商用密码产品生产管理规定 第一条为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。 第二条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。 第三条商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。 第四条商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。未经指定,任何单位和个人不得生产商用密码产品。 商用密码产品的品种和型号必须经国家密码管理局批准。 第五条国家密码管理局主管全国的商用密码产品生产管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第六条国家密码管理局根据商用密码发展的需要,指定商用密码产品生产定点单位。 商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。 第七条国家密码管理局指定商用密码产品生产定点单位原则上定期集中进行。 指定商用密码产品生产定点单位的程序如下:
(一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构; (二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见; (三)国家密码管理局对通过初审的单位进行实地考察; (四)国家密码管理局作出指定决定并告知指定结果。 第八条被指定为商用密码产品生产定点单位的,由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。 《商用密码产品生产定点单位证书》有效期3年。 第九条商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内,到所在地的工商行政管理部门办理许可经营项目登记手续。 第十条国家密码管理局对商用密码产品生产定点单位进行年度考核。 商用密码产品生产定点单位应当于每年3月1日之前,填写《商用密码产品生产定点单位考核表》并交所在地的省、自治区、直辖市密码管理机构。省、自治区、直辖市密码管理机构应当于3月31日之前将考核意见报国家密码管理局。 考核结果由国家密码管理局公布。考核不合格的,撤销其商用密码产品生产定点单位资质。商用密码产品生产定点单位未在规定期限内填报考核材料的,视为考核不合格。 取得《商用密码产品生产定点单位证书》未满6个月的,不参加该
商用密码应用与安全性评估 导语 密码是国之重器,是网络空间安全体系的基石,在网络安全防护中具有不可替代的重要作用。但密码技术只有得到合规、正确、有效应用,才能发挥安全支撑作用。而在实际应用中,密码技术可能被弃用、乱用、误用,导致应用系统的安全性得不到有效保障,甚至一些不合规、不安全的密码产品和实现还会遭受攻击者的入侵和破坏,造成比不用密码技术更广泛、更严重的安全问题。商用密码应用安全性评估(简称“密评”)正是为了避免或纠正密码应用过程中可能出现的安全性问题。密评是指在采用商用密码技术、产品和服务集成建设的网络与信息系统中,对其密码应用的合规性、正确性、有效性等进行评估。如同风险评估是信息安全管理过程的重要组成部分一样,密评也是密码应用管理过程的重要组成部分和不可缺失的环节。密评的重要性和必要性还在于:密评是商用密码检测认证体系建设的重要组成部分,是衡量商用密码应用是否合规、正确、有效的重要抓手。建立完善密评制度,开展密评工作,是贯彻落实密码法、维护网络空间安全、规范商用密码应用的客观要求,是深化商用密码“放管服”改革的重要手段,是商用密码管理的基础性和开创性工作,也是重要领域网络与信息系统运营者和主管部门必须承担的法定责任。 一、对商用密码的管理 商用密码产品是指采用商用密码技术实现加密解密或安全认证操作等功能的专用硬件、软件。
1、密码的分类 根据《中华人民共和国密码法》第6、7、8条:密码分为核心密码、普通密码、商用密码。 ?核心密码、普通密码: 用于保护国家秘密信息。 核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。 ?商用密码用于保护不属于国家秘密的信息。 由上述密码分类方式知,大众消费类产品所采用的密码,也属于商用密码。 2、旧条例对商用密码的专控管理 对于商用密码产品的管理,我印象非常深刻的是:1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理,规定“商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格”,“任何单位或个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品”。当初的这条规定,意味着所有的商用密码产品都要受到专门控制,包括大众消费类产品所采用的商用密码。比如说,某个人想使用自编的小加密程序,来加密自己的隐私数据,也需经过国家密码管理机构的认可。这在实际操作中完全是不可行的。对此,笔者一直非常困惑。 3、新密码法对商用密码的管理
