商用密码产品品种和型号审批服务指南
商用密码应用与安全性评估
商用密码应用与安全性评估 导语 密码是国之重器,是网络空间安全体系的基石,在网络安全防护中具有不可替代的重要作用。但密码技术只有得到合规、正确、有效应用,才能发挥安全支撑作用。而在实际应用中,密码技术可能被弃用、乱用、误用,导致应用系统的安全性得不到有效保障,甚至一些不合规、不安全的密码产品和实现还会遭受攻击者的入侵和破坏,造成比不用密码技术更广泛、更严重的安全问题。商用密码应用安全性评估(简称“密评”)正是为了避免或纠正密码应用过程中可能出现的安全性问题。密评是指在采用商用密码技术、产品和服务集成建设的网络与信息系统中,对其密码应用的合规性、正确性、有效性等进行评估。如同风险评估是信息安全管理过程的重要组成部分一样,密评也是密码应用管理过程的重要组成部分和不可缺失的环节。密评的重要性和必要性还在于:密评是商用密码检测认证体系建设的重要组成部分,是衡量商用密码应用是否合规、正确、有效的重要抓手。建立完善密评制度,开展密评工作,是贯彻落实密码法、维护网络空间安全、规范商用密码应用的客观要求,是深化商用密码“放管服”改革的重要手段,是商用密码管理的基础性和开创性工作,也是重要领域网络与信息系统运营者和主管部门必须承担的法定责任。 一、对商用密码的管理 商用密码产品是指采用商用密码技术实现加密解密或安全认证操作等功能的专用硬件、软件。
1、密码的分类 根据《中华人民共和国密码法》第6、7、8条:密码分为核心密码、普通密码、商用密码。 ?核心密码、普通密码: 用于保护国家秘密信息。 核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。 ?商用密码用于保护不属于国家秘密的信息。 由上述密码分类方式知,大众消费类产品所采用的密码,也属于商用密码。 2、旧条例对商用密码的专控管理 对于商用密码产品的管理,我印象非常深刻的是:1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理,规定“商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格”,“任何单位或个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品”。当初的这条规定,意味着所有的商用密码产品都要受到专门控制,包括大众消费类产品所采用的商用密码。比如说,某个人想使用自编的小加密程序,来加密自己的隐私数据,也需经过国家密码管理机构的认可。这在实际操作中完全是不可行的。对此,笔者一直非常困惑。 3、新密码法对商用密码的管理
商用密码产品生产管理规定
商用密码产品生产管理规定 第一条为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。 第二条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。 第三条商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。 第四条商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。未经指定,任何单位和个人不得生产商用密码产品。 商用密码产品的品种和型号必须经国家密码管理局批准。 第五条国家密码管理局主管全国的商用密码产品生产管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第六条国家密码管理局根据商用密码发展的需要,指定商用密码产品生产定点单位。 商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。 第七条国家密码管理局指定商用密码产品生产定点单位原则上定期集中进行。 指定商用密码产品生产定点单位的程序如下:
(一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构; (二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见; (三)国家密码管理局对通过初审的单位进行实地考察; (四)国家密码管理局作出指定决定并告知指定结果。 第八条被指定为商用密码产品生产定点单位的,由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。 《商用密码产品生产定点单位证书》有效期3年。 第九条商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内,到所在地的工商行政管理部门办理许可经营项目登记手续。 第十条国家密码管理局对商用密码产品生产定点单位进行年度考核。 商用密码产品生产定点单位应当于每年3月1日之前,填写《商用密码产品生产定点单位考核表》并交所在地的省、自治区、直辖市密码管理机构。省、自治区、直辖市密码管理机构应当于3月31日之前将考核意见报国家密码管理局。 考核结果由国家密码管理局公布。考核不合格的,撤销其商用密码产品生产定点单位资质。商用密码产品生产定点单位未在规定期限内填报考核材料的,视为考核不合格。 取得《商用密码产品生产定点单位证书》未满6个月的,不参加该
国产密码算法与应用
