商用密码应用与安全性评估pdf
商用密码应用安全性评估
1基本情况1.1 商用密码应用安全性评估商用密码应用安全性评估(以下简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。
《密码法》第二十七条规定“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估”。
《商用密码应用安全性评估管理办法(试行)》第三条规定“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统”。
第十条规定“关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次,测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行”。
《国家政务信息化项目建设管理办法(国办发〔2019〕57 号)》中对政务信息系统的商用密码应用与评估工作提出了相应要求。
由此可知,关基、政务等领域必须开展商用密码应用建设与评估工作。
为了有效推进密评工作,在密码相关主管部门的推动下,GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》、GM/T 0115—2021《信息系统密码应用测评过程指南》、GM/T 0116—2021《信息系统密码应用测评要求》《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》和《商用密码应用安全性评估FAQ》等标准和指导性文件相继出台,为密评工作的快速开展奠定了良好基础。
1.2 密评目前存在的主要问题密码技术应用具有专业性较强、技术复杂度高的特点,通常与业务系统联系紧密。
商用密码应用安全性评估及其相关标准
商用密码应用安全性评估及其相关标准作者:谢宗晓董坤祥甄杰来源:《中国质量与标准导报》2022年第02期1 概述商用密码应用安全性评估(以下简称:密评),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
这是继网络安全等级保护(以下简称:等级保护)之后,信息安全领域又一体系化的制度,至于称为“评估”还是“测评”,并不重要,其框架大致都遵循了传统的检测认证工作,这一点也可以从相关公文1)中得到验证。
和等级保护一样,密评也有法律依据。
《中华人民共和国网络安全法》第二十一条明确指出:国家实行网络安全等级保护制度。
《中华人民共和国密码法》的第二十七条规定如下:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
2 密评相关标准检测认证的标准体系与ISO/IEC 27000标准族的设计基本都是一致的,其来源为ISO 9000标准族的框架,大致包括:要求类标准、指南类标准,如实施指南、测评(或检测、评估)等指南、机构要求(可能包括人员要求)类的认可标准。
例如,国家标准中的网络安全等级保护系列标准架构主要包括:GB/T 22240、GB/T 22239、GB/T 25058、GB/T 25070、GB/T 28448和GB/T 28449等。
其关系大致如图1所示。
密评标准体系的设计大致也遵循了这样的架构。
一般而言,要求类标准是其中最基础的。
GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》是密评体系中的要求类标准,其前身为GM/T 0054—2018,该标准沿用了GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》的框架,将信息系统密码应用自低向高划分为五个等级。
GM/T 0115—2021《信息系统密码应用测评要求》和GM/T 0116—2021《信息系统密码应用测评过程指南》则是针对测评的相关标准。
商用密码应用安全性评估
将任意长度的数据映射为固定长度的哈希值,具有不可逆性 和抗碰撞性,常用于数据完整性校验和密码存储等场景。典 型的哈希函数包括MD5、SHA-1、SHA-256等。