信息安全等级保护商用密码测评机构审批 服务指南 一、适用范围 本指南适用于信息安全等级保护商用密码测评机构审批的申请和办理。 二、项目信息 项目名称:信息安全等级保护商用密码测评机构审批 子项名称:无 审批类别:非行政许可审批(正在履行新设行政许可程序) 项目编号:60012 三、办理依据 《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)第九条:“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。” 《信息安全等级保护管理办法》(公通字〔2007〕43号)第一条:“为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。” 第三十八条:“信息系统中的密码及密码设备的测评工
作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。” 《信息安全等级保护商用密码管理办法》(国密局发〔2007〕11号)第十一条:“信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。” 四、受理机构 国家密码管理局 五、决定机构 国家密码管理局 六、审批数量 无数量限制 七、办事条件 申请人应当具备以下条件: 1.独立法人资格的企事业单位; 2.产权关系明晰,资产总值不低于1000万元; 3.具备信息安全系统测评相关经验,具有密码相关工作经验的专业技术人员,人数不少于30人; 4.具备必要的系统测评环境、设备和设施; 5.具有完备的系统测评质量管理、安全保密管理和人员管理等规章制度; 6.申请单位的法人性质、产权构成以及组织结构能够保证其公正、独立地实施系统测评活动,不从事密码产品生产、
倪光南:航天科工“商密网”是实行自主可控替代的典型 【观察者网讯】日前,在乌镇举行的第四届世界互联网大会上,中国工程院院士倪光南做了《使中国“泛互联网之树”根深叶茂》的报告。倪光南介绍称,航天科工“商密网”是实行自主可控替代的典型,此外,航天昆仑数据库一体机等人们不熟悉的自主创新实例表明,在网信领域,整体上中国已进入第一梯队,正从跟跑向跟跑并跑发展。 倪光南表示,不久前,在“砥砺奋进的五年·大型成就展”上,“泛互联网之树”成果引人注目,可以说是“根深叶茂”。 “根深”指这棵树扎根扎实,基本具备了核心芯片、基础软件、关键设备等三个方面的支撑,沿着这个方向前进,我们的网信事业就可以不受制于人、持续健康发展。 “叶茂”指这棵树惠及到社会经济的每个角落,惠及到千家万户,惠及到每一个人。今天中国的“新四大发明”——高铁、网购、移动支付和共享单车,这后三项基本上都是互联网应
用推广的成果。 根深才能叶茂。为了使“泛互联网之树”能持续发展,取得更 大成果,我们要使它扎根更深、更牢,为此要坚持安全和发展同步推进,还要尽快弥补我国网信技术的短板。 倪光南称,网信领域的软硬件是形成技术体系的,单项软硬件不成气候,要使网信事业能持续健康发展,必须打造安全可控的信息技术体系。近年来,政府部门推行国产自主可控替代计划:在桌面领域要用国产操作系统+CPU构成的电脑及其应用去替代Wintel架构电脑及其应用。 这方面我们和世界网络强国——美国相比,还有很大的差距,例如我国网信技术和产品的对外技术依存度很高。而美国网信领域几乎不依赖于外国,几乎全用本国的软硬件产品和服务。 据工信部测评,目前国产软硬件基本上达到了可用阶段,与
附件1 商用密码产品认证目录(第一批) 序号产品种类产品描述认证依据 1智能密码钥匙实现密码运算、密钥管理功能的终端密码设备,一 般使用USB接口形态。GM/T0027《智能密码钥匙技术规范》GM/T0028《密码模块安全技术要求》 2智能IC卡实现密码运算和密钥管理功能的含CPU(中央处理 器)的集成电路卡,包括应用于金融等行业领域的 智能IC卡。 GM/T0041《智能IC卡密码检测规范》 GM/T0028《密码模块安全技术要求》 3POS密码应用系统 ATM密码应用系统 多功能密码应用 互联网终端 为金融终端设备提供密码服务的密码应用系统。 GM/T0028《密码模块安全技术要求》 JR/T0025-2018《中国金融集成电路(IC)卡规范 第7部分:借记贷记应用安全规范》 4PCI-E/PCI密码卡具有密码运算功能和自身安全保护功能的PCI硬件 板卡设备。《PCI密码卡技术规范》 GM/T0018《密码设备应用接口规范》GM/T0028《密码模块安全技术要求》 5IPSec VPN产品/ 安全网关基于IPSec协议,在通信网络中构建安全通道的设 备。 IPSec VPN产品: GM/T0022《IPSec VPN技术规范》 GM/T0028《密码模块安全技术要求》 IPSec VPN安全网关: GM/T0023《IPSec VPN网关产品规范》 GM/T0028《密码模块安全技术要求》 —3—
序号产品种类产品描述认证依据 6SSL VPN产品/安 全网关基于SSL/TLS协议,在通信网络中构建安全通道的 设备。 SSL VPN产品: GM/T0024《SSL VPN技术规范》 GM/T0028《密码模块安全技术要求》 SSL VPN安全网关: GM/T0025《SSL VPN网关产品规范》 GM/T0028《密码模块安全技术要求》 7安全认证网关采用数字证书为应用系统提供用户管理、身份鉴 别、单点登录、传输加密、访问控制和安全审计服 务的设备。 GM/T0026《安全认证网关产品规范》 GM/T0028《密码模块安全技术要求》 8密码键盘用于保护PIN输入安全并对PIN进行加密的独立式 密码模块。包括POS主机等设备的外接加密密码键 盘和无人值守(自助)终端的加密PIN键盘。 GM/T0049《密码键盘密码检测规范》 GM/T0028《密码模块安全技术要求》 9金融数据密码机用于确保金融数据安全,并符合金融磁条卡、IC卡 业务特点的,主要实现PIN加密、PIN转加密、 MAC产生和校验、数据加解密、签名验证以及密 钥管理等密码服务功能的密码设备。 