国产密码算法及应用 商用密码,是指能够实现商用密码算法的加密、解密和认证等功能的技术。(包括密码算法编程技术和密码算法芯片、加密卡等的实现技术)。商用密码技术是商用密码的核心,国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。 商用密码的应用领域十分广泛,主要用于对不涉及国家秘密容但又具有敏感性的部信息、行政事务信息、经济信息等进行加密保护。比如各种安全认证、网上银行、数字签名等。 为了保障商用密码安全,国家商用密码管理办公室制定了一系列密码标准,包括SSF33 SM1(SCB2、SM2、SM3、SM4、SM7、SM9、 祖冲之密码算法等等。其中SSF33 SM1、SM4 SM7、祖冲之密码是对称算法;SM2、SM9是非对称算法;SM3是哈希算法。 目前已经公布算法文本的包括SM2椭圆曲线公钥密码算法、SM3 密码杂凑算法、SM4分组密码算法等。 一、国密算法简介 1. SM1对称密码 国密SM1算法是由国家密码管理局编制的一种商用密码分组标准对称算法,分组长度为128位,密钥长度都为128比特,算法安全强度及相关软硬件实现性能与AES相当,算法不公开,仅以IP核的形式存在于
芯片中。 采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品,广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 2. SM2椭圆曲线公钥密码算法 SM2算法就是ECC椭圆曲线密码机制,但在签名、密钥交换方面不同于ECDSA ECDH等国际标准,而是采取了更为安全的机制。国密 SM2算法标准包括4个部分,第1部分为总则,主要介绍了ECC 基本的算法描述,包括素数域和二元扩域两种算法描述,第2部分为数字签名算法,这个算法不同于ECDSA算法,其计算量大,也比ECDSA 复杂些,也许这样会更安全吧,第3部分为密钥交换协议,与ECDH 功能相同,但复杂性高,计算量加大,第4部分为公钥加密算法,使用ECC公钥进行加密和ECC私钥进行加密算法,其实现上是在ECDH 上分散出流密钥,之后与明文或者是密文进行异或运算,并没有采用第3部分的密钥交换协议产生的密钥。对于SM2算法的总体感觉,应该是国家发明,其计算上比国际上公布的ECC算法复杂,相对来说算法速度可能慢,但可能是更安全一点。 设需要发送的消息为比特串M , len为M的比特长度。为了对明文M进行加密,作为加密者的用户应实现以下运算步骤:步骤1:用随机数发生器产生随机数k€ [1, n -1]; 步骤2:计算椭圆曲线点C仁[k]G=(X1 , Y1 ),将C1的数据类型转换为
网络信息安全控制技术中的商用密码应用
网络信息安全控制技术中的商用密码应用 发表时间:2018-05-06T11:44:01.447Z 来源:《防护工程》2017年第36期作者:朱洪标 [导读] 我国基础网络、重要信息系统和工业控制系统等关键信息基础设施多使用国外的技术和产品。 成都卫士通信息安全技术有限公司四川成都 610000 摘要:在互联网快速发展的过程中,网络信息安全问题也开始涌现出来,网络信息安全控制技术也变得至关重要,可以确保网络信息安全传递,维护计算机用户的隐私安全和数据安全。在互联网技术快速发展的过程中,要合理有效的运用网络信息安全控制技术,才能确保网络信息安全,减少计算机用户一些不必要的经济损失。本文主要针对网络信息安全控制技术进行分析,以供参考。 关键词:网络信息;安全控制技术;商用密码;应用 1 网络信息安全控制技术安全问题的现状? 当前,我国基础网络、重要信息系统和工业控制系统等关键信息基础设施多使用国外的技术和产品,据统计,我国芯片、操作系统等软硬件产品,以及通用协议和标准90%以上依赖进口,这些技术和产品的漏洞不可控,使得网络和系统更易受到攻击,面临着敏感信息泄露、系统停运等重大安全事件的安全风险。每年都有大量的信息泄露事件发生,例如2017年58同城全国简历泄露事件等,信息泄露事件每年的发生逐年增多,例如2017年就比2016年增加了10%的信息泄露事件。特别是中国的信息安全在以思科为代表的美国八大金刚(思科、IBM、Google、高通、英特尔、苹果、Oracle、微软)面前形同虚设。在绝大多数金融政府核心领域,这八家企业都占据了庞大的市场份额。作为全球第二大经济体,中国几乎是赤身裸体地站在已经武装到牙齿的美国八大金刚面前。 2 商用密码的现状 商用密码,是指能够实现商用密码算法的加密、解密和认证等功能的技术。(包括密码算法编程技术和密码算法芯片、加密卡等的实现技术)。商用密码技术是商用密码的核心,国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。商用密码的应用领域十分广泛,主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。 自1999年中国发布《商用密码管理条例》对商用密码进行管理以来,截止2017年,中国已经出台了相关法规及条例等9个,国产商用密码算法6种,商用密码产品达1000多个品种,商用密码生产单位超过800家,相关从业人员达到10万以上。 3网络信息安全控制技术与商用密码的结合 3.1方案设计 在网络信息安全控制技术的方案设计中应考虑以重要数据全生命周期安全防护为目标,强调过程控制和范围保护。以密码技术为基础,密级标识为抓手,对重要数据进行分级、分类管控以强化应用为辅助,流程控制为纽带,对重要数据的使用、处理进行管控引入新技术、新平台,优化和改造现有等保安全防护架构,同时做到多场景、多层级、多类型重要数据处理终端的集中管控;移动办公、虚拟化桌面场景下重要数据的安全保护;各种非结构化数据集中化、流程化的安全管控。 