此处明确了必须使用可信技术, 并支持硬件可信芯片作为信任根,也代表前三条的完整性要求也需要使用密码技 术实现。这里做个提醒,第二级6.2.2.4可信度量章节的第三条描述是:“c) 应 对完整性度量基准值进行安全存储,防止其被篡改”,而第三级6.3.2.4可信度量 章节的第三条描述是:“c) 应对完整性度量基准值进行可信存储,防止其被篡改”, 这里已经有了区别,第三级明确要求进行可信存储,在实现与测试时需要注意此点。
解读:
此处要求与第二级并无不同,参考第二级。需要注意一点,到了第三级,系统、数 据、文件的真实性、机密性、完整性基本需要靠密码技术来保证,具体实现与测试时 与密码相关的工作远大于第二级系统。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
随着技术发展,操作系统的内涵已经从传统的计算机操作系统,扩展到智能终端 操作系统、云操作系统、嵌入式操作系统等多种形态。本标准将操作系统安全技 术要求分为五个等级,与等级保护的五个等级并非一一对应,
由于操作系统在信息系统中有着十分重要的地位和作用,所以对信息系统的攻击 和威胁(包括人为的和自然的),操作系统往往成为主要的目标。也正因为如此, 操作系统的安全就变得十分重要。操作系统安全既要考虑操作系统的安全运行, 也要考虑对操作系统中资源的保护(主要是以文件形式表示的数据信息资源的保 护)。由于攻击和威胁既可能是针对系统运行的,也可能是针对信息的保密性 (主要依赖密码技术实现)、完整性(主要依赖密码技术实现)和可用性的,所 以对操作系统的安全保护的功能要求,需要从操作系统的安全运行和操作系统数 据的安全保护两方面综合进行考虑。
标准以下章节对密码技术、产品应用做了要求:
解读:
此处貌似与第三级差别不大,只是去掉了“基于令牌的动态口令鉴别”,可是实际 差别很大,去掉了“基于令牌的动态口令鉴别”,代表其安全性无法达到第四级要求。 第四级的身份鉴别部分必须使用密码技术。
解读:
此处明确了基于硬件信任根的可信存储,这代表要符合可信计算相关要求,密码 产品、服务需要使用获得密码管理部门认可的产品,在检测时,需要对算法、应用、 密钥管理等一系列密码测评相关项进行测评。其他部分在密码技术应用方面与第三级差别不大,参考第三级。
解读:
此段是第四级新加的内容,要求在用户登录时建立安全通信路径,之所以不写信 道,是兼顾本地用户。在此处明确要求应用可信标识,也即必须使用密码技术实现 可信路径。在系统密码测评中,主要关注可信标识的合规性,有能力时再验证其正确性、有效性。
解读:
此段是第四级新加的内容,要求在与其他IT设备通信时建立安全通信信道。在此 处明确要求应用可信标识,也即必须使用密码技术实现可信路径,也只有密码技术 能同时确保信道的独立、真实性、保密性、完整性等多个属性。在系统密码测评中, 主要关注可信标识的合规性与信道的密码合规性,有能力时再验证其正确性、有效性。
解读:
此处增加了对进程的可信度量要求,进一步提高了基于密码的安全性。在密码安 全性评估时,要增加对进程的密码检测。其他部分在密码技术应用方面与第三级无区别。
解读:
此处在密码用方面与第三级差距不大,参考第三级实现。
解读:
此处与第三级要求一致,请参考第三级相关解读。
解读:
此处增加了可信路径、可信信道的安全策略配置要求,这也就需要“安全策略配 置”的实现至少要通过密码技术实现,保证其完整性。系统密码测评时,需要对完整性进行检测。
解读:
此处要求与第三级并无不同,参考第三级。需要注意一点,到了第四级,系统、 数据、文件的真实性、机密性、完整性必然需要靠密码技术来保证,而且有可信 方面更严格的要求,具体实现与测试时与密码相关的工作多过第三级系统。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
随着技术发展,操作系统的内涵已经从传统的计算机操作系统,扩展到智能终端 操作系统、云操作系统、嵌入式操作系统等多种形态。本标准将操作系统安全技 术要求分为五个等级,与等级保护的五个等级并非一一对应,
由于操作系统在信息系统中有着十分重要的地位和作用,所以对信息系统的攻击 和威胁(包括人为的和自然的),操作系统往往成为主要的目标。也正因为如此, 操作系统的安全就变得十分重要。操作系统安全既要考虑操作系统的安全运行, 也要考虑对操作系统中资源的保护(主要是以文件形式表示的数据信息资源的保 护)。由于攻击和威胁既可能是针对系统运行的,也可能是针对信息的保密性 (主要依赖密码技术实现)、完整性(主要依赖密码技术实现)和可用性的,所 以对操作系统的安全保护的功能要求,需要从操作系统的安全运行和操作系统数 据的安全保护两方面综合进行考虑。
标准以下章节对密码技术、产品应用做了要求:
解读:
此处增加一个必选项:以协议形式化分析为基础的鉴别,“以协议形式化分析为 基础的鉴别”需要利用密码技术实现,也即代表鉴别协议也需要使用密码技术,在 系统密码测评时,需要检测相应环节。
解读:
此条貌似与第四级相比只增加了“安全策略模型具有相应的形式化证明”的要求, 而实际上,一旦提出此要求,代表所有其他相关项都需要使用密码技术实现,而 第四级对此并没有严格要求。既然都要求使用密码技术实现,代表系统密码测评 时需要做相关的一系列密码测评工作。
解读:
此处与第四级要求一致,参考第四级。
解读:
此处与第四级要求一致,参考第四级。
解读:
此处与第四级要求一致,参考第四级。
解读:
此处与第四级要求一致,参考第四级。
解读:
此处与第四级要求一致,参考第四级。
解读:
此处与第四级要求一致,参考第四级。
解读:
此处与第四级要求一致,参考第四级。
解读:
此处要求的实现,都需要应用密码技术。在测评中需要对相应的密码应用内容做测评。
解读:
此处要求与第四级并无不同,参考第四级。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
解读:
《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》第5章概述部 分对密码技术应用的使用做了要求,“机密性、完整性、真实性、不可否认性”正 是密码技术实现的4大信息安全属性。此处要求并没有指明针对哪类密码技术、按 照哪个标准执行,而是泛指:“应遵循密码相关国家标准和行业标准”,这就代表 在密码产品与服务的设计、选择上,需要完全按照国家密码管理的规定执行,国 家密码管理的规定已经在第一节做了描述,此处不再赘述。
《GB/T 18336.2-2015 信息技术 安全技术 信息技术安全评估准则 第2部分: 安全功能组件》中也对密码技术的应用需求做了描述:
TSF可以利用密码功能来满足几个高级别安全 目的。这些安全目的包括(但不限于):标识和鉴别、抗抵赖、可信路径、可信 信道和数据分离。在TOE实现密码功能时使用本类,这种密码功能的实现形式可以 是硬件、固件和(/或)软件。
FCS“密码支持类”由两个族组成:FCS_CKM“密 钥管理”和FCS_COP“密码运算”。 密钥管理(FCS_CKM)族解决密钥管理方面的 问题,而密码运算(FCS_COP)族关注这些密钥的运算使用情况。
这里也补充一点:不是一定要用密码技术解决“机密性、完整性”,标准中几乎每 次提及“保密性、完整性”都点明可以使用非密码技术实现机密性和完整性。因此, 按我们的理解,由使用者自己根据自己的需求把控是否使用密码技术。密码技术 从安全角度来说是最优选择。
解读:
此处与密码应用技术点没有直接关系,但是在此要澄清一点:本标准在此明确了 评估对象包含ICS控制类产品和ICS网络安全类产品两类,在实际评估中,有些人 认为“只需要评估ICS控制类产品,而ICS网络安全类产品已经有相应的资质,无 需评估。”,这是错误的,由于种种原因,有些ICS网络安全类产品在工业控制系 统中部署实施后,其密码技术应用并不完全符合国家密码管理的规定,这就需要 建设、运营、测评各方在系统测评中找到问题,敦促厂商、集成商、最终用户及 时整改,实现预期的信息安全。
| 安全功能类 | 组件标识符 | 组件名称 |
| …… | …… | …… |
| FDP类:用户数据保护 | ||
| FDP_IDP_EXT.1 | 输入数据验证 | |
| FDP_IDP_EXT.2 | 输入数据双重确认 | |
| FDP_SDI_EXT.1 | 软件/固件和信息完整性 | |
| FDP_SDC_EXT.1 | 存储数据保密性 | |