GM/T0045《金融数据密码机技术规范》 GM/T0028《密码模块安全技术要求》 10服务器密码机能独立或并行为多个应用实体提供密码运算、密钥 管理等功能的设备。GM/T0030《服务器密码机技术规范》GM/T0028《密码模块安全技术要求》 11签名验签服务器用于服务端的,为应用实体提供基于PKI体系和数 字证书的数字签名、验证签名等运算功能的服务 器。 GM/T0029《签名验签服务器技术规范》 GM/T0028《密码模块安全技术要求》 12时间戳服务器基于公钥密码基础设施应用技术体系框架内的时 间戳服务相关设备。GM/T0033《时间戳接口规范》 GM/T0028《密码模块安全技术要求》 —4—
商用密码管理条例 第一章总则 第一条为了加强商用密码管理,保护信息安全,保护企业和商用密码产品用户的合法权益,制定本条例。 第二条本条例所称商用密码,是指对不涉及公司秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。 第二章科研、生产管理 第三条本公司是由国家密码管理机构指定的商用密码产品销售许可单位,具有相应的技术力量和设备,能够采用先进的编码理论和技术,编制的商用密码算法具有较高的保密强度和抗攻击能力。 第四条商用密码的科研成果,需要由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。 第六条生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。 第七条商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。 第三章销售管理 第八条本单位已通过国家密码管理机构许可,可合法的销售商用密码产品。 第九条销售商用密码产品,应当严格按照国家密码局颁布的商用密码销售许可条例,并且应配备一下条件: (一)有熟悉商用密码产品知识和承担售后服务的人员; (二)有完善的销售服务和安全管理规章制度; (三)有独立的法人资格。 第十条销售商用密码产品,必须如实登记直接使用商用密码产品的用户的名称(姓名)、地址(住址)、组织机构代码(居民身份证号码)以及每台商用密码产品的用途,并及时的将登记情况报国家密码管理机构备案。(一个季度进行一次季报) 第四章使用管理 第十一条销售人员只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。 第十二条已购买商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品发生故障,报废、销售商用密码产品,应指派专人进行维修、并向国家密码管理机构备案。 第五章安全、保密管理 第十三条商用密码产品的科研、生产,应当在符合安全、保密要求的环境中进行。销售、运输、保管商用密码产品,应当采取相应的安全措施。 任职商用密码产品的科研、生产和销售的人员,必须对所接触和掌握的商用密码技术承担保密义务。 第十四条宣传、公开展览商用密码产品,必须事先报国家密码管理机构批准。 第六章附则
感谢观看 附件2 商用密码产品品种和型号 申请材料 (通用产品类) 项目名称: 申报单位:(加盖单位公章) 年月日
编制说明 1. 本材料由产品研制单位编写并提交,包括商用密码产品品种和型号申请书、商用密码产品相关技术材料、具有与生产商用密码产品相适应的质量保证能力和信用状况的情况说明3个部分。 2.编写要求: (1)语言规范、文字简练、重点突出、描述清晰、内容全面、附件齐全; (2)采用A4幅面,上边距2.5厘米,下、左、右边距均为2厘米;正文内容宋体四号字,1.5倍行距,标题加黑并可适当增加字号;各部分应单独编排目录和页码; (3)涉及到的外文缩写要注明全称,采用的商用密码产品应给出准确完整的型号; (4)材料内容不得涉及国家秘密; (5)材料中有关描述应与产品最新状态保持一致; 3.提交要求: (1)简易胶装并使用彩色纸张隔开各部分,加盖单位公章,同时提交电子版光盘; (2)一式2份,国家密码管理局和申请单位所在省(区、市)密码管理部门各一份; (3)正式提交时,请删除本文档编制说明性内容(楷体); (4)涉及落款日期应以材料最后提交时间为准。
目录 一、商用密码产品品种和型号申请书 二、商用密码产品相关技术材料 1.技术工作总结报告 2.安全性设计报告 3.用户手册 三、具有与生产商用密码产品相适应的质量保证能力和信用状况的情况说明
一、商用密码产品品种和型号申请书
商用密码产品品种和型号申请书 XX省(区、市)密码管理局并报国家密码管理局: 按照国家商用密码管理和标准规范相关要求,我单位研制了XXXX(产品名称),该产品基本情况为(遵循技术标准、符合GM/T 0028-2014《密码模块安全技术要求》安全等级第X级、支持算法、密码功能、应用领域,如申请商用密码产品型号续期,请简要说明情况,一页以内),现依据有关规定,提出商用密码产品品种和型号申请,请予审批。 (单位名称,加盖公章) 年月日联系人: 联系电话:
按照测评内容的不同,密码测评体系主要分为三个层次:密码算法测评、密码模块测评和密码系统评估。密码算法测评的主要对象是底层的密码算法,如分组算法、序列算法、公钥算法;实现了密码算法的密码模块是密码评测的第二层内容,密码模块有硬件实现、软件实现、或软硬件混合实现等方式;实现了多个密码模块的密码系统是评测体系的第三层内容。由于密码系统最终会由其他应用所使用,所以密码系统的评估对于信息安全、应用系统稳定也有重要的意义。 密码算法测评现有的技术存在一些问题:如检测方法过多地集中于黑盒式测试;缺乏有效的白盒测试方法;密码分析的自动化程度偏低,主要还是使用人工测试为主;检测方法存在着大量冗余检测,很多检测方法存在重叠,检测效率较低;算法评估缺乏科学有效的评估模型与机制,无法有效的评估密码算法是否合规是否安全。我们密码算法测评的研究也主要是研究这些问题的解决方法,主要的研究内容有:1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。2、检测方法相关性分析研究,研究各类现有检测方法,分析其关联性,提高检测效率。3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。4、评估模型、密码检测指标研究,形成密码评估检测标准,为密码算法的合理评估提供科学依据与量化指标。 关于密码模块的测评研究,我们主要集中在密码模块的自动化检测技术方面,主要包括密码模块实现正确性检验、实现安全性检验以
及实现效率检测等内容。密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提供科学的参考数据,从而提高对密码产品安全隐患的发现能力。 密码系统评估技术研究,可以使用一个金字塔模型来概括:(一)研究适合于密码系统的风险评估原理和模型;(二)研究能够反映密码系统安全性需求的指标体系,包括评估准则、风险指标体系的建立等;(三)研究密码系统的评估方法和密码系统安全风险管理;(四)研究密码系统评估的原型系统设计与实现等内容;最终达到金字塔的顶端:形成完善的密码系统评估准则;合理的密码系统评估流程;实用的密码系统评估方法。概括的讲就是“四个层次三个目标”。 密码测评的研究具有重要的现实意义:1、提高密码测评的基础理论水平:增强对密码测评基础理论与关键技术的研究支持。提高我国密码测评的基础理论水平,从根本上提升我国检测认证工作的先进性。2、增强对密码测评标准规范的研究与相关工作的制定:密码检测系列标准规范,它将为密码算法和密码产品测评的合理化、规范化提供重要的共性技术支撑。3、增强对密码测评自动化工具与平台的研究支持:研制密码测评工具平台将大大提高测评效率,增强检测健壮性,也将有效促进密码测评技术在信息安全领域的应用。4、增强密码测评人才队伍的建设:密码检测认证人员将成为信息安全从业人员的重要组成部分
信息安全等级保护商用密码系统安全测评流程详解 信息安全等级保护商用密码系统安全测评流程图测评申请 现场检测 报告与结论
一、检测依据 《信息安全等级保护商用密码管理办法》 《信息安全等级保护商用密码技术实施要求》 《信息系统安全等级保护基本要求》 二、检测范围 信息安全等级为三级以上(含三级)信息系统中的商用密码系统。 三、检测程序 上海市信息安全测评认证中心(以下简称测评中心)的商用密码系统安全等级保护测评工作拟分以下三个阶段进行: 1.测评申请阶段 1)填写文档 申请单位可到上海市信息安全测评认证中心网站https://www.doczj.com/doc/4110592034.html,下载《信息安全等级保护商用密码系统安全测评申请书》,并填写相关信息。 2)提交申请 申请单位: l须按照申报表的要求,据实填写(用Word录入排版)。 l提交申报表纸质版1份(加盖单位公章)、电子版本1份,并送交测评中心。 l须同时提交上海市密码管理局有关收到“信息安全等级保护商用密码产品备案表”的确认回执单。 3)受理申请 测评中心对申请单位提交的有关材料进行审核后,对符合测评条件的予以受理,并协商有关测评的费用,发放测评受理单或签订相关委托测评协议。 2.现场检测阶段 测评中心组成检测小组对现场商用密码信息系统进行调研,明确商用密码产
品实际使用情况和系统相关信息。 测评中心按照信息安全等级保护商用密码技术实施要求等技术规范要求以及实验室质量体系管理的要求,和申请单位及相关集成单位协商制订测试方案、测试计划,并实施测试任务。 3.报告与结论阶段 测评中心检测小组对现场采集的检测结果数据进行分析,形成有关商密系统的安全测评意见,并告知申请单位。 测评中心最后向申请单位出具安全测评报告,并将有关测评情况和安全测评结论报送上海市密码管理局。
安全操作系统产品密码检测准则 Cipher Test Criteria for Secure Operating Systems 国家密码管理局商用密码检测中心 2009年4月
目 次 1范围 (2) 2 规范性引用文件 (2) 3 术语、定义和缩略语 (2) 3.1 术语和定义 (2) 3.2 缩略语 (3) 4 检测内容 (3) 4.1 密码算法的正确性和一致性检测 (3) 4.2 密码功能应用有效性检测 (3) 4.3 密钥管理检测 (5) 4.4 密码性能检测 (6) 4.5 随机数质量检测 (6) 4.6 素性检测 (6) 5 文档要求 (6) 5.1系统框架结构 (6) 5.2 密码子系统框架结构 (6) 5.3 密码子系统函数接口 (7) 5.4 密码子系统函数接口示例代码 (7) 5.5 源代码 (8) 5.6 不存在隐式通道的声明 (8) 5.7 密码自测试或自评估报告 (8) 附录A 静态库、动态库及类似封装形式说明表示例 (9)