我们通常以密码服务为基础采用加解密、签名验签技术,通过密级标识、证书认证、存储加密、传输加密来实现对计算环境和网络环境的安全保证,最终实现应用及数据的安全。以下举例说明: 3.2非结构化数据安全 我们可以将重要数据划分为普通商密和核心商密,需要针对普通商密、核心商密的产生、使用、流转、存储过程均提出不同强度的加密要求,因此采用密码技术对重要数据的全生命周期进行保护成为当然之选。充分利用现有密码设备或部署相应的密码服务基础设施可以从密级标识、认证授权、密码防护和审计追踪、多个维度,对重要数据的全过程安全管控提供密码服务支持,保障重要数据的保密性、完整性和不可抵赖性。尤其是电子文件密级标识为解决非结构化数据文件密级管理和使用管控提供了有力的抓手,使其它业务系统在使用或处理这些数据文件时,可以快速识别出其密级,按最小化原则控制其知悉范围,从而实现有效管控。 3.2结构化数据安全 对于原有业务应用因历史沿革,自身固有的传统缺陷、难以快速修正和弥补的现状,采用办公基础安全支撑平台对各办公业务应用进行安全加固可以很好的解决这个问题。通过安全支撑平台可以为应用提供统一的安全防护支撑,可与业务系统松耦合对接,为应用提供安全、管理、服务和审计功能。将电子文件密级标识传递到业务系统中,依据密级管理要求由业务系统进行电子文件管控;通过安全支撑平台可集成CA提供统一认证和授权服务,提供应用安全策略配置与日志采集服务,还可灵活调用密码设施对应用数据的传输和存储进行加密保护;安全支撑平台采用C/S架构,服务端作为提供基础安全服务的平台为应用提供后台支撑,客户端则作为接收端,接收平台下发的策略,结合服务端共同对各应用客户端进行安全防护。 在方案设计时应充分考虑发挥密码技术在信息防泄漏方面的特性,将密码设施所提供的加解密以及签名认证封装成标准化的密码服务,业务系统产生的明文文件,通过调用安全保障设施中的密码服务,对其进行加密和完整性保护,客户端获取到加密文件可以在受控环境中进行透明的访问和使用。对于拷贝、另存以及剪贴板等方式产生的其它文件同样加以控制,用户如果私自将重要数据电子文件传出到受控环境之外,将因为无法访问到相应的密码服务而显示成乱码或根本无法打开。另外在安全保障基础设施中还部署了电子文件密级标识系统,将密级标识封装成中间件服务,使得经过定密的文件在应用系统中可以被识别出密级,按照对应密级文件的管理要求进行流向的控制和范围的控制,实现了更具操作性的密件保护手段,结合终端认证、用户认证,更好的对重要数据电子文件进行安全管控。
商用密码应用安全性估量化评估规则
商用密码应用安全性评估量化评估规则 中国密码学会密评联委会 二〇二〇年十二月
目录 1. 范围 (1) 2. 规范性引用文件 (1) 3. 原则 (1) 4. 量化评估框架 (1) 5. 量化规则 (2) 6. 整体结论判定 (3)
商用密码应用安全性评估量化评估规则 1.范围 本文件依据GB/T AAAAA《信息安全技术信息系统密码应用基本要求》和GM/T BBBB 《信息系统密码应用测评要求》,对信息系统的密码应用情况给出定量评估结果。 本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。 2.规范性引用文件 1)GB/T AAAAA《信息安全技术信息系统密码应用基本要求》 2)GM/T BBBB《信息系统密码应用测评要求》 3.原则 本文件按如下原则设计量化评估规则: 1)遵循法律法规和最新相关指导性文件的总体要求; 2)遵循GB/T AAAAA和GM/T BBBB; 3)鼓励使用密码技术; 4)特别鼓励使用合规的密码算法/技术/产品/服务; 5)优先在网络和通信安全层面、应用和数据安全层面进行密码技术应用。 4.量化评估框架 参考GM/T BBBB,本规则从三个方面进行量化评估: ●密码使用安全(Cryptography D eployment security)是指,密码技术是否被正确、有效使 用,以满足信息系统的安全需求,有效提供机密性、完整性、真实性和不可否认性的保护; ●密钥管理安全(K ey management security)是指,密钥管理的全生命周期是否安全,用 于密码计算或密钥管理的密码产品/密码服务是否安全。 ●密码算法/技术安全(Cryptography A lgorithm/Technique security)是指,信息系统中使用 的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,信
《商用密码产品认证目录(第一批)》
附件1 商用密码产品认证目录(第一批) 序号产品种类产品描述认证依据 1智能密码钥匙实现密码运算、密钥管理功能的终端密码设备,一 般使用USB接口形态。GM/T0027《智能密码钥匙技术规范》GM/T0028《密码模块安全技术要求》 2智能IC卡实现密码运算和密钥管理功能的含CPU(中央处理 器)的集成电路卡,包括应用于金融等行业领域的 智能IC卡。 GM/T0041《智能IC卡密码检测规范》 GM/T0028《密码模块安全技术要求》 3POS密码应用系统 ATM密码应用系统 多功能密码应用 互联网终端 为金融终端设备提供密码服务的密码应用系统。 GM/T0028《密码模块安全技术要求》 JR/T0025-2018《中国金融集成电路(IC)卡规范 第7部分:借记贷记应用安全规范》 4PCI-E/PCI密码卡具有密码运算功能和自身安全保护功能的PCI硬件 板卡设备。《PCI密码卡技术规范》 GM/T0018《密码设备应用接口规范》GM/T0028《密码模块安全技术要求》 5IPSec VPN产品/ 安全网关基于IPSec协议,在通信网络中构建安全通道的设 备。 IPSec VPN产品: GM/T0022《IPSec VPN技术规范》 GM/T0028《密码模块安全技术要求》 IPSec VPN安全网关: GM/T0023《IPSec VPN网关产品规范》 GM/T0028《密码模块安全技术要求》 —3—