| FDP_DTI_EXT.1 | TOE与外部实体传送数据完整性 | |
| FDP_DTI_EXT.2 | TOE内部传送数据完整性 | |
| FDP_DTC_EXT.1 | TOE与外部实体传送数据保密性 | |
| FDP_DTC_EXT.2 | TOE内部传送数据保密性 | |
| FIA类:标识和鉴别 | ||
| FIA_UAU_EXT.1 | 外部实体鉴别 | |
| FIA_UID_EXT.3 | 唯一性标识 | |
| …… | …… | …… |
解读:
在数据保护、标识和鉴别部分可能需要使用密码技术。
解读:
本条要求对目标“存储数据、软件/固件、可执行代码、关键配置数据等”在以下 阶段“初始启动阶段、运行阶段或更新阶段”都需要做完整性保护,并且要做相应的记录。
提醒一点,并不要求用密码技术就全用,可以部分使用部分不使用。检查、测评时,也需要根据具体的设计方案来检查。
解读:
本条要求对目标“鉴别数据、密钥、证书、关键配置等敏感数据”做保密性保护, 并专门点出可以不用密码技术,而可以选择使用非明文技术实现。这里要明确一 点,对于一般关键数据可以不用密码技术存储,但是密钥、证书等本身就是采用 密码技术的密码应用,其必须符合密码标准。
解读:
本条要求对 “TOE与外部实体传送数据”、“TOE应在与外部实体之间发送及接 收数据”两个阶段提供数据完整性保护的能力。并专门点出可以不用密码技术, 而可以选择使用采用校验码技术实现。
如果采用密码技术,其必须符合密码标准。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
解读:
本条要求在 “TOE与外部实体传送数据”、“TOE应在与外部实体之间发送及接收 数据”两个阶段,对“敏感数据(如鉴别数据、密钥、安全配置等)和系统重要的 应用通信数据(如控制参数等)”提供数据保密性保护的能力。
此处有两个特点:
1:并未像其他部分那样,明确指出了一种可选择的非密码技术。这也是可以理解
的:数据传输环节相对于数据存储环节更简单、一致、实时性要求低,一套加密机
制可以应用在绝大多数数据传输环节,这时采用密码技术并不比采用非密码技术更麻烦。
2:可以采用应用层数据加密和信道加密两种方式。如果是改造项目,信道加密实现起来更简单。
如果采用密码技术,其必须符合密码标准。
解读:
本部分我们将用户标识、用户鉴别放在一起,其有一定的相关性,如果用户标识 使用密码技术实现,用户鉴别也需要应用密码技术。
解读:
这里的密码指的不是密码技术,而是口令。
8.1.7 加密解读:
泛指:“应遵循密码相关国家标准和行业标准”,这就代表在密码产品与服务的 设计、选择上,需要完全按照国家密码管理的规定执行,国家密码管理的规定已 经在第一节做了描述,此处不再赘述。
在“第八章工业控制系统产品安全要求”中,在后面章节多处都提出了保密性、 完整性、真实性的要求,审计也是一种抗抵赖、不可否认性要求,都可以通过 密码技术实现,具体选择,要看具体需求,此处不再赘述。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
解读:
此处明确写了,在第1章增加了关于密码算法的约定,可有趣的是,本标准第1章 并没有密码方面的内容,我查询了本标准正式发布前的草案文件,发现里面第1章 比正式发布版多出一段话:“本标准凡涉及密码算法的相关内容,按国家有关法规 实施;凡涉及到采用密码技术解决保密性、完整性、真实性、不可否认性需求的须 遵循密码相关国家标准和行业标准。”可见,标准前言部分的这句话是针对这段密 码算法的约定的,在正式版最后发布前被删除了(征求意见稿里还有),但是忘记 把前言对应的这句话也一并删除。
无论是什么原因在第1章删除了约定,由于《密码法》已经正式发布,按照密码 法要求,凡涉及到密码技术应用的须遵循密码相关国家标准和行业标准,所以交 换机的安全实现中,使用密码技术的部分也必须执行国家密码标准,密码测评检 查时,也需要测评相关项。
解读:
此处将密码数据单独作为一类提出,密码数据的管理、使用需要对其明确处理。 在密码应用检查时,需要了解有哪些密码数据,具体是如何处理,有能力要验证。
解读:
此处明确,交换机应支持包含客户注册、密钥管理和信道隔离的密码应用,在“注” 中做了提醒:密码算法可以不是交换机自身实现,可以通过第三方实现。在应用和 密码检查中,要先确定密码机制实现是由交换机还是第三方完成,之后再做进一步检查测评。
另外做提醒,本标准要求的是达到EAL2和EAL3级的网络交换机。
解读:
完整性和保密性,可以是通过密码技术实现的,不过也可以不通过密码技术实现, 当然密码技术是安全维度上的最优选择。如果确认使用了密码技术,才需要进一步 做相应的检查测评,当然某些安全目的必须通过密码技术才能实现,如果没有使用, 直接判断不合规。
解读:
完整性和保密性,可以是通过密码技术实现的,不过也可以不通过密码技术实现, 等保三级及以上系统要求必须通过密码技术实现,也即代表,如果此交换机在等保 三级系统应用,应该配置此网络交换机和网络管理站之间传输信息的完整性和保密 性通过密码技术实现。密码测评检查时也需要确认并测评。
解读:
完整性和保密性,可以是通过密码技术实现的,不过也可以不通过密码技术实现, 当然密码技术是安全维度上的最优选择。如果确认使用了密码技术,才需要进一步 做相应的检查测评,当然某些安全目的必须通过密码技术才能实现,如果没有使用, 直接判断不合规。
解读:
此处明确,依赖关系:FCS_COP.1 密码运算,密码运算在7.2.3.1中做了描述, 在描述范围内都属于密码技术范畴,即代表都需要利用密码技术实现。
此处应注意,对“管理员口令”与“加解密密钥”的安全措施要求是不同的,虽然此处描述将其并列提出。
解读:
国家、行业或组织主管部门认可的密码相关标准,都属于国家密码管理部门管理 范畴,依赖此处描述的条目都需要满足相关密码规定。
再次提醒,本标准是对EAL2\EAL3级网络交换机的安全要求。
解读:
密钥生成是密钥管理的一个环节。应用、检查时,需要参考密钥管理规定。
若密钥由外部环境生成,密钥生成可以不在网络交换机的密码应用检查范围内,但是需要检查生成密钥的外部环境。
解读:
密钥销毁是密钥管理的一个环节。应用、检查时,需要参考密钥管理规定。
解读:
此处的“密码”指的应该是口令。
解读:
此处要求:“网络交换机应能够支持加密装置加解密能力或接口支持能力”,此处 的加密装置指的就是密码产品或者密码服务,在应用或者检查测评时,已符合本标 准的设备必然具备支持密码应用的能力,不能以不支持为理由。如果已经应用密码 技术,应该做相应的密码检查。
解读:
此处明确,交换机应支持包含客户注册、密钥管理和信道隔离的密码应用,在“注” 中做了提醒:密码算法可以不是交换机自身实现,可以通过第三方实现。在应用 和密码检查中,要先确定密码机制实现是由交换机还是第三方完成,之后再做进 一步检查测评。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
这一段时间介绍了密码应用相关要求及相关标准,有些朋友反应:涉及标准太多, 有些乱。在本节,将密码标准重新整理,以密码技术标准体系方面的形式全面介绍 一下密码标准,其实这就是《GM/Y 5001-2019密码标准应用指南》的内容。本文 基本为标准的摘抄与简单解释,也就不分引文与解读了。
密码标准体系框架(见图1)可以从三个维度划分,技术维度、管理维度、应用 维度。管理维度、应用维度看图即可了解,本文介绍技术维度。密码标准体系技 术维度可以分为以下7类:密码管理类、密码检测类、密码应用类、应用支撑类、 密码产品类、基础设施类、密码基础类。
无以上七类可以进一步分为若干之类,形成密码标准的技术体系框架,见图2。
<
1. 密码基础类标准:对通用密码技术进行规范,包括术语、标识、算法、算法 设计与应用、密码协议;
2. 基础设施类标准:针对密码基础设施进行规范,比如:证书认证系统。目前 颁布的标准只涉及公钥基础设施;
3. 密码产品类标准:指的是各类密码产品应该遵循的技术标准。新接触密码行业 的朋友比较喜欢从这个角度了解密码。密码产品主要包括:智能密码钥匙,签名验 签服务器,VPN,安全认证网关,密码机。
4. 应用支撑类标准:针对密码报文、交互流程、接口调用等进行规范。