安全操作系统产品密码检测准则 1范围 本准则规定了安全操作系统产品的密码检测内容,适用于政府采购法规定范围内的安全操作系统产品密码检测。 2 规范性引用文件 下列文件中的条款通过本准则的引用而成为本准则的条款。凡是标注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本准则,然而,鼓励根据本准则达成协议的各方研究是否可使用这些文件的最新版本。凡是不标注日期的引用文件,其最新版本适用于本准则。 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 《随机性检测规范》 国家密码管理局 3 术语、定义和缩略语 3.1 术语和定义 3.1.1 安全操作系统 Secure Operating System 本准则所指的安全操作系统是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略,并实现了GB 17859-1999《计算机信息系统安全保护等级划分准则》所确定的安全等级三级(含)以上的操作系统。包括独立的安全操作系统软件产品和集成或内置了安全操作系统的产品。 3.1.2 对称密码算法 Symmetric Cryptographic Algorithm 加密密钥与解密密钥相同,或容易由其中任意一个密钥推导出另一个密钥,称该密码算法为对称密码算法。 3.1.3 非对称密码算法 Asymmetric Cryptographic Algorithm 加解密使用不同密钥的密码算法。其中一个密钥(公钥)可以公开,另一个密钥(私钥)必须保密,且由公钥求解私钥是计算不可行的。 3.1.4 杂凑算法 Hash Function 杂凑算法又称为散列算法、哈希算法或数据摘要算法,是能够将一个任意长的比特串映射到一个固定长的比特串的一类函数。 3.1.5 密钥管理 Key Management 在既定安全策略指导下密钥的生成、分发、存储、使用、更新、导入与导出、备份、恢复、归档和销毁。 3.1.6 测试对象 Target of Testing 本准则测试对象专指安全操作系统产品。
商用密码产品使用管理规定 国家密码管理局公告 (第 8 号) 现公布《商用密码产品使用管理规定》,自2007年5月1日起施行。 国家密码管理局 2007年3月24日 商用密码产品使用管理规定 第一条为了规范商用密码产品使用行为,根据《商用密码管理条例》,制定本规定。 第二条中国公民、法人和其他组织使用商用密码产品的行为适用本规定。 第三条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品。 第四条国家密码管理局主管全国的商用密码产品使用管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第五条中国公民、法人和其他组织需要对不涉及国家秘密内容的信息进行加密保护或安全认证的,均可以使用商用密码产品。 使用商用密码产品,应当遵守国家法律,不得损害国家利益、社会公共利
益和其他公民的合法权益,不得利用商用密码产品进行违法犯罪活动。 第六条中国公民、法人和其他组织都应当使用国家密码管理局准予销售的商用密码产品,不得使用自行研制的或境外生产的密码产品。 国家密码管理局定期公布准予销售的商用密码产品目录。 第七条需要使用商用密码产品的,应当到商用密码产品销售许可单位购买。 购买商用密码产品应当向商用密码产品销售许可单位出示本人身份证,说 明直接使用商用密码产品的用户名称(姓名)、地址(住址)以及产品用途, 提供用户组织机构代码证(居民身份证)复印件。 第八条需要维修商用密码产品的,应当交该产品的生产单位或销售单位维修。 第九条外商投资企业(包括中外合资经营企业、中外合作经营企业、外资企业、外商投资股份有限公司等)确因业务需要,必须使用境外生产的密码产 品与境外进行互联互通的,经国家密码管理局批准,可以使用境外生产的密码 产品。 外商投资企业申请使用境外生产的密码产品,应当事先填写《使用境外生 产的密码产品登记表》,交所在地的省、自治区、直辖市密码管理机构。 省、自治区、直辖市密码管理机构自受理申请之日起5个工作日内,对 《使用境外生产的密码产品登记表》进行审查并报国家密码管理局。 国家密码管理局应当自省、自治区、直辖市密码管理机构受理申请之日起 20个工作日内,对《使用境外生产的密码产品登记表》进行审核。准予使用的,发给《使用境外生产的密码产品准用证》。 《使用境外生产的密码产品准用证》有效期3年。 第十条使用境外生产的密码产品的外商投资企业的名称、地址、密码产品用途发生变更的,应当自变更之日起10日内,到所在地的省、自治区、直辖市密码管理机构办理《使用境外生产的密码产品准用证》更换手续。 第十一条外商投资企业终止使用境外生产的密码产品的,应当自终止使用之日起30日内,书面告知所在地的省、自治区、直辖市密码管理机构,并交回《使用境外生产的密码产品准用证》。 第十二条外商投资企业申请使用的密码产品需要从境外进口的,应当申请办理《密码产品进口许可证》。 密码产品入境时,外商投资企业应当向海关如实申报并提交《密码产品进 口许可证》,海关凭此办理验放手续。 第十三条用户不得转让其使用的密码产品。 第十四条违反本规定的行为,依照《商用密码管理条例》予以处罚。
一文读懂商用密码应用性评估流程 由海量数据、复杂结构、多样应用共同组成的“网络空间”,已经成为继陆地、海洋、天空、太空之后的“第五空间”,并且已经演变成各个国家争抢的新领域,以及未来军事较量的新战场。网络空间已经纳入国家安全战略范围。 由海量数据、复杂结构、多样应用共同组成的“网络空间”,已经成为继陆地、海洋、天空、太空之后的“第五空间”,并且已经演变成各个国家争抢的新领域,以及未来军事较量的新战场。网络空间已经纳入国家安全战略范围。 一、法律规定