序号产品种类产品描述认证依据 6SSL VPN产品/安 全网关基于SSL/TLS协议,在通信网络中构建安全通道的 设备。 SSL VPN产品: GM/T0024《SSL VPN技术规范》 GM/T0028《密码模块安全技术要求》 SSL VPN安全网关: GM/T0025《SSL VPN网关产品规范》 GM/T0028《密码模块安全技术要求》 7安全认证网关采用数字证书为应用系统提供用户管理、身份鉴 别、单点登录、传输加密、访问控制和安全审计服 务的设备。 GM/T0026《安全认证网关产品规范》 GM/T0028《密码模块安全技术要求》 8密码键盘用于保护PIN输入安全并对PIN进行加密的独立式 密码模块。包括POS主机等设备的外接加密密码键 盘和无人值守(自助)终端的加密PIN键盘。 GM/T0049《密码键盘密码检测规范》 GM/T0028《密码模块安全技术要求》 9金融数据密码机用于确保金融数据安全,并符合金融磁条卡、IC卡 业务特点的,主要实现PIN加密、PIN转加密、 MAC产生和校验、数据加解密、签名验证以及密 钥管理等密码服务功能的密码设备。 GM/T0045《金融数据密码机技术规范》 GM/T0028《密码模块安全技术要求》 10服务器密码机能独立或并行为多个应用实体提供密码运算、密钥 管理等功能的设备。GM/T0030《服务器密码机技术规范》GM/T0028《密码模块安全技术要求》 11签名验签服务器用于服务端的,为应用实体提供基于PKI体系和数 字证书的数字签名、验证签名等运算功能的服务 器。 GM/T0029《签名验签服务器技术规范》 GM/T0028《密码模块安全技术要求》 12时间戳服务器基于公钥密码基础设施应用技术体系框架内的时 间戳服务相关设备。GM/T0033《时间戳接口规范》 GM/T0028《密码模块安全技术要求》 —4—
商用密码产品开发和生产管理条例
商用密码管理条例 第一章总则 第一条为了加强商用密码管理,保护信息安全,保护企业和商用密码产品用户的合法权益,制定本条例。 第二条本条例所称商用密码,是指对不涉及公司秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。 第二章科研、生产管理 第三条本公司是由国家密码管理机构指定的商用密码产品销售许可单位,具有相应的技术力量和设备,能够采用先进的编码理论和技术,编制的商用密码算法具有较高的保密强度和抗攻击能力。 第四条商用密码的科研成果,需要由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。 第六条生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。 第七条商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。 第三章销售管理 第八条本单位已通过国家密码管理机构许可,可合法的销售商用密码产品。 第九条销售商用密码产品,应当严格按照国家密码局颁布的商用密码销售许可条例,并且应配备一下条件: (一)有熟悉商用密码产品知识和承担售后服务的人员; (二)有完善的销售服务和安全管理规章制度; (三)有独立的法人资格。 第十条销售商用密码产品,必须如实登记直接使用商用密码产品的用户的名称(姓名)、地址(住址)、组织机构代码(居民身份证号码)以及每台商用密码产品的用途,并及时的将登记情况报国家密码管理机构备案。(一个季度进行一次季报) 第四章使用管理 第十一条销售人员只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。 第十二条已购买商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品发生故障,报废、销售商用密码产品,应指派专人进行维修、并向国家密码管理机构备案。 第五章安全、保密管理 第十三条商用密码产品的科研、生产,应当在符合安全、保密要求的环境中进行。销售、运输、保管商用密码产品,应当采取相应的安全措施。 任职商用密码产品的科研、生产和销售的人员,必须对所接触和掌握的商用密码技术承担保密义务。 第十四条宣传、公开展览商用密码产品,必须事先报国家密码管理机构批准。 第六章附则
商用密码测评
按照测评内容的不同,密码测评体系主要分为三个层次:密码算法测评、密码模块测评和密码系统评估。密码算法测评的主要对象是底层的密码算法,如分组算法、序列算法、公钥算法;实现了密码算法的密码模块是密码评测的第二层内容,密码模块有硬件实现、软件实现、或软硬件混合实现等方式;实现了多个密码模块的密码系统是评测体系的第三层内容。由于密码系统最终会由其他应用所使用,所以密码系统的评估对于信息安全、应用系统稳定也有重要的意义。 密码算法测评现有的技术存在一些问题:如检测方法过多地集中于黑盒式测试;缺乏有效的白盒测试方法;密码分析的自动化程度偏低,主要还是使用人工测试为主;检测方法存在着大量冗余检测,很多检测方法存在重叠,检测效率较低;算法评估缺乏科学有效的评估模型与机制,无法有效的评估密码算法是否合规是否安全。我们密码算法测评的研究也主要是研究这些问题的解决方法,主要的研究内容有:1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。2、检测方法相关性分析研究,研究各类现有检测方法,分析其关联性,提高检测效率。3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。4、评估模型、密码检测指标研究,形成密码评估检测标准,为密码算法的合理评估提供科学依据与量化指标。 关于密码模块的测评研究,我们主要集中在密码模块的自动化检测技术方面,主要包括密码模块实现正确性检验、实现安全性检验以