数字签名技术
利用非对称加密算法和哈希函数实现数据完整性验证和身份 认证,广泛应用于电子合同、安全认证等领域。常见的数字 签名算法包括RSA签名、ECDSA签名等。
密钥存储与保护安全性检测
评估密钥存储设备的物理安全性和逻辑安全性,确保密钥 在存储、使用、销毁等生命周期中不被泄露或滥用。
密钥使用与更新安全性检测
监控密钥使用过程,确保其在规定范围内使用,及时检测 和更新弱密钥或泄露密钥,降低安全风险。
智能卡及终端产品安全性检测技术研究
智能卡芯片安全性检测
评估智能卡芯片的抗物理攻击能力、加密算法实现的安全性以及卡片操作系统的安全性。
模糊测试
通过向密码算法输入大量随机或异常数据,检测其异常处理、错误 反馈等机制是否健壮,评估算法实现的安全性。
侧信道分析
利用密码算法实现过程中的电磁辐射、功耗、声音等侧信道信息,分 析算法实现的安全性,防范物理攻击。
密钥管理系统安全性检测技术研究
密钥生成与分发安全性检测
检测密钥生成算法的安全性和随机性,确保密钥分发过程 中不被泄露或篡改。
商用密码应用安全性
评估
汇报人:
汇报时间:
• 密码学基础与商用密码概述 • 商用密码应用现状分析 • 安全性评估方法与标准体系介绍 • 商用密码产品安全性检测技术研
究
目录
• 风险评估与应对策略制定过程剖 析
• 总结与展望:提高商用密码应密码学基础与商用密码概述
密码学发展历程
01
02
03
商用密码应用安全性评估-培训
(依法依规、灵活变通落实、避免重 复设计)
4.等保中密码要求有哪些
(分级要求与通用要求)
5.运营单位如何开展密评工作
(密评机构的介入时机,参与内容)
6.不做密评或者密评不合格会有什么
影响
常用密码应用基本设计介绍
网络整体架构
常用密码应用基本设计介绍
手机银行、网上银行密码应用方案
• 2018年4月,全国网络安全和信息化工作会议 • 没有网络安全就没有国家安全.,就没有经济社会
稳定运行,广大人民群众利益也难以得到保障
核心技术自主创新要求
• 网络安全的本质在对抗,对抗的关键在技术 • 核心技术靠化缘是要不来的 • 加快推进国产自主可控替代计划,构建安全可
控的信息技术
法律依据
《中华人民共和国密码法》 第二十七条
安全管理
• 制度、人员、实施、应急要求
密钥管理
• 密钥全生命周期管理
以评促用
• 商用密码应用产品的推广. • 促使用户重视网络安全
常见问题解答及常见密码应用方案设计
常见问题
1.运营单位怎么判断是否需要开展商
用密码应用安全性评估
2.责任单位怎么判断是否需要使用商
用密码并开展商用密码应用安全性评 估
主要政策及法规
法律依据
《中华人民共和国密码法》 第二十七条
法律、行政法规和国家有关规定要求使 用商用密码进行保护的关键信息基础设施, 其运营者应当使用商用密码进行保护,自行 或者委托商用密码检测机构开展商用密码应 用安全性评估。商用密码应用安全性评估应 当与关键信息基础设施安全检测评估、网络 安全等级测评制度相衔接,避免重复评估、 测评。
关键信息基础设施的运营者采购涉及商 用密码的网络产品和服务,可能影响国家安 全的,应当按照《中华人民共和国网络安全 法》的规定,通过国家网信部门会同国家密 码管理部门等有关部门组织的国家安全审查。
国家密码管理局关于发布《商用密码检测机构(商用密码应用安全性评估业务)目录》的公告
国家密码管理局关于发布《商用密码检测机构(商用密码应用安全性评估业务)目录》的公告文章属性•【制定机关】国家密码管理局•【公布日期】2024.11.11•【文号】国家密码管理局公告第49号•【施行日期】2024.11.11•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保密正文国家密码管理局公告第49号关于发布《商用密码检测机构(商用密码应用安全性评估业务)目录》的公告依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》,现发布《商用密码检测机构(商用密码应用安全性评估业务)目录》。