《中华人民共和国密码法》第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。二、密评的意义 密评是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性、有效性进行评估的活动。 密评是衡量商用密码应用是否合规、正确、有效的重要手段,也是维护网络空间安全、规范商用密码应用的客观要求,同时也是加强事中和事后监管的方法,是网络信息系统运营者和主管部门必须承担的法律责任。 三、密评职责 1、网络信息系统责任单位 ?规划阶段依据商密技术标准制定合规的密码应用方案。 ?系统建设完成后,开展密评,合格后投入运行。 ?运行期间定期开展密评,不断整改优化。 ?发生安全事件时,开展密评,进行应急处置和安全方案措施。 ?完成密评工作后,要在30个工作日内到本地密码管理部门备案。 2、测评机构和测评人员 ?经过国家密码管理部门审核,取得资格,纳入测评机构目录。 ?按照法律法规和标准要求科学、公正的开展密评。
商用密码产品生产管理规定 颁布单位:国家密码管理局 国家密码管理局公告 (第5号) 现公布《商用密码产品生产管理规定》,自2006年1月1日起施行。 国家密码管理局 2005年12月11日 商用密码产品生产管理规定 第一条为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。 第二条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。 第三条商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。 第四条商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。未经指定,任何单位和个人不得生产商用密码产品。 商用密码产品的品种和型号必须经国家密码管理局批准。
第五条国家密码管理局主管全国的商用密码产品生产管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第六条国家密码管理局根据商用密码发展的需要,指定商用密码产品生产定点单位。 商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。 第七条国家密码管理局指定商用密码产品生产定点单位原则上定期集中进行。 指定商用密码产品生产定点单位的程序如下: (一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构; (二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见; (三)国家密码管理局对通过初审的单位进行实地考察; (四)国家密码管理局作出指定决定并告知指定结果。 第八条被指定为商用密码产品生产定点单位的,由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。 《商用密码产品生产定点单位证书》有效期3年。 第九条商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内,到所在地的工商行政管理部门办理许可经营项目登记手续。 第十条国家密码管理局对商用密码产品生产定点单位进行年度考核。 商用密码产品生产定点单位应当于每年3月1日之前,填写《商用密码产品生产定点单位考核表》并交所在地的省、自治区、直辖市密码管理机构。省、自治区、直辖市密码管理机构应当于3月31日之前将考核意见报国家密码管理局。 考核结果由国家密码管理局公布。考核不合格的,撤销其商用密码产品生产定点单位资质。商用密码产品生产定点单位未在规定期限内填报考核材料的,视为考核不合格。 取得《商用密码产品生产定点单位证书》未满6个月的,不参加该年度的考核。
国家密码管理局公告 (第5 号) 现公布《商用密码产品生产管理规定》,自2006年1月1日起施行。 国家密码管理局 2005年12月11日 商用密码产品生产管理规定 第一条为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。 第二条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。 第三条商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。 第四条商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。未经指定,任何单位和个人不得生产商用密码产品。 商用密码产品的品种和型号必须经国家密码管理局批准。 第五条国家密码管理局主管全国的商用密码产品生产管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第六条国家密码管理局根据商用密码发展的需要,指定商用密码