及实现效率检测等内容。密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提供科学的参考数据,从而提高对密码产品安全隐患的发现能力。 密码系统评估技术研究,可以使用一个金字塔模型来概括:(一)研究适合于密码系统的风险评估原理和模型;(二)研究能够反映密码系统安全性需求的指标体系,包括评估准则、风险指标体系的建立等;(三)研究密码系统的评估方法和密码系统安全风险管理;(四)研究密码系统评估的原型系统设计与实现等内容;最终达到金字塔的顶端:形成完善的密码系统评估准则;合理的密码系统评估流程;实用的密码系统评估方法。概括的讲就是“四个层次三个目标”。 密码测评的研究具有重要的现实意义:1、提高密码测评的基础理论水平:增强对密码测评基础理论与关键技术的研究支持。提高我国密码测评的基础理论水平,从根本上提升我国检测认证工作的先进性。2、增强对密码测评标准规范的研究与相关工作的制定:密码检测系列标准规范,它将为密码算法和密码产品测评的合理化、规范化提供重要的共性技术支撑。3、增强对密码测评自动化工具与平台的研究支持:研制密码测评工具平台将大大提高测评效率,增强检测健壮性,也将有效促进密码测评技术在信息安全领域的应用。4、增强密码测评人才队伍的建设:密码检测认证人员将成为信息安全从业人员的重要组成部分
商用密码产品使用管理规定
商用密码产品使用管理规定 国家密码管理局公告 (第 8 号) 现公布《商用密码产品使用管理规定》,自2007年5月1日起施行。 国家密码管理局 2007年3月24日 商用密码产品使用管理规定 第一条为了规范商用密码产品使用行为,根据《商用密码管理条例》,制定本规定。 第二条中国公民、法人和其他组织使用商用密码产品的行为适用本规定。 第三条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品。 第四条国家密码管理局主管全国的商用密码产品使用管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第五条中国公民、法人和其他组织需要对不涉及国家秘密内容的信息进行加密保护或安全认证的,均可以使用商用密码产品。 使用商用密码产品,应当遵守国家法律,不得损害国家利益、社会公共利
益和其他公民的合法权益,不得利用商用密码产品进行违法犯罪活动。 第六条中国公民、法人和其他组织都应当使用国家密码管理局准予销售的商用密码产品,不得使用自行研制的或境外生产的密码产品。 国家密码管理局定期公布准予销售的商用密码产品目录。 第七条需要使用商用密码产品的,应当到商用密码产品销售许可单位购买。 购买商用密码产品应当向商用密码产品销售许可单位出示本人身份证,说 明直接使用商用密码产品的用户名称(姓名)、地址(住址)以及产品用途, 提供用户组织机构代码证(居民身份证)复印件。 第八条需要维修商用密码产品的,应当交该产品的生产单位或销售单位维修。 第九条外商投资企业(包括中外合资经营企业、中外合作经营企业、外资企业、外商投资股份有限公司等)确因业务需要,必须使用境外生产的密码产 品与境外进行互联互通的,经国家密码管理局批准,可以使用境外生产的密码 产品。 外商投资企业申请使用境外生产的密码产品,应当事先填写《使用境外生 产的密码产品登记表》,交所在地的省、自治区、直辖市密码管理机构。 省、自治区、直辖市密码管理机构自受理申请之日起5个工作日内,对 《使用境外生产的密码产品登记表》进行审查并报国家密码管理局。 国家密码管理局应当自省、自治区、直辖市密码管理机构受理申请之日起 20个工作日内,对《使用境外生产的密码产品登记表》进行审核。准予使用的,发给《使用境外生产的密码产品准用证》。 《使用境外生产的密码产品准用证》有效期3年。 第十条使用境外生产的密码产品的外商投资企业的名称、地址、密码产品用途发生变更的,应当自变更之日起10日内,到所在地的省、自治区、直辖市密码管理机构办理《使用境外生产的密码产品准用证》更换手续。 第十一条外商投资企业终止使用境外生产的密码产品的,应当自终止使用之日起30日内,书面告知所在地的省、自治区、直辖市密码管理机构,并交回《使用境外生产的密码产品准用证》。 第十二条外商投资企业申请使用的密码产品需要从境外进口的,应当申请办理《密码产品进口许可证》。 密码产品入境时,外商投资企业应当向海关如实申报并提交《密码产品进 口许可证》,海关凭此办理验放手续。 第十三条用户不得转让其使用的密码产品。 第十四条违反本规定的行为,依照《商用密码管理条例》予以处罚。
商用密码产品品种和型号申请材料通用
感谢观看 附件2 商用密码产品品种和型号 申请材料 (通用产品类) 项目名称: 申报单位:(加盖单位公章) 年月日
