商用密码产品生产管理规定 第一条为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。 第二条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。 第三条商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。 第四条商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。未经指定,任何单位和个人不得生产商用密码产品。 商用密码产品的品种和型号必须经国家密码管理局批准。 第五条国家密码管理局主管全国的商用密码产品生产管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第六条国家密码管理局根据商用密码发展的需要,指定商用密码产品生产定点单位。 商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。 第七条国家密码管理局指定商用密码产品生产定点单位原则上定期集中进行。 指定商用密码产品生产定点单位的程序如下:
(一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构; (二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见; (三)国家密码管理局对通过初审的单位进行实地考察; (四)国家密码管理局作出指定决定并告知指定结果。 第八条被指定为商用密码产品生产定点单位的,由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。 《商用密码产品生产定点单位证书》有效期3年。 第九条商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内,到所在地的工商行政管理部门办理许可经营项目登记手续。 第十条国家密码管理局对商用密码产品生产定点单位进行年度考核。 商用密码产品生产定点单位应当于每年3月1日之前,填写《商用密码产品生产定点单位考核表》并交所在地的省、自治区、直辖市密码管理机构。省、自治区、直辖市密码管理机构应当于3月31日之前将考核意见报国家密码管理局。 考核结果由国家密码管理局公布。考核不合格的,撤销其商用密码产品生产定点单位资质。商用密码产品生产定点单位未在规定期限内填报考核材料的,视为考核不合格。 取得《商用密码产品生产定点单位证书》未满6个月的,不参加该
附件1 商用密码产品认证目录(第一批) 序号产品种类产品描述认证依据 1智能密码钥匙实现密码运算、密钥管理功能的终端密码设备,一 般使用USB接口形态。GM/T0027《智能密码钥匙技术规范》GM/T0028《密码模块安全技术要求》 2智能IC卡实现密码运算和密钥管理功能的含CPU(中央处理 器)的集成电路卡,包括应用于金融等行业领域的 智能IC卡。 GM/T0041《智能IC卡密码检测规范》 GM/T0028《密码模块安全技术要求》 3POS密码应用系统 ATM密码应用系统 多功能密码应用 互联网终端 为金融终端设备提供密码服务的密码应用系统。 GM/T0028《密码模块安全技术要求》 JR/T0025-2018《中国金融集成电路(IC)卡规范 第7部分:借记贷记应用安全规范》 4PCI-E/PCI密码卡具有密码运算功能和自身安全保护功能的PCI硬件 板卡设备。《PCI密码卡技术规范》 GM/T0018《密码设备应用接口规范》GM/T0028《密码模块安全技术要求》 5IPSec VPN产品/ 安全网关基于IPSec协议,在通信网络中构建安全通道的设 备。 IPSec VPN产品: GM/T0022《IPSec VPN技术规范》 GM/T0028《密码模块安全技术要求》 IPSec VPN安全网关: GM/T0023《IPSec VPN网关产品规范》 GM/T0028《密码模块安全技术要求》 —3—
序号产品种类产品描述认证依据 6SSL VPN产品/安 全网关基于SSL/TLS协议,在通信网络中构建安全通道的 设备。 SSL VPN产品: GM/T0024《SSL VPN技术规范》 GM/T0028《密码模块安全技术要求》 SSL VPN安全网关: GM/T0025《SSL VPN网关产品规范》 GM/T0028《密码模块安全技术要求》 7安全认证网关采用数字证书为应用系统提供用户管理、身份鉴 别、单点登录、传输加密、访问控制和安全审计服 务的设备。 GM/T0026《安全认证网关产品规范》 GM/T0028《密码模块安全技术要求》 8密码键盘用于保护PIN输入安全并对PIN进行加密的独立式 密码模块。包括POS主机等设备的外接加密密码键 盘和无人值守(自助)终端的加密PIN键盘。 GM/T0049《密码键盘密码检测规范》 GM/T0028《密码模块安全技术要求》 9金融数据密码机用于确保金融数据安全,并符合金融磁条卡、IC卡 业务特点的,主要实现PIN加密、PIN转加密、 MAC产生和校验、数据加解密、签名验证以及密 钥管理等密码服务功能的密码设备。 GM/T0045《金融数据密码机技术规范》 GM/T0028《密码模块安全技术要求》 10服务器密码机能独立或并行为多个应用实体提供密码运算、密钥 管理等功能的设备。GM/T0030《服务器密码机技术规范》GM/T0028《密码模块安全技术要求》 11签名验签服务器用于服务端的,为应用实体提供基于PKI体系和数 字证书的数字签名、验证签名等运算功能的服务 器。 GM/T0029《签名验签服务器技术规范》 GM/T0028《密码模块安全技术要求》 12时间戳服务器基于公钥密码基础设施应用技术体系框架内的时 间戳服务相关设备。GM/T0033《时间戳接口规范》 GM/T0028《密码模块安全技术要求》 —4—