即日起,商用密码应用安全性评估试点工作正式结束,未取得商用密码检测机构(商用密码应用安全性评估业务)资质的机构不得面向社会开展商用密码应用安全性评估业务。
特此公告。
附件:商用密码检测机构(商用密码应用安全性评估业务)目录国家密码管理局2024年11月11日商用密码检测机构(商用密码应用安全性评估业务)目录(排名不分先后)北京国家金融科技认证中心有限公司北京京投信安科技发展有限公司北京全路通信信号研究设计院集团有限公司北京时代新威信息技术有限公司北京市产品质量监督检验研究院北京中科卓信软件测评技术中心北京卓识网安技术股份有限公司工业和信息化部密码应用研究中心公安部第一研究所信息安全等级保护测评中心公安部网络安全等级保护评估中心国家广播电视总局广播电视科学研究院国家信息技术安全研究中心国网计量中心有限公司商用密码检测认证中心中电信数智科技有限公司中国电子技术标准化研究院中国电子科技集团公司第十五研究所中国航天系统科学与工程研究院中国科学院软件研究所中国科学院数据与通信保护研究教育中心中国软件评测中心(工业和信息化部软件与集成电路促进中心) 中国铁道科学研究院集团有限公司中国移动通信有限公司研究院中科信息安全共性技术国家工程研究中心有限公司天津恒御科技有限公司天津鲲奥世达科技有限公司天津联信达软件技术有限公司天津市兴先道科技有限公司天津云安科技发展有限公司中互金认证有限公司河北千诚电子科技有限公司河北赛克普泰计算机咨询服务有限公司中国电子科技集团公司第五十四研究所山西晋信安科技有限公司太原清众鑫科技有限公司内蒙古万邦信息安全技术有限公司信元网络技术股份有限公司北方实验室(沈阳)股份有限公司辽宁牧龙科技有限公司沈阳赛宝科技服务有限公司长春金阳高科技有限责任公司国家网络与信息系统安全产品质量检验检测中心上海计算机软件技术开发中心上海市信息安全测评认证中心智巡密码(上海)检测技术有限公司江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心) 金盾检测技术股份有限公司南京南自数安技术有限公司苏州市软件评测中心有限公司杭州安信检测技术有限公司杭州中尔网络科技有限公司浙江辰龙检测技术有限公司浙江东安检测技术有限公司浙江省电子信息产品检验研究院浙江鑫诺检测技术有限公司安徽科测信息技术有限公司安徽信科共创信息安全测评有限公司安正网络安全技术有限公司合肥天帷信息安全技术有限公司福建金密网络安全测评技术有限公司福建智安信息技术有限公司江西神舟信息安全评估中心有限公司江西省网络安全研究院江西智慧云测安全检测中心股份有限公司高维密码测评技术(山东)有限公司山东维平信息安全测评技术有限公司山东新潮信息技术有限公司顶盛科技股份有限公司中科安永科技有限公司湖北东方网盾信息安全技术有限公司湖北星野科技发展有限公司武汉安域信息安全技术有限公司武汉等保测评有限公司湖南省金盾信息安全等级保护评估中心有限公司长沙云创信安科技有限公司鼎铉商用密码测评技术(深圳)有限公司工业和信息化部电子第五研究所广东南方信息安全研究院广东中科实数科技有限公司广州竞远安全技术股份有限公司广州市盛通建设工程质量检测有限公司深圳市博通智能技术有限公司深圳市网安计算机安全检测技术有限公司广西网信信息技术有限公司广西壮族自治区电子信息和网络安全测评研究院海南百安信息技术有限公司海南神州希望网络有限公司海南省国盾信息化发展有限公司海南正邦信息科技有限公司重庆衡鉴信息技术有限公司重庆若可网络安全测评技术有限公司重庆市信息通信咨询设计院有限公司重庆信安网络安全等级测评有限公司重庆信息通信研究院重庆巽诺科技有限公司重庆煜享星科技有限责任公司成都安美勤信息技术股份有限公司成都创信华通信息技术有限公司成都久信信息技术股份有限公司成都市信息系统与软件评测中心豪符密码检测技术(成都)有限责任公司四川省电子产品监督检验所贵州航天计量测试技术研究所云南金质信息技术服务有限公司云南云盾信息安全测评有限公司颢安检测技术(西安)有限责任公司陕西青山四纪信息技术有限公司西安安盟智能科技股份有限公司西安长盛信安信息技术有限公司甘肃安信信息安全技术有限公司青海信安正创检测技术有限公司宁夏泽新信息技术服务有限公司。
商用密码应用安全性评估
我国商用密码应用法定要求
目录
01 密评意义