编制说明 1. 本材料由产品研制单位编写并提交,包括商用密码产品品种和型号申请书、商用密码产品相关技术材料、具有与生产商用密码产品相适应的质量保证能力和信用状况的情况说明3个部分。 2.编写要求: (1)语言规范、文字简练、重点突出、描述清晰、内容全面、附件齐全; (2)采用A4幅面,上边距2.5厘米,下、左、右边距均为2厘米;正文内容宋体四号字,1.5倍行距,标题加黑并可适当增加字号;各部分应单独编排目录和页码; (3)涉及到的外文缩写要注明全称,采用的商用密码产品应给出准确完整的型号; (4)材料内容不得涉及国家秘密; (5)材料中有关描述应与产品最新状态保持一致; 3.提交要求: (1)简易胶装并使用彩色纸张隔开各部分,加盖单位公章,同时提交电子版光盘; (2)一式2份,国家密码管理局和申请单位所在省(区、市)密码管理部门各一份; (3)正式提交时,请删除本文档编制说明性内容(楷体); (4)涉及落款日期应以材料最后提交时间为准。
目录 一、商用密码产品品种和型号申请书 二、商用密码产品相关技术材料 1.技术工作总结报告 2.安全性设计报告 3.用户手册 三、具有与生产商用密码产品相适应的质量保证能力和信用状况的情况说明
一、商用密码产品品种和型号申请书
商用密码产品品种和型号申请书 XX省(区、市)密码管理局并报国家密码管理局: 按照国家商用密码管理和标准规范相关要求,我单位研制了XXXX(产品名称),该产品基本情况为(遵循技术标准、符合GM/T 0028-2014《密码模块安全技术要求》安全等级第X级、支持算法、密码功能、应用领域,如申请商用密码产品型号续期,请简要说明情况,一页以内),现依据有关规定,提出商用密码产品品种和型号申请,请予审批。 (单位名称,加盖公章) 年月日联系人: 联系电话:
安全操作系统产品密码检测准则
安全操作系统产品密码检测准则 Cipher Test Criteria for Secure Operating Systems 国家密码管理局商用密码检测中心 2009年4月
目 次 1范围 (2) 2 规范性引用文件 (2) 3 术语、定义和缩略语 (2) 3.1 术语和定义 (2) 3.2 缩略语 (3) 4 检测内容 (3) 4.1 密码算法的正确性和一致性检测 (3) 4.2 密码功能应用有效性检测 (3) 4.3 密钥管理检测 (5) 4.4 密码性能检测 (6) 4.5 随机数质量检测 (6) 4.6 素性检测 (6) 5 文档要求 (6) 5.1系统框架结构 (6) 5.2 密码子系统框架结构 (6) 5.3 密码子系统函数接口 (7) 5.4 密码子系统函数接口示例代码 (7) 5.5 源代码 (8) 5.6 不存在隐式通道的声明 (8) 5.7 密码自测试或自评估报告 (8) 附录A 静态库、动态库及类似封装形式说明表示例 (9)
安全操作系统产品密码检测准则 1范围 本准则规定了安全操作系统产品的密码检测内容,适用于政府采购法规定范围内的安全操作系统产品密码检测。 2 规范性引用文件 下列文件中的条款通过本准则的引用而成为本准则的条款。凡是标注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本准则,然而,鼓励根据本准则达成协议的各方研究是否可使用这些文件的最新版本。凡是不标注日期的引用文件,其最新版本适用于本准则。 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 《随机性检测规范》 国家密码管理局 3 术语、定义和缩略语 3.1 术语和定义 3.1.1 安全操作系统 Secure Operating System 本准则所指的安全操作系统是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略,并实现了GB 17859-1999《计算机信息系统安全保护等级划分准则》所确定的安全等级三级(含)以上的操作系统。包括独立的安全操作系统软件产品和集成或内置了安全操作系统的产品。 3.1.2 对称密码算法 Symmetric Cryptographic Algorithm 加密密钥与解密密钥相同,或容易由其中任意一个密钥推导出另一个密钥,称该密码算法为对称密码算法。 3.1.3 非对称密码算法 Asymmetric Cryptographic Algorithm 加解密使用不同密钥的密码算法。其中一个密钥(公钥)可以公开,另一个密钥(私钥)必须保密,且由公钥求解私钥是计算不可行的。 3.1.4 杂凑算法 Hash Function 杂凑算法又称为散列算法、哈希算法或数据摘要算法,是能够将一个任意长的比特串映射到一个固定长的比特串的一类函数。 3.1.5 密钥管理 Key Management 在既定安全策略指导下密钥的生成、分发、存储、使用、更新、导入与导出、备份、恢复、归档和销毁。 3.1.6 测试对象 Target of Testing 本准则测试对象专指安全操作系统产品。
一文读懂商用密码应用性评估流程
一文读懂商用密码应用性评估流程 由海量数据、复杂结构、多样应用共同组成的“网络空间”,已经成为继陆地、海洋、天空、太空之后的“第五空间”,并且已经演变成各个国家争抢的新领域,以及未来军事较量的新战场。网络空间已经纳入国家安全战略范围。 由海量数据、复杂结构、多样应用共同组成的“网络空间”,已经成为继陆地、海洋、天空、太空之后的“第五空间”,并且已经演变成各个国家争抢的新领域,以及未来军事较量的新战场。网络空间已经纳入国家安全战略范围。 一、法律规定