商用密码管理条例 第一章总则 第一条为了加强商用密码管理,保护信息安全,保护企业和商用密码产品用户的合法权益,制定本条例。 第二条本条例所称商用密码,是指对不涉及公司秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。 第二章科研、生产管理 第三条本公司是由国家密码管理机构指定的商用密码产品销售许可单位,具有相应的技术力量和设备,能够采用先进的编码理论和技术,编制的商用密码算法具有较高的保密强度和抗攻击能力。 第四条商用密码的科研成果,需要由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。 第六条生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。 第七条商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。 第三章销售管理 第八条本单位已通过国家密码管理机构许可,可合法的销售商用密码产品。 第九条销售商用密码产品,应当严格按照国家密码局颁布的商用密码销售许可条例,并且应配备一下条件: (一)有熟悉商用密码产品知识和承担售后服务的人员; (二)有完善的销售服务和安全管理规章制度; (三)有独立的法人资格。 第十条销售商用密码产品,必须如实登记直接使用商用密码产品的用户的名称(姓名)、地址(住址)、组织机构代码(居民身份证号码)以及每台商用密码产品的用途,并及时的将登记情况报国家密码管理机构备案。(一个季度进行一次季报) 第四章使用管理 第十一条销售人员只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。 第十二条已购买商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品发生故障,报废、销售商用密码产品,应指派专人进行维修、并向国家密码管理机构备案。 第五章安全、保密管理 第十三条商用密码产品的科研、生产,应当在符合安全、保密要求的环境中进行。销售、运输、保管商用密码产品,应当采取相应的安全措施。 任职商用密码产品的科研、生产和销售的人员,必须对所接触和掌握的商用密码技术承担保密义务。 第十四条宣传、公开展览商用密码产品,必须事先报国家密码管理机构批准。 第六章附则
感谢观看 附件2 商用密码产品品种和型号 申请材料 (通用产品类) 项目名称: 申报单位:(加盖单位公章) 年月日
编制说明 1. 本材料由产品研制单位编写并提交,包括商用密码产品品种和型号申请书、商用密码产品相关技术材料、具有与生产商用密码产品相适应的质量保证能力和信用状况的情况说明3个部分。 2.编写要求: (1)语言规范、文字简练、重点突出、描述清晰、内容全面、附件齐全; (2)采用A4幅面,上边距2.5厘米,下、左、右边距均为2厘米;正文内容宋体四号字,1.5倍行距,标题加黑并可适当增加字号;各部分应单独编排目录和页码; (3)涉及到的外文缩写要注明全称,采用的商用密码产品应给出准确完整的型号; (4)材料内容不得涉及国家秘密; (5)材料中有关描述应与产品最新状态保持一致; 3.提交要求: (1)简易胶装并使用彩色纸张隔开各部分,加盖单位公章,同时提交电子版光盘; (2)一式2份,国家密码管理局和申请单位所在省(区、市)密码管理部门各一份; (3)正式提交时,请删除本文档编制说明性内容(楷体); (4)涉及落款日期应以材料最后提交时间为准。
目录 一、商用密码产品品种和型号申请书 二、商用密码产品相关技术材料 1.技术工作总结报告 2.安全性设计报告 3.用户手册 三、具有与生产商用密码产品相适应的质量保证能力和信用状况的情况说明
一、商用密码产品品种和型号申请书
商用密码产品品种和型号申请书 XX省(区、市)密码管理局并报国家密码管理局: 按照国家商用密码管理和标准规范相关要求,我单位研制了XXXX(产品名称),该产品基本情况为(遵循技术标准、符合GM/T 0028-2014《密码模块安全技术要求》安全等级第X级、支持算法、密码功能、应用领域,如申请商用密码产品型号续期,请简要说明情况,一页以内),现依据有关规定,提出商用密码产品品种和型号申请,请予审批。 (单位名称,加盖公章) 年月日联系人: 联系电话:
安全操作系统产品密码检测准则 Cipher Test Criteria for Secure Operating Systems 国家密码管理局商用密码检测中心 2009年4月