5. 密码应用类标准:包括应用要求、典型应用、和密码服务三类。《GM/T 0054-2018 信息系统密码应用基本要求》 即属于应用要求类标准。典型的密码应用如:动态口令、电子签章、射频识别系统 (各种非接触设备)、电子文件、电子保单、远程移动支付、手机银行、网上银行、 银行信贷系统、银行卡系统、银行核心系统等。
6. 密码检测类标准:针对前面几项的技术要求出台的检测标准。如:随机数、 安全协议、密码产品功能和安全性等方面的检测规范。密码检测类标准中尚缺一 子类标准:应用系统测评,当前应用系统测评主要参考《GM/T 0054-2018 信息 系统密码应用基本要求》,做差距分析。
7. 密码管理类标准:主要包括国家密码管理部门在密码标准、密码算法、密码 产业、密码服务、密码应用、密码监查、密码测评等方面的管理规程和实施指南。
● 《GM/T 0054-2018 信息系统密码应用基本要求》,应用系统密码方案设计、建设、密评的主要指导标准。
● 《GB/T 37092-2018 信息安全技术 密码模块安全要求》,密码使用方在基 于GM/T0054标准进行应用系统密码方案设计、建设时,应参考该标准确定其应用 场景下应选择何种安全等级的密码模块产品进行安全防护。
● 《GM/T 0073-2019 手机银行信息系统密码应用技术要求》,基于GM/T0054 标准及其他银行业标准制定,实际应用中要与GM/T0054配套使用。
● 《GM/T 0074-2019 网上银行密码应用技术要求》,实际应用中要与GM/T0054配套使用。
● 《GM/T 0075-2019 银行信贷信息系统密码应用技术要求》,基于GM/T0054 标准及其他银行业标准制定,实际应用中要与GM/T0054配套使用。
● 《GM/T 0076-2019 银行卡信息系统密码应用技术要求》,基于GM/T0054 标准及其他银行业标准制定,实际应用中要与GM/T0054配套使用。
● 《GM/T 0077-2019 银行核心信息系统密码应用技术要求》,基于GM/T0054 标准及其他银行业标准制定,实际应用中要与GM/T0054配套使用。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
解读:
此处提的“密码”即密码法中的密码,按照密码法要求,凡涉及到密码技术应用的 须遵循密码相关国家标准和行业标准,所以符合本标准的密码应用,使用密码技术 的部分也必须执行国家密码标准,密码测评检查时,也需要测评相关项。
此处提到的“国家标准规定的算法”,按照现行标准,也即SM系列算法。
密钥生成部分首先关注密钥生成器,如果外部环境(比如CA系统生成),需要检 查生成密钥的外部密码环境是否符合国家标准,如果是数据库管理系统自身生成 密钥,那么要检查以下五项,具体不赘述。
数据库管理系统自身生成密钥也需要通过密钥生成器生成,一般密钥生成器是硬 件,但是也可以是软件,要根据具体要求选择。
按照密码相关国家标准要求,密码设备必须通过国家授权的商用密码检测、认证 机构检测认证,数据库管理系统的密钥生成(包括密钥销毁、密码运算)组件应该 选择获得“国家授权的商用密码检测、认证机构检测认证”的独立密码产品(可能是 软件)实现,不应该自己研发,如果自己研发,代表“数据库管理系统”也算密码产 品。在实际检查中,如果由外部环境负责生成密钥,首先检查生成密钥的外部环境 是否通过检测认证,如果“数据库管理系统”自身生成密钥,首先检查生成密钥的模 块是否通过检测认证,通过没有通过,无需进一步检测,即可认为其不符合国家密 码相关要求,如果符合,再做进一步检测,当然,有时密码测评目标不仅仅是合规 性,还有其他目的,那么即使不合规也要做进一步技术检测。
这里提醒一点,按照密码相关标准要求,对安全性要求较低的系统可以不使用密 码技术,但是只要使用密码技术,就必须符合国家密码相关标准。
解读:
此处两项功能都需要依赖独立的(自身的或者外部的)密码模块、密码设备实现, 功能实现只是调用接口。在做产品检测时可以详细阐释,密评是系统测评,现场 很难测试确认其密码合规性,只能通过一些技术方法验证,比如关闭或者屏蔽密 码模块,查看此功能是否能执行,执行后验证其有效性(可能需要利用密码检测工具)。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
解读:
本标准中没有直接提及密码技术,也就没有描述如何对待密码相关国家标准和行 业标准,不过,按照密码法,使用密码技术的部分也必须执行国家密码标准,密码 测评检查时,也需要测评相关项。
本标准中虽然没有直接提及密码技术,但是SSH,SFTP,SNMPV3和HTTPS都使用了 密码技术,也必须符合国家密码相关标准。SSH,SFTP,SNMPV3和HTTPS的密码测评 一般使用网络传输密码使用检测仪做测评。
解读:
数字签名及验证需要使用密码技术实现,必须符合国家密码相关标准。
解读:
“RADIUS/TACACS”需要使用密码技术实现,必须符合国家密码相关标准。
等保二级系统的密码应用(密码运算实现与密钥管理)建议使用符合GB/T 37092-2018 二级以上标准的密码模块或通过国家密码管理部门检测认证的硬件产品。
在测评中,“RADIUS/TACACS”属于外部系统,需要单独做密码测评。
解读:
SSH,SFTP,SNMPV3和HTTPS都使用了密码技术,也必须符合国家密码相关标准。
等保二级系统的密码应用(密码运算实现与密钥管理)建议使用符合GB/T 37092-2018 二级以上标准的密码模块或通过国家密码管理部门检测认证的硬件产品。
SSH,SFTP,SNMPV3和HTTPS的密码测评一般使用网络传输密码使用检测仪做测评。
解读:
数字签名及验证需要使用密码技术实现,必须符合国家密码相关标准。
等保二级系统的密码应用(密码运算实现与密钥管理)建议使用符合GB/T 37092-2018 二级以上标准的密码模块或通过国家密码管理部门检测认证的硬件产品。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
解读:
数字证书是密码应用,使用了密码技术,也必须符合国家密码相关标准。
“存储和传输时加密保护”也需要通过密码技术实现,必须符合国家密码相关标准。
“单向函数”指的是散列密码算法,必须符合国家密码相关标准。
SSH、IKE、SSL/TLS等协议都使用了密码技术,必须符合国家密码相关标准。
颁发证书的CA是密码应用,必须符合国家密码相关标准。
等保三级系统的密码应用(密码运算实现与密钥管理)建议使用符合GB/T 37092-2018 三级以上标准的密码模块或通过国家密码管理部门检测认证的硬件产品。
以上要求,除了散列密码算法,密码测评一般使用网络传输密码使用检测仪做测评。
解读:
SSH、IPSec、TLS等协议都使用了密码技术,必须符合国家密码相关标准。
等保三级系统的密码应用(密码运算实现与密钥管理)建议使用符合GB/T 37092-2018 三级以上标准的密码模块或通过国家密码管理部门检测认证的硬件产品。
以上要求,密码测评一般使用网络传输密码使用检测仪做测评。
解读:
私钥、对称密钥、预共享密钥都属于密码应用,必须符合国家密码相关标准。
“密文”需要通过密码算法实现,使用的密码算法必须符合国家密码相关标准。
等保三级系统的密码应用(密码运算实现与密钥管理)建议使用符合GB/T 37092-2018 三级以上标准的密码模块或通过国家密码管理部门检测认证的硬件产品。
解读:
SSH,SFTP,SNMPV3和HTTPS都使用了密码技术,也必须符合国家密码相关标准。
等保二级系统的密码应用(密码运算实现与密钥管理)建议使用符合GB/T 37092-2018 二级以上标准的密码模块或通过国家密码管理部门检测认证的硬件产品。
SSH,SFTP,SNMPV3和HTTPS的密码测评一般使用网络传输密码使用检测仪做测评。
解读:
“RADIUS/TACACS”需要使用密码技术实现,必须符合国家密码相关标准。
等保三级系统的密码应用(密码运算实现与密钥管理)建议使用符合GB/T 37092-2018 三级以上标准的密码模块或通过国家密码管理部门检测认证的硬件产品。
在测评中,“RADIUS/TACACS”属于外部系统,需要单独做密码测评。
解读:
SSH,SFTP,SNMPV3和HTTPS都使用了密码技术,也必须符合国家密码相关标准。
等保三级系统的密码应用(密码运算实现与密钥管理)建议使用符合GB/T 37092-2018 三级以上标准的密码模块或通过国家密码管理部门检测认证的硬件产品。