《中华人民共和国密码法》第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。二、密评的意义 密评是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性、有效性进行评估的活动。 密评是衡量商用密码应用是否合规、正确、有效的重要手段,也是维护网络空间安全、规范商用密码应用的客观要求,同时也是加强事中和事后监管的方法,是网络信息系统运营者和主管部门必须承担的法律责任。 三、密评职责 1、网络信息系统责任单位 ?规划阶段依据商密技术标准制定合规的密码应用方案。 ?系统建设完成后,开展密评,合格后投入运行。 ?运行期间定期开展密评,不断整改优化。 ?发生安全事件时,开展密评,进行应急处置和安全方案措施。 ?完成密评工作后,要在30个工作日内到本地密码管理部门备案。 2、测评机构和测评人员 ?经过国家密码管理部门审核,取得资格,纳入测评机构目录。 ?按照法律法规和标准要求科学、公正的开展密评。
商用密码产品生产管理规定
商用密码产品生产管理规定 颁布单位:国家密码管理局 国家密码管理局公告 (第5号) 现公布《商用密码产品生产管理规定》,自2006年1月1日起施行。 国家密码管理局 2005年12月11日 商用密码产品生产管理规定 第一条为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。 第二条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。 第三条商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。 第四条商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。未经指定,任何单位和个人不得生产商用密码产品。 商用密码产品的品种和型号必须经国家密码管理局批准。
第五条国家密码管理局主管全国的商用密码产品生产管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第六条国家密码管理局根据商用密码发展的需要,指定商用密码产品生产定点单位。 商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。 第七条国家密码管理局指定商用密码产品生产定点单位原则上定期集中进行。 指定商用密码产品生产定点单位的程序如下: (一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构; (二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见; (三)国家密码管理局对通过初审的单位进行实地考察; (四)国家密码管理局作出指定决定并告知指定结果。 第八条被指定为商用密码产品生产定点单位的,由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。 《商用密码产品生产定点单位证书》有效期3年。 第九条商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内,到所在地的工商行政管理部门办理许可经营项目登记手续。 第十条国家密码管理局对商用密码产品生产定点单位进行年度考核。 商用密码产品生产定点单位应当于每年3月1日之前,填写《商用密码产品生产定点单位考核表》并交所在地的省、自治区、直辖市密码管理机构。省、自治区、直辖市密码管理机构应当于3月31日之前将考核意见报国家密码管理局。 考核结果由国家密码管理局公布。考核不合格的,撤销其商用密码产品生产定点单位资质。商用密码产品生产定点单位未在规定期限内填报考核材料的,视为考核不合格。 取得《商用密码产品生产定点单位证书》未满6个月的,不参加该年度的考核。
《商用密码产品生产管理规定》
国家密码管理局公告 (第5 号) 现公布《商用密码产品生产管理规定》,自2006年1月1日起施行。 国家密码管理局 2005年12月11日 商用密码产品生产管理规定 第一条为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。 第二条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。 第三条商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。 第四条商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。未经指定,任何单位和个人不得生产商用密码产品。 商用密码产品的品种和型号必须经国家密码管理局批准。 第五条国家密码管理局主管全国的商用密码产品生产管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第六条国家密码管理局根据商用密码发展的需要,指定商用密码
产品生产定点单位。 商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。 第七条国家密码管理局指定商用密码产品生产定点单位原则上 定期集中进行。 指定商用密码产品生产定点单位的程序如下: (一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构; (二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见; (三)国家密码管理局对通过初审的单位进行实地考察; (四)国家密码管理局作出指定决定并告知指定结果。 第八条被指定为商用密码产品生产定点单位的,由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。 《商用密码产品生产定点单位证书》有效期3年。 第九条商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内,到所在地的工商行政管理部门办理 许可经营项目登记手续。 第十条国家密码管理局对商用密码产品生产定点单位进行年度 考核。