03 密评主要内容
02 密评责任主体及对象 04 密评体系发展历程
目录
05 密评体系总体架构
07 密评相关标准
06 密评试点机构
商用密码应用安全性评估,简称“密评”,是指在采用商用密码技术、产品和服务集成建设的络和信息系统 中,对其密码应用合规性、正确性和有效性进行评估。
感谢观看
3.商用密码应用有效性评估
商用密码应用有效性评估是指判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效 用,是否满足了信息系统的安全需求,是否切实解决了信息系统面临的安全问题。
密评体系发展历程
密评最早于 2007年提出,经过十余年的积累,密评制度体系不断成熟,其发展经历了四个阶段。
2.商用密码应用正确性评估
商用密码应用正确性评估是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确,即系统 中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现,自定 义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求,密码保障系统建设或改造过程中密码 产品和服务的部署和应用是否正确。
《中华人民共和国密码法》第二十七条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的 关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安 全性评估。
为有效控制安全风险,关键信息基础设施的运营者应当在规划、建设等必要阶段进行评估,系统投入运行后, 还应当定期开展评估。
第四阶段:密评试点开展期(2017年 10月-今)。试点开展过程同时也是机构培育过程,包括机构申报遴选、 考察认定、发布目录、开展试点测评工作并提升测评机构能力、总结试点经验、完善相关规定等。
商用密码应用安全性评估介绍V1.0
目录
01 密评的背景 02 密评的政策要求 03 密评的测评内容 04 密评的流程 05 密评与等保的关系
01
密评的背景
密评的概念 密评的重要性
密评的发展历程
什么是密码
口令(PIN、Password)
➢口令是一个只有你知道的密码的词或短语,是允许进入某个系统的凭证 ➢口令不是密码,但口令的保护离不开密码技术
构建以密码技术为核心、多种技术相互融合的新网 络安全体系,建设以密码基础设施为支撑的新网络 安全环境,形成安全互信、开发共享的新网络安全 文明
规划对各级党委和 政府的要求
各地区需依据本规划制定本地区、 本部门、本行业的实施方案,做好 规划实施的统筹和指导,督促规划 落实。 关键信息基础设施和重要网络信 息系统建设立项时要统筹好密码应 用,政府采购中应明确密码应用要 求。 各级党委和政府要将本规划落实 纳入督查督办事项及网络安全审计 范围。 建立密码应用动态监测体系,及 时开展专项检查,将相关工作纳入 各级以密码基础 设施为支撑的新网络安全 环境。
单位进行重点保障,地五十
三条规定:关键信息基础设
施中的密码使用和管理,还
应遵守密码法律,行政法规
的规定。
2019
《GB/T 39786-2021 信 《网络安全等级保护 息安全技术 信息系统密 基本要求》(等保2.0) 码应用基本要求》
强化网络安全等级保护 中的密码应用。
按国家行业标准,对密码 算法、协议和密钥管理机制, 进行正确的设计和实现;密 码产品及服务的部署和应用 要正确。
密码体系在设计合理、合 规的前提下,还能在系统运 行中发挥密码效用,保障信 息的机密性、完整性、真实 性、抗抵赖性。
商用密码应用安全性估量化评估规则
商用密码应用安全性评估量化评估规则中国密码学会密评联委会二〇二〇年十二月目录1. 范围 (1)2. 规范性引用文件 (1)3. 原则 (1)4. 量化评估框架 (1)5. 量化规则 (2)6. 整体结论判定 (3)商用密码应用安全性评估量化评估规则1.范围本文件依据GB/T AAAAA《信息安全技术信息系统密码应用基本要求》和GM/T BBBB 《信息系统密码应用测评要求》,对信息系统的密码应用情况给出定量评估结果。