SSH,SFTP,SNMPV3和HTTPS的密码测评一般使用网络传输密码使用检测仪做测评。
解读:
数字签名及验证需要使用密码技术实现,必须符合国家密码相关标准。
等保三级系统的密码应用(密码运算实现与密钥管理)建议使用符合GB/T 37092-2018 三级以上标准的密码模块或通过国家密码管理部门检测认证的硬件产品。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
解读:
本标准明确提出与密码相关内容按照密码标准执行。
本标准明确提出,采用的密码模块的等级应与信息系统的安全等级相一致。按照 国家密码标准,密码模块的等级与信息系统的安全等级(等级保护级别)对应情况如下:
等保一级系统对密码模块无要求。
等保二级系统的密码应用建议使用符合二级以上密码模块。
等保三级系统的密码应用建议使用符合三级以上密码模块。
等保四级系统的密码应用应使用符合三级以上密码模块
解读:
此处标准明确提出“虹膜特征应以相应级别的密码进行加密保护”,这也遵循第五 章的思想:采用的密码模块的等级应与信息系统的安全等级相一致。
“密码保护”指的是利用密码技术实现虹膜特征的机密性。一个人的虹膜特征是不 可能改变的,一旦泄露,损失无可挽回,对其利用密码技术保护是必要的。
“签名”指的是利用密码技术实现虹膜特征的完整性。
这两处对虹膜特征的机密性、完整性保护在密评中需要测试。
解读:
此处不但要求对审计日志做完整性保护,而且进一步(b项)要求以链的形式实 现。签名必须使用密码技术实现。密码测评时,需要验证是否使用合规算法实现 完整性及签名链,及其是否有效。
解读:
此处要求对个人信息利用密码技术做保密性保护。密码测评时,需要验证是否使用合规算法实现保密性,及其是否有效。
解读:
此处要求对数据传输环节做保护,需要做机密性保护,可以不做完整性保护。密 码测评时,需要验证是否使用合规算法实现保密性,及其是否有效。
数据传输环节的密码测评一般使用网络传输密码使用检测仪做测评。
解读:
此处不但要求对审计日志做完整性保护,而且进一步(b项)要求以链的形式实 现。签名必须使用密码技术实现。密码测评时,需要验证是否使用合规算法实现 完整性及签名链,及其是否有效。
解读:
此处要求对个人信息利用密码技术做保密性和完整性保护,比基础级增加了完整 性保护要求。密码测评时,需要验证是否使用合规算法实现保密性、完整性,及其 是否有效。
解读:
此处要求对数据传输环节做保护,实现机密性、完整性保护,并且保证可信通道 (防止被截获、篡改)。密码测评时,需要验证是否使用合规算法实现相应防护,及其是否有效。
数据传输环节的密码测评一般使用网络传输密码使用检测仪做测评。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
解读:
个人认为此图是本标准最重要的内容,标准的思想在这个图里得到体现。
图中,将密码技术、产品及服务(密钥、证书、身份管理、认证)作为智慧城市 城市安全基础设施规划到整个智慧城市安全体系框架中。安全基础设施需要为智慧 城市所有的应用提供服务。
从建设的角度来看,密码技术、产品及服务作为信息安全基础设施,应该在智慧 城市的设计阶段就要融入到整个体系设计中(这也是国家密码相关标准的要求), 建设自己的信息安全基础设施。所有的智慧城市应用也需要在设计阶段就要支持智 慧城市安全基础设施的提供的服务及信任链。
从测评角度来看,密评是针对等级保护系统的,需要在等保定级后才能做密评, 智慧城市不会是一个系统,而是多个系统,智慧城市的密评要一个个系统定级后再 密评,比如对智慧城市的信息安全基础设施系统测评、对智慧城市的云计算中心系 统测评、对智慧城市运营中心测评等等。
解读:
此处明确要求智慧城市服务提供者在密码方面需要(应)建设的基础设施。实际 上就是认证中心。认证中心作为密码技术体系中最重要的应用,他的的申请、建设 有一系列标准规范,此处不赘述。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
解读:
本标准对安全性的需求主要从保密性、完整性和可用性三性。这里的保密性、完 整性并不一定需要使用国家密码行业标准的算法去实现,比如用简单变换实现保密 性、用校验位实现完整性等。具体是否需要使用密码算法,需要根据数据分类分级后确定。
对于涉及到“密钥”相关内容是需要严格划分到国家密码行业标准范畴内的,大数 据环境的密钥管理系统必须要按照国家密码行业标准去建设。
同态加密方面,尚无国家密码行业标准,不过2019年国内一些地区已经制定了同 态加密方面团体标准,国家密码行业标准也会很快制定推出,一旦推出,大数据对 同态加密方面的应用也需要符合国家密码行业标准。
再次强调,可以不使用加密算法实现安全需求,但是只要使用了加密算法,必须符合国家密码行业标准。
| 类别 | 子类及范围 |
| (A类)用户身份相关数据 | (A1)用户身份和标识信息:(A1-1)自然人身份标识、(A1-2)
网络身份标识、(A1-3)用户基本资料、(A1-4)实体身份证明、
(A1-5)用户私密资料 (A2)用户网络身份鉴权信息:(A2-1)密码及关联信息 |
| (B类)用户服务内容数据 | (B1)服务内容和资料数据:(B1-1)服务内容数据、(B1-2)联系人信息 |
| (C类)用户服务衍生数据 | (C1)用户服务使用数据:(C1-1)业务订购关系、(C1-2)服
务记录和日志、(C1-3)消费信息和账单、(C1-4)位置数据、(C1-5)违规记录数据 (C2)设备信息:(C2-1)设备标识、(C2-2)设备资料 |
| (D类)企业运营管理数据(企业运营管理数据依据其商业价值,分为 “核心”、“重要”、“一般”、“公开”四类数据。) | (D1)企业管理数据:(D1-1):企业内部核心管理数据、(D1-2):
企业内部重要管理数据、(D1-3):企业内部一般管理数据、(D1-4):
市场核心经营类数据、(D1-5):市场重要经营类数据、(D1-6):市场
一般经营类数据、(D1-7):企业公开披露信息、(D1-8):企业上报信息 (D2)业务运营数据:(D2-1):重要业务运营服务数据、(D2-2): 一般业务运营服务数据、(D2-3):业务运营服务数据、(D2-4):数字内容业务运营数据 (D3)网络运维数据:(D3-1):网络设备及IT系统密码及关联信息、 (D3-2):核心网络设备及IT系统资源数据、(D3-3):重要网络设备 及IT系统资源数据、(D3-4):一般网络设备及IT系统资源数据、(D3-5): 公开网络设备及IT系统资源数据、(D3-6):公开网络设备及IT系统支撑据 (D4)合作伙伴数据:(D4-1):渠道基础数据、(D4-2):CP/SP基础数据* |
| 类别 | 定位 | 子类及范围 |
| 第4级 | 极敏感级 | A1-4)实体身份证明、(A1-5)用户私密资料、(A2-1)用户密 码及关联信息、(D1-1)企业内部核心管理数据、(D1-4)市场核心 经营类数据、(D3-1)网络设备及IT系统密码及关联信息、(D3-2) 核心网络设备及IT系统资源类数据 |
| 第3级 | 敏感级 | (A1-1)自然人身份标识、(A1-2)网络身份标识、(A1-3)用 户基本资料、(B1-1)服务内容数据、(B1-2)联系人信息、(C1-2) 服务记录和日志、(C1-4)位置数据、(D1-2)企业内部重要管理数据、 (D1-5)市场重要经营类数据、(D1-8)企业上报信息、(D2-1)重要 业务运营服务数据、(D3-2)重要网络设备及IT系统资源类数据、(D4-1) 渠道基础数据、(D4-2)CP/SP基础数据 |
| 第2级 | 较敏感级 | (C1-3)消费信息和账单、(C2-1)终端设备标识、(C2-2)终 端设备资料、(D1-3)企业内部一般管理数据、(D1-6)市场一般经 营类数据、(D2-2)一般业务运营服务数据、(D3-3)一般网络设 备及IT系统资源类数据、(D3-6):网络设备及IT支撑数据 |
| 第1级 | 低敏感级 | (C1-1)业务订购关系、(C1-5)违规记录数据、(D1-7)企业 公开披露信息、(D2-3)业务运营服务数据、(D2-4)数字内容业务 运营数据、(D3-5):公开网络设备及IT系统资源类数据 |
解读:
附录A是电信行业数据分类分级示例。电信行业对本行业数据分了4类4级,参照 此示例,我们可以发现“(A类)用户身份相关数据”、“第4级 极敏感级”的数据属 于身份、鉴权、核心数据等类数据,必须使用密码算法保证其保密性和完整性,也 即需要符合国家密码行业标准,在密码测评时需要对相应环节、技术点进行测评。