产品生产定点单位。 商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。 第七条国家密码管理局指定商用密码产品生产定点单位原则上 定期集中进行。 指定商用密码产品生产定点单位的程序如下: (一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构; (二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见; (三)国家密码管理局对通过初审的单位进行实地考察; (四)国家密码管理局作出指定决定并告知指定结果。 第八条被指定为商用密码产品生产定点单位的,由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。 《商用密码产品生产定点单位证书》有效期3年。 第九条商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内,到所在地的工商行政管理部门办理 许可经营项目登记手续。 第十条国家密码管理局对商用密码产品生产定点单位进行年度 考核。
2015年商用密码产品行业分析报告 2015年3月
目录 3一、行业管理 ............................................................................................ 3 1、行业主管部门 .................................................................................................... 2、主要法律法规、政策、产业政策 (4) (1)信息安全行业主要法律法规 (4) (2)相关产业政策 (5) 二、行业发展及市场概述 (8) 1、软件和信息技术服务业发展概况 (8) 8 2、信息安全市场发展概况 .................................................................................... 3、商用密码产品现状及未来发展趋势 (10) 11三、行业壁垒 .......................................................................................... 11 1、人才及技术壁垒 .............................................................................................. 2、资质壁垒 .......................................................................................................... 11 12 3、市场壁垒 .......................................................................................................... 12 4、资金壁垒 .......................................................................................................... 四、行业竞争格局及主要企业 (12) 1、信息安全领域及商用密码领域 (12) 13 2、主要企业 .......................................................................................................... (1)吉大正元信息技术股份有限公司 (13) (2)上海格尔软件股份有限公司 (14) (3)成都卫士通信息产业股份有限公司 (14) (4)飞天诚信科技股份有限公司 (14)
密码算法测评现有的技术存在一些问题:如检测方法过多地集中于黑盒式测试;缺乏有效的白盒测试方法;密码分析的自动化程度偏低,主要还是使用人工测试为主;检测方法存在着大量冗余检测,很多检测方法存在重叠,检测效率较低;算法评估缺乏科学有效的评估模型与机制,无法有效的评估密码算法是否合规是否安全。我们密码算法测评的研究也主要是研究这些问题的解决方法,主要的研究内容有:1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。2、检测方法相关性分析研究,研究各类现有检测方法,分析其关联性,提高检测效率。3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。4、评估模型、密码检测指标研究,形成密码评估检测标准,为密码算法的合理评估提供科学依据与量化指标。 关于密码模块的测评研究,我们主要集中在密码模块的自动化检测技术方面,主要包括密码模块实现正确性检验、实现安全性检验以及实现效率检测等内容。密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提供科学的参考数据,从而提高对密码产品安全隐患的发现能力。 密码系统评估技术研究,可以使用一个金字塔模型来概括:(一)研究适合于密码系统的风险评估原理和模型;(二)研究能够反映密码系统安全性需求的指标体系,包括评估准则、风险指标体系的建立等;(三)研究密码系统的评估方法和密码系统安全风险管理;(四)研究
密码系统评估的原型系统设计与实现等内容;最终达到金字塔的顶端:形成完善的密码系统评估准则;合理的密码系统评估流程;实用的密码系统评估方法。概括的讲就是“四个层次三个目标”。 密码测评的研究具有重要的现实意义:1、提高密码测评的基础理论水平:增强对密码测评基础理论与关键技术的研究支持。提高我国密码测评的基础理论水平,从根本上提升我国检测认证工作的先进性。2、增强对密码测评标准规范的研究与相关工作的制定:密码检测系列标准规范,它将为密码算法和密码产品测评的合理化、规范化提供重要的共性技术支撑。3、增强对密码测评自动化工具与平台的研究支持:研制密码测评工具平台将大大提高测评效率,增强检测健壮性,也将有效促进密码测评技术在信息安全领域的应用。4、增强密码测评人才队伍的建设:密码检测认证人员将成为信息安全从业人员的重要组成部分