本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。
2.规范性引用文件1)GB/T AAAAA《信息安全技术信息系统密码应用基本要求》2)GM/T BBBB《信息系统密码应用测评要求》3.原则本文件按如下原则设计量化评估规则:1)遵循法律法规和最新相关指导性文件的总体要求;2)遵循GB/T AAAAA和GM/T BBBB;3)鼓励使用密码技术;4)特别鼓励使用合规的密码算法/技术/产品/服务;5)优先在网络和通信安全层面、应用和数据安全层面进行密码技术应用。
4.量化评估框架参考GM/T BBBB,本规则从三个方面进行量化评估:●密码使用安全(Cryptography D eployment security)是指,密码技术是否被正确、有效使用,以满足信息系统的安全需求,有效提供机密性、完整性、真实性和不可否认性的保护;●密钥管理安全(K ey management security)是指,密钥管理的全生命周期是否安全,用于密码计算或密钥管理的密码产品/密码服务是否安全。
●密码算法/技术安全(Cryptography A lgorithm/Technique security)是指,信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。
5.量化规则(1)各测评对象的测评结果量化规则密码应用技术要求中,第i个安全层面的第j测评单元的第k测评对象T i,j,k,其量化评估结果S i,j,k∈{0, 0.25, 0.5, 1},其中0表示不符合,1表示符合,其它表示部分符合。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商用密码应用与安全性评估
随着信息技术的发展,密码应用已经成为商业领域中保护数据安全的重要手段。
然而,密码应用的安全性问题也日益引起人们的关注。
本文将从商用密码应用的现状入手,探讨商用密码应用的安全性评估方法,并结合实际案例分析商用密码应用的安全性问题。
一、商用密码应用的现状
随着企业信息化程度的提高,密码应用已经成为保护企业数据安全的重要手段。
在商业领域中,各种密码应用层出不穷,如口令、指纹、面部识别等。
密码应用的安全性是商业应用的重要指标之一。
然而,目前市场上存在着一些安全性问题突出的商用密码应用。
二、商用密码应用的安全性评估方法
为了提高商用密码应用的安全性,需要对其进行安全性评估。
商用密码应用的安全性评估方法包括以下几个方面:
1.密码强度评估
密码强度评估是商用密码应用安全性评估的重要环节之一。
密码强度评估可以通过密码破解软件进行模拟攻击,检测密码强度,从而提高密码的安全性。
2.漏洞扫描
漏洞扫描是商用密码应用安全性评估的另一个重要环节。
漏洞扫描可以检测商用密码应用中可能存在的漏洞,从而及时修复漏洞,提高商用密码应用的安全性。
3.安全性测试
安全性测试是商用密码应用安全性评估的最后一个环节。
安全性测试可以模拟攻击,检测商用密码应用的安全性,从而提高商用密码应用的安全性。
三、商用密码应用的安全性问题分析
商用密码应用存在着一些安全性问题,如密码强度不足、漏洞较多等。
下面将结合实际案例分析商用密码应用的安全性问题。
1.密码强度不足
密码强度不足是商用密码应用安全性问题的一个重要方面。
密码强度不足会导致密码易被破解,从而造成数据泄露。
例如,某企业使用的密码为“123456”,这种密码强度过低,容易被破解,从而导致企业数据泄露。
2.漏洞较多
商用密码应用中存在着较多的漏洞,这些漏洞会被黑客利用,从而导致数据泄露。
例如,某企业使用的商用密码应用存在SQL注入漏洞,黑客利用该漏洞,成功入侵企业系统,导致企业数据泄露。
四、结论
商用密码应用是保护企业数据安全的重要手段。
为了提高商用密码应用的安全性,需要对其进行安全性评估。
商用密码应用的安全性评估方法包括密码强度评估、漏洞扫描和安全性测试。
商用密码应用中存在着密码强度不足、漏洞较多等安全性问题,需要加强安全性管理,提高商用密码应用的安全性。