对于其他类别、级别使用密码算法情况,需要更多的信息进一步确认。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
28项网络信息安全规范和标准自2020年3月1日起正式实施,新规范和标准的实 施会对中国网络信息安全生态带来巨大影响。密码技术作为网络安全的基础性核 心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技 术,2019年10月26日由人大表决通过的《中华人民共和国密码法》,以法律的形 式规范了密码应用和管理,本次新实施的规范和标准,在与密码相关的环节上遵 从《中华人民共和国密码法》及其他国家密码管理的相关法规、标准,做了相应 的要求。北京中海闻达信息技术有限公司作为专注于密码安全性评估技术的企业, 从密码应用与测评的角度对新实施的规范和标准做了相应的解读。
解读:
对数据库中的数据进行的加密存储、加密传输以及密钥管理,使用的都是密码技术,需要符合国家密码相关标准。
实现了“数据库加密”的环节,要利用密码技术,密码技术的应用要符合国家密码相关标准,在密码测评中需要做相应测评。
解读:
此处的密码攻击指的是针对密码技术的攻击,得以破坏加密机制。这也是密码测评针对的目标之一。
解读:
本标准提到的“自己提供的密码算法”,如果不符合国家密码相关标准,是不能使用的。
解读:
对于数据库系统来说,系统完整性和不可抵赖性的实现,必须使用密码算法。
实现了“系统完整性”、“不可抵赖性”的环节,要利用密码技术,密码技术的应用要符合国家密码相关标准,在密码测评中需要做相应测评。
解读:
此处明确了,通信安全需要使用会话密钥实现,也即本标准中所有“通信安全”方面的要求,都需要使用密码技术实现。
实现了“通信安全”的环节,要利用密码技术,密码技术的应用要符合国家密码相关标准,在密码测评中需要做相应测评。
解读:
此处明确指出了:密码算法需符合国家、行业或组织要求的密码管理相关标准或 规范。这也避免了密码测评期间,密码测评机构与被测单位对标准理解不一致产生 的争执:本标准中所有与密码相关的部分都要符合最新国家密码相关标准。
解读:
可信路径在很多标准中定义不清,此处明确,可信路径必须采用密码技术实现。
密码测评时需要对可信路径进行测试。
2020年3月1日起正式实施的28项网络信息安全规范和标准清单如下:
1.《网络信息内容生态治理规定》
2.《GB/T 25058-2019 网络安全等级保护实施指南》
3.《GB/T 20272-2019 操作系统安全技术要求》
4.《GB/T 37962-2019 工业控制系统产品信息安全通用评估准则》
5.《GB/T 21050-2019 网络交换机安全技术要求》
6.《GB/T 20009-2019 数据库管理系统安全评估准则》
7.《GB/T 18018-2019 路由器安全技术要求》
8.《GB/T 20979-2019 虹膜识别系统技术要求》
9.《GB/T 37971-2019 智慧城市安全体系框架》
10.《GB/T 37973-2019 大数据安全管理指南》
11.《GB/T 20273-2019 数据库管理系统安全技术要求》
12.《GB/T 37980-2019 工业控制系统安全检查指南》
13.《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
14.《GB/T 37934-2019 工业控制网络安全隔离与信息交换系统安全技术要求》
15.《GB/T 37932-2019 数据交易服务安全要求》
16.《GB/T 37933-2019信息安全技术 工业控制系统专用防火墙技术要求》
17.《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》
18.《GB/T 37972-2019 云计算服务运行监管框架》
19.《GB/T 37935-2019 可信计算规范 可信软件基》
20.《GB/T 37941-2019 工业控制系统网络审计产品安全技术要求》
21.《GB/T 37939-2019 网络存储安全技术要求》
22.《GB/T 37964-2019 个人信息去标识化指南》
23.《GB/T 37950-2019 桌面云安全技术要求》
24.《GB/T 37954-2019 工业控制系统漏洞检测产品技术要求及测试评价方法》
25.《GB/T 37952-2019 移动终端安全管理平台技术要求》
26.《GB/T 37953-2019 工业控制网络监测安全技术要求及测试评价方法》
27.《GB/T 37955-2019 数控网络安全技术要求》
28.《GB/T 37956-2019 网站安全云防护平台技术要求》
北京中海闻达信息技术有限公司是由科研院所技术骨干、国内信息安全领域专 家、以及国内知名信息安全企业管理团队共同组建。中海闻达具有较强的密码技 术研发团队,团队中4人具有博士学历、4人获得高级职称, 14人获得中级职称。 中海闻达以密码为核心技术,以研发新一代信息安全产品、提供专业化信息安全 服务为核心业务,立志成为“可信网络空间守护者”。
密码技术是中海闻达产品和技术的主要研究方向,一直以来中海闻达研究和研发 团队承担了包括密码分析等方向的大量前沿课题,在密码检测、密码分析、区块 链安全检测、数据安全、情报侦察多个方向上均有自己独特的技术和产品,并申 请了多项发明专利,填补了国内空白。
公司研发的商用密码基线检测仪、商用密码基线在线监测系统、商用密码应用安 全评估系统、加密流量综合分析系统等系列密码安全产品,是中海闻达在对密码 算法分析方向上的重大突破,填补了国内该领域空白,是获得国家密码管理局强 制认证的检测类商用密码产品,产品技术在国内遥遥领先。《中华人民共和国密 码法》发布后,进一步明确了密码在信息安全体系中的核心地位,由密码应用体 系与密码检测评估体系共同组成了密码应用安全保障体系,密码安全性测试评估 系列产品成为网络安全体系的必备设备。
我国拟制定密码法提升密码法治化保障水平
新华社北京6月25日电(记者王鹏)密码法草案25日提请十三届全国
人大常委会第十一次会议审议,旨在通过立法提升密码管理科学化、
规范化、法治化水平,促进我国密码事业的稳步健康发展。
密码工作直接关系国家安全。国家密码管理局局长李兆宗在向会议作
说明时介绍,密码在我国革命、建设、改革各个历史时期,都发挥了不
可替代的重要作用。密码工作面临着许多新的机遇和挑战,担负着更加
繁重的保障和管理任务,制定一部密码领域综合性、基础性法律,十分必要。
草案明确规定,密码分为核心密码、普通密码和商用密码,实行分类管
理。核心密码、普通密码用于保护国家秘密信息,属于国家秘密,由密
码管理部门依法实行严格统一管理。商用密码用于保护不属于国家秘
密的信息,公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。
为贯彻落实职能转变和“放管服”改革要求,规范和促进商用密码产业
发展,草案规定了商用密码的主要制度,包括规定国家鼓励商用密码技
术的研究开发和应用,健全商用密码市场体系,鼓励和促进商用密码产
业发展;规定了商用密码标准化制度;建立了商用密码检测认证制度,并
鼓励从业单位自愿接受商用密码检测认证等。
在密码发展促进和保障措施方面,按照草案规定,国家鼓励和支持密码
科学技术研究、交流,依法保护密码知识产权,促进密码科学技术进步
和创新,建立密码工作表彰奖励制度;国家加强密码宣传教育。草案也
规定任何组织或者个人不得窃取或者非法侵入他人的加密信息或者密
码保障系统,不得利用密码从事违法犯罪活动。草案同时规定了相应的法律责任。
北京市商用密码销售额占全国六成
日前,记者从北京商用密码行业协会年会上获悉,本市商用密码产业发
展走在全国前列,去年全年商用密码产品销售额达70亿元,占全国六成。
登录邮箱、手机解锁、网银转账、微信支付……现代生活几乎处处离不开
密码。密码技术是保护信息安全的重要手段,通过对信息进行重新编码,
在保证信息完整、正确的同时,防止信息被篡改或泄露。那什么是商用
密码呢?通俗来说,不涉及国家机密的密码技术和密码产品都算商用密码。
“北京的商用密码产品已经形成了从芯片、板卡、整机到软件、系统和密
码服务的完整产业链,而且密码产品更加实用,渗透到了百姓生活的方方