网络和信息系统商用密码使用 情况调查表 填表单位(盖章): 填表人/电话: 填表时间: 江西省国家密码管理局制 2017年8月
填写说明 一、单位基本情况表和网络和信息系统商用密码使用情况汇总表 每个单位只须填写一张。 二、网络和信息系统商用密码使用情况表 (1)表中的“密码机类”主要包括以下产品:网络密码机、链路密码机、密码认证网关、存储加密机、磁带库/磁盘阵列存储加密机、密钥管理密码机、终端密钥分发器、量子密码机、服务器密码机、终端密码机、金融数据密码机、签名验证服务器、税控密码机、支付服务密码机、传真密码机、电话密码机等。 (2)表中的“密码系统类”主要包括以下系统:动态令牌认证系统、数字证书认证系统、证书认证密钥管理系统、IC卡密钥管理系统、身份认证系统、数据加密传输系统、密码综合服务系统、密码设备管理系统等。 (3)表中的“智能IC卡、智能密码钥匙、动态令牌、安全浏览器”主要包括国家密码行政主管部门审批的具有商用密码产品型号的智能IC卡、USBKEY智能密码钥匙、动态令牌、安全浏览器等产品。 (4)表中的“安全电子签章、时间戳、签名验证服务器”主要包括国家密码行政主管部门审批的具有商用密码产品型号的安全电子签章、时间戳产品、签名验证服务等产品。 (5)表中的“含VPN密码模块的防火墙”主要包括防火墙中含有VPN功能,如VPN防火墙或者计算机信息系统安全专用产品公安销售许可证。 (6)表中的“含密码模块安全网关”主要包括国家密码行政主管部门审批的具有商用密码产品型号的代理服务器、安全认证服务器。 (7)表中的“含密码模块安全数据库”主要包括国家密码行政主管部门审批的商用密码产品型号的数据库。 (8)表中的“含密码模块安全操作系统”、“含密码模块网络安全存储”、“含密码模块安全隔离与信息交换”主要包括云操作系统、麒麟安全操作系统、深度操作系统、网络隔离设备等。 (9)表中的“含密码模块网络通信”主要包括以下产品:无线接入点、无线上网卡、加密电话机、加密传真机、加密手机、加密VOIP终端等。 (10)表中的“含密码模块移动设备”主要包括平板、智能手机终端等 (11)表中第二、三部分“密码设备使用情况”的“名称及型号”栏,应填写产品名称及国家密码行政主管部门审批的商用密码产品型号(已取得国家密码管理局型号的商用密码产品可通过国家商用密码管理委员会办公室网站产品信息栏目查询,网址:https://www.doczj.com/doc/4110592034.html,),若产品无商用密码产品型号,可填写产品相关资质证书上标注的型号或生产厂家自定义的型号。有计算机信息系统安全专用产品销售许可证的产品请到计算机信息系统安全专用产品销售许可证服务平台中(https://www.doczj.com/doc/4110592034.html,/ispl/)许可证查询模块查询。 (12)每个系统应填写1张表;表中的设备栏目填写不下时,可自行附页。
商用密码使用情况自查报告 篇一:XX商用密码自查报告 XX社网络与信息安全商用密码 自查工作总结报告 根据上级网络安全管理文件精神,XX社成立了网络与信息安全商用密码检查工作领导小组,在组长XX的领导下,组织相关人员对我社商密进行了一次全面的调查。发现问题,分析问题,解决问题,从而提升密码安全防护能力和防护水平,切实保障信息系统安全。现将自查情况汇报如下: 一、加强领导,成立了网络与信息商密安全工作领导小组我社领导高度重视密码安全保密工作,成立了网络与信息商密安全工作领导小组,安全工作领导小组组长为XX,副组长XX,成员有XX。做到分管领导负责抓,责任部门具体抓;同时严格实行密码安全保密责任制,切实做到责任落实到人。 领导小组还要求相关部门和工作人员认真学习保密法律法规和密码安全保密工作的各项规定,从思想上切实提高对商用密码安全保密工作重要性的认识,遵守保密纪律,依照密码保密程序办事,及时消除密码保密安全隐患,减少安全风险,把密码安全保密要求落实到日常具体工作中,坚决杜绝泄密事件的发生。 二、抓好密码保密工作人员管理
我社严格按照有关文件对密码工作人员的条件要求,确定思想政治过硬、业务娴熟、责任心强的同志负责管理密码安全,涉及密码登陆业务平台的,均采取即时填写登陆,杜绝明文保存密码。密码工 作人员调离原密码工作岗位的必须向接任同志移交密码,新接任同志接任工作后立即修改密码设置。 三、抓好密码保密工作规章制度建设 根据我社密码使用情况,以及符合密码安全保密工作实际,制定完善了《涉密人员管理制度》、《密码电报管理制度》、《密码设备管理规定》等多项规章制度,内容涵盖电报收发、涉密系统确定、密钥及密钥载体的管理等。明确密码使用人员的保密职责,规范各项业务操作规程,制定泄密追究机制,从源头切实防范密码丢失、泄密的发生。 四、抓好密码设备使用环境及安全防护措施管理 1.是抓好密钥及密钥载体管理。涉密计算机设置的用户密码由专门人员保存,严禁将密码转告其它非涉密人员;因工作需要确须转告的,应事先请示分管领导批准。信息员负责确保密钥和操作密码的安全,不得将密钥转借他人使用,若因个人原因丢失,应当及时报告,否则由此造成的不良后果由密钥持有人承担相应责任。密钥因损坏且无法修复的,应及时向上级汇报,申请换发新密钥,同时将毁损的密钥交回。