2015年商用密码产品行业分析报告
2015年商用密码产品行业分析报告 2015年3月
目录 3一、行业管理 ............................................................................................ 3 1、行业主管部门 .................................................................................................... 2、主要法律法规、政策、产业政策 (4) (1)信息安全行业主要法律法规 (4) (2)相关产业政策 (5) 二、行业发展及市场概述 (8) 1、软件和信息技术服务业发展概况 (8) 8 2、信息安全市场发展概况 .................................................................................... 3、商用密码产品现状及未来发展趋势 (10) 11三、行业壁垒 .......................................................................................... 11 1、人才及技术壁垒 .............................................................................................. 2、资质壁垒 .......................................................................................................... 11 12 3、市场壁垒 .......................................................................................................... 12 4、资金壁垒 .......................................................................................................... 四、行业竞争格局及主要企业 (12) 1、信息安全领域及商用密码领域 (12) 13 2、主要企业 .......................................................................................................... (1)吉大正元信息技术股份有限公司 (13) (2)上海格尔软件股份有限公司 (14) (3)成都卫士通信息产业股份有限公司 (14) (4)飞天诚信科技股份有限公司 (14)
商用密码使用情况自查报告doc
商用密码使用情况自查报告 篇一:XX商用密码自查报告 XX社网络与信息安全商用密码 自查工作总结报告 根据上级网络安全管理文件精神,XX社成立了网络与信息安全商用密码检查工作领导小组,在组长XX的领导下,组织相关人员对我社商密进行了一次全面的调查。发现问题,分析问题,解决问题,从而提升密码安全防护能力和防护水平,切实保障信息系统安全。现将自查情况汇报如下: 一、加强领导,成立了网络与信息商密安全工作领导小组我社领导高度重视密码安全保密工作,成立了网络与信息商密安全工作领导小组,安全工作领导小组组长为XX,副组长XX,成员有XX。做到分管领导负责抓,责任部门具体抓;同时严格实行密码安全保密责任制,切实做到责任落实到人。 领导小组还要求相关部门和工作人员认真学习保密法律法规和密码安全保密工作的各项规定,从思想上切实提高对商用密码安全保密工作重要性的认识,遵守保密纪律,依照密码保密程序办事,及时消除密码保密安全隐患,减少安全风险,把密码安全保密要求落实到日常具体工作中,坚决杜绝泄密事件的发生。 二、抓好密码保密工作人员管理
我社严格按照有关文件对密码工作人员的条件要求,确定思想政治过硬、业务娴熟、责任心强的同志负责管理密码安全,涉及密码登陆业务平台的,均采取即时填写登陆,杜绝明文保存密码。密码工 作人员调离原密码工作岗位的必须向接任同志移交密码,新接任同志接任工作后立即修改密码设置。 三、抓好密码保密工作规章制度建设 根据我社密码使用情况,以及符合密码安全保密工作实际,制定完善了《涉密人员管理制度》、《密码电报管理制度》、《密码设备管理规定》等多项规章制度,内容涵盖电报收发、涉密系统确定、密钥及密钥载体的管理等。明确密码使用人员的保密职责,规范各项业务操作规程,制定泄密追究机制,从源头切实防范密码丢失、泄密的发生。 四、抓好密码设备使用环境及安全防护措施管理 1.是抓好密钥及密钥载体管理。涉密计算机设置的用户密码由专门人员保存,严禁将密码转告其它非涉密人员;因工作需要确须转告的,应事先请示分管领导批准。信息员负责确保密钥和操作密码的安全,不得将密钥转借他人使用,若因个人原因丢失,应当及时报告,否则由此造成的不良后果由密钥持有人承担相应责任。密钥因损坏且无法修复的,应及时向上级汇报,申请换发新密钥,同时将毁损的密钥交回。