面面。”据市密码管理局局长许博春介绍,截至2016年底,本市有商用密
码产品生产定点单位213家、销售许可单位245家,商用密码从业单位数
量占全国三分之一,产品数量占全国四成以上。去年全年,本市商用密码
产品销售额达70亿元,占全国六成,处于领先地位。
北京商用密码行业协会现有会员单位138家。去年,受市密码局委托,商
用密码协会组织相关会员单位完成了《电子政务电子认证服务应用指南
修订研究》课题研究工作。“原有的指南是2010年发布的,已经不能满足
现有应用业务的需求。”商用密码行业协会会长郭宝安说,新的指南涵盖
了对云计算、大数据、移动互联、物联网等新兴业务的支持,丰富了当
前环境下的电子政务应用场景,对在当前政策、法规以及技术规范体系
下,暂时未能解决的一些问题提出了建议和意见。
此外,商用密码行业协会还就“跨域电子认证服务应用互联互通平台”
课题成立了专项课题组,研究实现电子认证跨区域、跨行业应用的可
信性,实现在跨境电子商务、交通物流、智慧城市上进行电子认证应
用示范推广,实现跨区域、跨行业的证书应用,构建大范围区域性一
体化网络信任体系。
新时代密码工作的坚强法律保障
来源:人民日报 李兆宗
2019年10月26日,十三届全国人大常委会第十四次会议通过《中华人民
共和国密码法》,习近平主席签署主席令予以公布,将于2020年1月1日起
正式施行。密码法的颁布实施,是密码工作历史上具有里程碑意义的大事,
必将对密码事业发展产生重大而深远的影响。
充分认识制定和实施密码法的重要意义
密码是我们党和国家的“命门”“命脉”,密码工作是党和国家的一项特殊
重要事业,在我国革命、建设、改革的各个历史时期,都发挥了不可替代的
重要作用。进入新时代,密码工作面临许多新的机遇和挑战。制定和实施密
码法,对于深入贯彻落实党中央决策部署和习近平总书记重要指示批示精神,
全面提升密码工作法治化和现代化水平,具有十分重要的意义。
第一,这是构建国家安全法律制度体系的重要举措。党的十八届四中全
会提出,贯彻落实总体国家安全观,加快国家安全法治建设,构建国家安全
法律制度体系。密码工作直接关系国家政治安全、经济安全、国防安全和
信息安全。党中央高度重视密码立法工作,将密码法作为国家安全法律制
度体系的重要组成部分,强调要在国家安全法治建设的大盘子中研究制定
密码法,把党对密码工作的最新要求通过法定程序转化为国家意志。制定
和实施密码法,填补了我国密码领域长期存在的法律空白,对于加快密码
法治建设,理顺国家安全领域相关法律法规关系,完善国家安全法律制度
体系具有重要意义。
第二,这是维护国家网络空间主权安全的重要举措。密码是目前世界上
公认的,保障网络与信息安全最有效、最可靠、最经济的关键核心技术。
在信息化高度发展的今天,密码的应用已经渗透到社会生产生活各个方面,
从涉及政权安全的保密通信、军事指挥,到涉及国民经济的金融交易、防
伪税控,再到涉及公民权益的电子支付、网上办事等等,密码都在背后发挥
着基础支撑作用。制定和实施密码法,就是要把密码应用和管理的基本制
度及时上升为法律规范,推动构建以密码技术为核心、多种技术交叉融合
的网络空间新安全体制,努力做到党和国家战略推进到哪里,密码就保障到哪里。
第三,这是推动密码事业高质量发展的重要举措。我们党的密码工作诞生
于烽火硝烟的1930年1月,是毛泽东、周恩来等老一辈无产阶级革命家亲自
领导创建的,已经走过了近90年的光辉历程。革命战争年代,党中央通过密
码通信这一重要渠道运筹帷幄、决胜千里。仅在指挥三大战役期间,毛泽东
同志就亲自起草密码电报197份,批签密码电报上千份。电影《永不消逝的
电波》中李侠的人物原型——中共上海地下党员李白,以及被誉为“龙潭三杰”
之一的钱壮飞等革命烈士都是密码战线的优秀代表。党的十八大以来,在以
习近平同志为核心的党中央坚强领导下,在中央密码工作领导小组领导指挥
下,密码事业取得历史性成就、实现历史性变革。制定和实施密码法,就是要
适应新的形势发展需要,推进密码领域职能转变和“放管服”改革,建立健全密
码法治实施、监督、保障体系,规范密码产业秩序,提升密码自主创新水平和
供给能力,为密码事业又好又快发展提供制度保障。
准确把握密码法的精神实质和主要内容
密码法立法既注意总结我国密码管理中形成的一系列好传统、好经验、
好做法,又适应新情况、新问题、新挑战,改革重塑了现行相关管理制度,
体现了继承发展、守正创新精神。贯彻实施密码法,重点要领会把握好以下原则。
第一,坚持党管密码和依法管理相统一。党管密码原则是密码工作长期实践和
历史经验的深刻总结,密码工作大权在党中央,密码工作大政方针必须由党中央
决定,密码工作重大事项必须向党中央报告。密码法规定,坚持中国共产党对密
码工作的领导,旗帜鲜明地把党管密码这一根本原则写入法律,同时明确中央密
码工作领导机构统一领导全国密码工作,这是密码法最根本性的规定。随着全
面依法治国基本方略的深入实施,依法管理已经成为党管密码的基本方式和内
在要求。只有坚持党管密码,才能保证密码管理沿着正确的方向不偏离、不走
样。只有依靠依法管理,才能将党管密码的具体制度纳入法治化轨道。
第二,坚持创新发展和确保安全相统一。安全是发展的前提,发展是安全的
保障。密码法依法确立了促进密码事业发展的一系列制度措施,努力为密
码科技创新、产业发展和应用推广营造良好环境。同时要看到,密码作为
一种典型的“两用物项”,用得好会造福社会,用得不好或者被坏人利用,就
可能给党和国家利益带来不可估量的损失。因此,密码法明令禁止任何组
织或者个人窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者
利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
第三,坚持简政放权和加强监管相统一。党的十九大报告指出,转变政
府职能,深化简政放权,创新监管方式。密码法明确了密码分类管理原则,
规定核心密码、普通密码用于保护国家秘密信息,由密码管理部门实行严
格统一管理。在商用密码管理方面,充分体现职能转变和“放管服”改革要
求,充分体现非歧视原则,大幅削减行政许可事项,进一步放宽市场准入,
对国内外产品、服务以及内外资企业一视同仁,规范和加强事中事后监
管,切实为商用密码从业单位松绑减负。
切实抓好密码法的宣传贯彻实施
密码法为做好新时代密码工作提供了强大法律武器。贯彻实施好密
码法,必将有力地推动密码事业发展。我们一定要在贯彻实施上狠下功
夫,做到有法必依、执法必严、违法必究。
第一,深入开展密码法宣传普及。要贯彻密码法要求,把密码安全教
育纳入国民教育体系和公务员教育培训体系,充分利用“全民国家安全
教育日”“国家网络安全宣传周”等平台,深入开展密码法宣传普及活动,
推动密码进社会、进课堂、进教材、进网络,努力在全社会营造“知密
码、懂密码、用密码”和尊法、学法、守法、用法的浓厚氛围。各级密
码管理部门和涉及密码工作的机关单位要采取多种形式,组织好本部门
本单位的学习、宣传和培训工作,让密码工作人员深刻理解密码法各项
规定,不断提高依法从事密码工作的能力和水平。
第二,严格执行密码法各项规定。各级密码管理部门要切实抓好密码
法的贯彻实施工作,把实施好这部法律作为落实党中央决策部署、加强
和改进新时代密码工作的重要抓手。国家、省、市、县四级密码管理部
门要依法确立行政主体地位,全面履行密码法赋予的行政管理职能,加快
推动管理职能转变和管理方式创新。要积极配合市场监管、网信、商务、
财政、发展改革等职能部门,在职责范围内履行好密码管理和保障职责,
确保密码法各项制度措施落到实处。
第三,抓紧完善密码法配套制度。国家密码管理局将紧紧抓住密码法
出台的契机,加强密码法律制度的顶层设计和整体规划,统筹推进《商
用密码管理条例》等配套法规制度的制定修订工作,确保密码法规制
度符合密码法确定的立法原则和基本制度,与密码法的相关规定相互
协调和衔接。地方各级密码管理部门也要根据密码法,及时清理和制
定修订本地区出台的密码法规制度,不断推进本地区密码工作制度化、
规范化。
做好新时代密码工作,责任重大,使命光荣。让我们紧密团结在以
习近平同志为核心的党中央周围,增强“四个意识”,坚定“四个自信”,
做到“两个维护”,不忘初心、牢记使命,坚持党管密码不动摇、创新
发展不动摇、服务大局不动摇,全力以赴推动密码法贯彻落实,以优
异成绩迎接党的密码工作创建90周年,为开创新时代密码工作新局面、
实现中华民族伟大复兴中国梦作出新的更大贡献!
依法推动商用密码管理开创商用密码工作新局面
作者/徐汉良 国家密码管理局副局长
《中华人民共和国密码法》是我国密码领域的综合性、基础性法律,是党的密码
工作90年宝贵经验的提炼总结和制度创新,对全面贯彻落实习近平总书记关于密
码工作的系列重要指示精神、理顺国家安全领域相关法律法规关系、完善国家安
全法律制度体系具有重大意义。商用密码作为密码工作的重要组成部分,在维护
国家安全、推动经济社会发展、保护人民群众利益方面发挥着不可替代的重要作
用。伴随密码法的出台和施行,商用密码发展将迎来宝贵的战略机遇期和跨越发展期。
经过20多年的快速发展,我国商用密码在管理制度、科技创新、产业发展、应用推进等方面取得系列成果,实现了跨越式发展。
(一)商用密码管理体制与时俱进
1996年7月,党中央印发《关于发展商用密码和加强对商用密码管理工作的通知》, 确立商用密码发展和管理方针。1999年,国务院颁布施行《商用密码管理条例》, 明确商用密码管理和工作内容,国家密码管理局陆续制定商用密码科研、生产、销 售等系列规章制度。2012年以来,落实“放管服”改革要求,取消一批商用密码行政 许可事项,强化事中事后监管,优化市场服务。2019年10月26日,十三届全国人大 常委会第十四次会议表决通过密码法,为做好新时期的商用密码工作提供坚强的法律保障。
(二)商用密码科技创新成果不断涌现
商用密码科研取得142项国家或省部级科技成果,其中10余项达到国际先进水平。自主设计 了ZUC和SM系列密码算法,形成了比较完备的商用密码算法体系,其中ZUC和SM2/SM3/SM9 算法已成为国际标准。密码行业标准化技术委员会先后发布密码行业标准91项、国家标准 29项,覆盖密码算法、协议、产品、检测、应用、管理等各方面。新一代密码算法征集工 作正扎实有序开展,已初步遴选出一批优秀研究成果。
(三)商用密码产业生态健康蓬勃发展
密码产业从业单位超过2000家,商用密码累计产值超千亿元,呈快速发展趋势。截至2019年 11月,取得产品型号证书商用密码产品达2000余款,51家电子认证服务机构完成基于SM2的 公钥基础设施升级改造并接入国家根CA。商用密码检测认证体系不断健全,已形成商用密码 产品全品类、全要素检测能力;商用密码检测中心取得认证机构资质,2家商用密码产品检测 机构通过试点培育;初步建立商用密码应用安全性评估体系,培育认定27家机构。
(四)商用密码应用推进持续发力
从开创金融领域密码应用,到加强重要领域密码应用,再到实施密码应用与创新发展工作规划, 商用密码应用工作示范引领、成效显著。
纵观人类历史,世界发展从来都是各种矛盾相互交织、相互作用的综合结果。在新一轮信息技 术变革大潮下,必须从矛盾、对抗的角度认识商用密码所处的时代背景和承载的历史使命,以 及面临的机遇和挑战,才能为未来赢得主动权。
(一)密码发展正处于百年未有之大变局
当今世界,新一轮科技革命和产业革命正在加速全球化进程的演进,世界处于形成新的政治、 经济、文化、社会生态期。密码经历了从艺术到科学、从黑屋走向公众的历史进程。当今的 密码,已经从传统的通信密码保障拓展到了信息化密码保障,正在逐步拓展到网络空间密码 保障;已经从最初的战争工具,拓展为生产、生活的工具;已经从维护国家安全,延伸到了推 动经济社会发展、保护人民群众利益。与传统密码发展不同,在百年未有之大变局中,在以 网络化、数字化、智能化为主要特征的新一轮技术革命浪潮推动下,密码必将以前所未有的 广泛影响力,深度融入大国博弈的各个主战场。谁在密码发展上领先一步,技高一筹,谁就 掌握了密码及其相关科技发展的主动权。密码法的颁布实施标志着我国密码事业进入一个新 的发展阶段,标志着密码技术作为网络空间安全的核心技术和基础支撑必将发挥更大作用, 密码事业在百年未有之大变局中必将迎来重大历史发展机遇。
(二)密码肩负着重构网络空间新格局的历史使命
密码与人类文明发展密不可分,在历史变革中发挥着至关重要的作用。甲午海战清军密码被日 本破译,是战败的重要原因之一,惨痛的历史教训证明“密破导致国破,国破导致家亡”;二战 中盟军研制专用计算设备破译德军Enigma密码,加速了二战胜利进程,并催生了现代计算机, 证明世界赋予密码的历史使命是“伸张正义、捍卫和平、推动人类进步”。当今人类社会已由农 业文明、工业文明向信息文明、数字文明的变革阶段,数字世界尚处于“衣不遮体、弱肉强食” 的原始社会。密码作为保障网络空间安全的核心技术和基础支撑,应加强与物联网、云计算、 大数据、人工智能、区块链等新兴信息技术的融合发展,肩负起助力我国在新兴信息技术领域 实现“换道超车”,改变网络空间争夺格局,构建可信可管可控数字世界的历史使命,助力数字 经济安全和发展,推动国家治理体系和治理能力现代化。
(三)密码发展面临的挑战严峻复杂
当前,密码在管理、产业、应用、创新等方面虽然取得了一些成绩,但与其所承载的历史使命相 比,尚面临很大挑战,突出表现在:一是总体国家安全战略与密码保障衔接不紧,密码工作存在 “上热中温下冷”的现象,政策落实尚未充分到位;二是一些重要信息系统和关键信息基础设施密 码防护薄弱,系统“裸奔”,数据“裸跑”,密码应用局部化、碎片化、外挂化的现象比较普遍;三 是我国企业网络安全环境堪忧,普遍不重视对数字资产的保护,在认识上存在不属于国家秘密就 无需密码保护的误区,导致企业成为攻击窃密的重灾区;四是密码高质量供给不足,新应用新模式 密码供给能力欠缺,与新兴信息技术体系的融合不够,基础软硬件支持密码的生态尚未形成;五 是密码服务“一带一路”作用发挥不够,国际影响力与我国大国地位不相称;六是密码学科建设和 人才培养与密码的时代发展要求不相适应,制约着密码的广泛应用和科学发展。
密码法的颁布实施将极大提升密码工作的科学化、规范化、法治化水平,有力促进密码技术进步、 产业发展和规范应用,切实维护国家安全和社会公众利益。全体商用密码管理和从业人员应以密 码法实施为契机,不断开拓创新,推动商用密码事业再创新辉煌。
(一)切实提升密码保障与管理水平,服务国家治理体系和治理能力现代化重大部署
一是重塑商用密码管理制度与体系。坚持以总体国家安全观为指导,以党管密码为根本原则,加 快构建适应现代密码应用和发展的管理体系,跳出密码看密码,跳出密码研究密码,重塑管理职 能、管理方式和机构设置。明确管理职责划分,健全国家、省、市、县四级分级负责的商用密码 工作管理体制。二是加强商用密码宣传与动员。做好与各方面的常态化沟通联系,确保商用密码 应用要求落实到各行业领域信息化发展政策之中;动员社会各方力量,加强商用密码知识普及与 社会化培训,促进全社会形成“学密、知密、用密”的良好氛围,提升全民密码意识。三是完善商 用密码监督检查工作机制。建立商用密码检测认证体系,严控商用密码产品入市、信息系统密码 应用两大关口;规范执法方式,落实“双随机,一公开”监管工作,做到全程留痕、责任可追溯, 为全社会创造良好的营商环境。
(二)持续增强密码创新与支撑能力,助力国家经济和社会高质量发展
一是推动商用密码护航数字经济发展。推动密码与云计算、大数据、物联网、人工智能、区块链、 5G等数字经济新技术、新业态的融合,引领数字化、网络化、智能化安全发展,充分发挥密码的 驱动作用;发挥密码在促进传统产业数字化转型、保障数字资产安全等方面的作用,实现数据资 源按需共享、安全交互。二是推动商用密码服务智慧社会建设。构建以密码为基础的网络空间信 任体系,确保网络空间秩序的“可信、可管、可控”,助力智慧交通、智慧医疗、智慧安防、智慧 社区等建设,使智慧社会更安全、民众使用更便捷。三是强化商用密码高质量供给。大力推进商 用密码嵌入通用处理器、操作系统等基础软硬件的技术攻关,打通产业链上下游环节;面向新兴技 术领域加紧突破一批密码应用关键技术,组织开展适应高性能要求、覆盖完整场景的各类密码产 品研制,形成支持密码应用的良好产业生态;加强密码学科体系建设,推动设立密码院系和特色专 业,积极开展密码人才培养和社会化培训。
(三)积极推动密码服务“一带一路”建设,共建网络空间命运共同体
一是加快商用密码标准国际化进程。加强商用密码的国际交流与合作,促进我国密码基础理论和工 程技术研究全面达到国际领先水平;推动一批商用密码算法、协议等成为国际标准,扩大我国密码 技术的国际影响力。二是鼓励商用密码产业“走出去”。开展企业海外数据保护与安全通信密码保 障技术研究和相关系统建设,为我国企业服务“一带一路”建设提供密码保障;组织国内密码企业 “抱团出海”,面向“一带一路”沿线国家和地区推广我国密码解决方案。三是积极参与国际网络空 间安全治理。充分利用我国近年来在移动支付、信息装备等领域的巨大成就,“借船出海”服务 “一带一路”沿线国家和地区信息化建设;积极参与国际网络空间安全治理规则设计与制定,为构建 人类命运共同体贡献中国智慧、中国方案。
法律既记载了人类文明的成果,也推动着人类文明的演进。密码法传承了党的密码事业90年发展积 淀的文明成果,必将助力人类打造更加文明的数字世界。各级密码管理部门要切实增强使命和责任 意识,不断开拓进取,为新时代党的密码事业繁荣发展,为人类文明进步作出新的更大贡献。
中国科学院院士冯登国:深入贯彻实施密码法 依法促进密码科技创新
2019年10月26日,十三届全国人大常委会第十四次会议通过《中华人民 共和国密码法》,习近平主席签署主席令予以公布,将于2020年1月1日起 正式施行。密码法的颁布实施,填补了我国密码领域长期存在的法律空白, 是密码工作历史上具有里程碑意义的大事。密码法是习近平新时代中国特 色社会主义思想的“密码篇”,是贯彻落实习总书记对机要密码工作系列重 要指示批示精神特别是“坚持创新发展不动摇”要求的重要体现,必将为新 时代密码科技创新提供强有力的法律支撑和制度保障。
作为一名从事密码研究的科技工作者,肩负着为党中央提供安全可靠的信 息技术支撑服务保障的特殊职责使命,应站在密码科技创新最前沿,充分认 识密码法对密码科技创新的全面促进作用,释放密码法对密码科技创新的巨 大推力,敢于担当,勇于创新。
科技创新中主体之间、主客体之间属于社会关系,法律作为现代民主法治 国家调整社会关系的主要规则,任何一项科技创新行为都要受到法律的支配 和调控。科技创新与法治如车之两轮、鸟之双翼,只有相互配合、相得益彰, 才能取得最优效果。对法律和科技创新之间关系的清晰认知,是发挥密码法 对科技创新促进保障功能的必要前提,是两者均取得突飞猛进的基础保证。
科技创新的发展决定法律的立法内容。法律的制定实施必须以现实的生产力 和生产关系发展水平为基础和前提,必须适应和满足现实的生产力和生产关 系发展的基本要求,一旦脱离了这个基础前提和基本要求,法律的指导和调 控作用不但得不到应有发挥,甚至会扰乱经济社会发展的合理秩序,使人们 的社会生产活动“误入歧途”。密码法的制定和出台完全依据我国现实的生产 力和生产关系发展水平,其中有关科技创新的条款,均立足于现有密码科技 的发展水平,并以调整现有法律关系、解决现有法律问题为出发点,积极适 应科学技术的发展趋势和要求,科技创新的发展也将持续推进法律条文的演 进和法律细则的出台完善。
法律的制定实施为科技创新提供坚强保障。相对于一般性政策文件,法律 作为由国家制定认可并以国家强制力保证实施的具有最高权威的制度体系, 对科技创新活动起到一种相对稳定的、预期性强的激励作用。法律激发科技 主体积极性,为科技创新凝聚强大力量。科技主体作为“经济人”个体,必然 会对其行为后果产生一定的利益期待,只有主体的利益得到保障,方能积极 主动地从事科技创新行为。良法通过合理设置表彰奖励、成果保护等条款, 实现对科技主体人格尊严和财产权益的双重保护,充分调动科技主体的积极 性和创造性,凝聚主体力量,推动科技创新进步。法律优化资源配置,为科 技创新提供物质保障。科技创新成果的产出建立在不断试错的基础上,离不 开相当规模的研发投入支持。在科技创新活动中,资金、信息、设备等物质 资源与科技主体同等重要、缺一不可。法律具有一定的指引作用,可以将资 源配置在科技创新需要的方向上,提高资源配置效率。良法通过合理合规设 置财政支持、基础设施建设、机构人才培养等条律条款,实现物质资源的配 备供给,确保科技创新高效、持续地进行。法律调控系统运行,为科技创新 提供稳定环境。科技创新活动不是孤立的,需要不同主体共同参与、相互协 作;科技创新活动同时具有外溢效应,可能给社会带来变化,引发新的社会 问题。在这个系统工程中,任何一个环节出现漏洞,都会形成“木桶效应”, 影响科技创新的顺利开展。法律作为社会关系的重要调整手段,在宏观上对 科技创新系统的各方面进行调控,保障系统良性运行。良法确定科技创新的 战略地位,保障了科技创新的稳定性;明确各科技主体之间的权利义务,构 建健康合理的科技创新体系;鼓励完善知识产权等创新成果转化机制、列出 科技不可为的负面清单,规范科技创新成果的应用,确保科技创新的持续发展。
密码法的出台,为密码科技实现跨越式发展、密码科技创新再上新台阶提供了宝贵的战略机遇和发展契机。
培育密码科技创新的优越生态。作为密码领域首部综合性、基础性法律, 密码法多措并举,着力全面优化密码科技创新生态。首先,密码法明文规 定密码工作坚持创新发展原则,并将“促进密码科学技术进步和创新”写入 具体条文,指明密码科技发展的必由之路,国家意志的权威表述将推动行 业创新文化蔚然成风。其次,密码法对密码安全教育作了明确要求,借助 这一载体,可以强化密码知识在全社会的科普力度,推动形成学密码、爱 密码的良好氛围,充分释放蕴藏在亿万人民中间无穷的创新智慧。再次, 密码法对人才培养和队伍建设的明确要求,将进一步扩大人才基数,为科 技创新奠定更加坚实的人才基础。此外,通过调整现行商用密码管理制度, 密码法着眼切实为企业松绑减负,可以充分激发企业发挥创新主体作用, 让全社会创新力量充分涌流。
营造密码科技创新的良性发展态势。密码法科学回答了密码科技发展导向、 发展举措等重大问题,合理界定了密码科技应用需求。在发展导向方面, 针对密码“两用物项”的特殊属性,密码法既开宗明义明确密码科技行于“保 安全、促发展”的“所当行”,又旗帜鲜明划定密码科技“不可不止”的伦理红 线、法律高压线,确保密码科技发展方向不偏、重心不移、靶心不变。在发 展举措方面,密码法根据分类管理原则开展精准施策,通过国家加强核心密 码和普通密码科学规划、推动参与商用密码国际标准化活动、健全商用密码 市场体系,深化国家市场同推、“核(心密码)、普(通密码)、商(用密码)”领 域共进的科技发展局面。在应用空间方面,密码法既规定了强制使用密码的 应用场景,又赋予公民、法人和其他组织依法使用商用密码的权利,法定的 多元需求、广阔空间对具有先进技术水平、突出创新价值的优质密码科技产 品、科技应用提出迫切需求,为密码科技创新提供了广阔舞台。
构建密码科技创新的完备保障机制。在固化党和国家系列密码保障机制的 同时,密码法有的放矢吸收国家现行相关制度,量体裁衣构筑激发密码科 技创新的保障体系。在经费保障方面,基于密码工作由中央统筹资金与地 区配套支撑结合的通行做法,密码法规定县级以上人民政府应将密码工作 所需经费列入本级财政预算;在知识产权保护方面,密码法在多处条款对依 法保护密码领域的知识产权作了具体规定,通过保护知识归属,能够全面 调动各类创新主体的积极性,促进创新成果的合理分享与社会资源的优化 配置;在表彰奖励方面,现行的密码工作表彰奖励制度自实施以来,有力促 进了大批先进密码科技创新成果、先进团队或个人脱颖而出,其高水准和 权威性经密码法固化后必将进一步强化,正向激励和风向引领作用有望发 酵放大,推动科技创新实践层出不穷。
我们完全有理由相信,在以习近平同志为核心的党中央坚强领导下,在密 码法的坚强有力指导下,在全国、全系统同仁的共同努力下,密码科技创 新能力必将得到大幅提升,必将在守护好党和国家“命门”“命脉”、确保党 中央指示政令绝对安全畅通方面发挥更加显著的技术支撑和服务保障作用, 为实现“两个一百年”奋斗目标和中华民族伟大复兴的中国梦作出新的更大贡献!