目 次 1范围 (2) 2 规范性引用文件 (2) 3 术语、定义和缩略语 (2) 3.1 术语和定义 (2) 3.2 缩略语 (3) 4 检测内容 (3) 4.1 密码算法的正确性和一致性检测 (3) 4.2 密码功能应用有效性检测 (3) 4.3 密钥管理检测 (5) 4.4 密码性能检测 (6) 4.5 随机数质量检测 (6) 4.6 素性检测 (6) 5 文档要求 (6) 5.1系统框架结构 (6) 5.2 密码子系统框架结构 (6) 5.3 密码子系统函数接口 (7) 5.4 密码子系统函数接口示例代码 (7) 5.5 源代码 (8) 5.6 不存在隐式通道的声明 (8) 5.7 密码自测试或自评估报告 (8) 附录A 静态库、动态库及类似封装形式说明表示例 (9)
安全操作系统产品密码检测准则 1范围 本准则规定了安全操作系统产品的密码检测内容,适用于政府采购法规定范围内的安全操作系统产品密码检测。 2 规范性引用文件 下列文件中的条款通过本准则的引用而成为本准则的条款。凡是标注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本准则,然而,鼓励根据本准则达成协议的各方研究是否可使用这些文件的最新版本。凡是不标注日期的引用文件,其最新版本适用于本准则。 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 《随机性检测规范》 国家密码管理局 3 术语、定义和缩略语 3.1 术语和定义 3.1.1 安全操作系统 Secure Operating System 本准则所指的安全操作系统是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略,并实现了GB 17859-1999《计算机信息系统安全保护等级划分准则》所确定的安全等级三级(含)以上的操作系统。包括独立的安全操作系统软件产品和集成或内置了安全操作系统的产品。 3.1.2 对称密码算法 Symmetric Cryptographic Algorithm 加密密钥与解密密钥相同,或容易由其中任意一个密钥推导出另一个密钥,称该密码算法为对称密码算法。 3.1.3 非对称密码算法 Asymmetric Cryptographic Algorithm 加解密使用不同密钥的密码算法。其中一个密钥(公钥)可以公开,另一个密钥(私钥)必须保密,且由公钥求解私钥是计算不可行的。 3.1.4 杂凑算法 Hash Function 杂凑算法又称为散列算法、哈希算法或数据摘要算法,是能够将一个任意长的比特串映射到一个固定长的比特串的一类函数。 3.1.5 密钥管理 Key Management 在既定安全策略指导下密钥的生成、分发、存储、使用、更新、导入与导出、备份、恢复、归档和销毁。 3.1.6 测试对象 Target of Testing 本准则测试对象专指安全操作系统产品。
商用密码产品使用管理规定 国家密码管理局公告 (第 8 号) 现公布《商用密码产品使用管理规定》,自2007年5月1日起施行。 国家密码管理局 2007年3月24日 商用密码产品使用管理规定 第一条为了规范商用密码产品使用行为,根据《商用密码管理条例》,制定本规定。 第二条中国公民、法人和其他组织使用商用密码产品的行为适用本规定。 第三条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品。 第四条国家密码管理局主管全国的商用密码产品使用管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第五条中国公民、法人和其他组织需要对不涉及国家秘密内容的信息进行加密保护或安全认证的,均可以使用商用密码产品。 使用商用密码产品,应当遵守国家法律,不得损害国家利益、社会公共利
益和其他公民的合法权益,不得利用商用密码产品进行违法犯罪活动。 第六条中国公民、法人和其他组织都应当使用国家密码管理局准予销售的商用密码产品,不得使用自行研制的或境外生产的密码产品。 国家密码管理局定期公布准予销售的商用密码产品目录。 第七条需要使用商用密码产品的,应当到商用密码产品销售许可单位购买。 购买商用密码产品应当向商用密码产品销售许可单位出示本人身份证,说 明直接使用商用密码产品的用户名称(姓名)、地址(住址)以及产品用途, 提供用户组织机构代码证(居民身份证)复印件。 第八条需要维修商用密码产品的,应当交该产品的生产单位或销售单位维修。 第九条外商投资企业(包括中外合资经营企业、中外合作经营企业、外资企业、外商投资股份有限公司等)确因业务需要,必须使用境外生产的密码产 品与境外进行互联互通的,经国家密码管理局批准,可以使用境外生产的密码 产品。 外商投资企业申请使用境外生产的密码产品,应当事先填写《使用境外生 产的密码产品登记表》,交所在地的省、自治区、直辖市密码管理机构。 省、自治区、直辖市密码管理机构自受理申请之日起5个工作日内,对 《使用境外生产的密码产品登记表》进行审查并报国家密码管理局。 国家密码管理局应当自省、自治区、直辖市密码管理机构受理申请之日起 20个工作日内,对《使用境外生产的密码产品登记表》进行审核。准予使用的,发给《使用境外生产的密码产品准用证》。 《使用境外生产的密码产品准用证》有效期3年。 第十条使用境外生产的密码产品的外商投资企业的名称、地址、密码产品用途发生变更的,应当自变更之日起10日内,到所在地的省、自治区、直辖市密码管理机构办理《使用境外生产的密码产品准用证》更换手续。 第十一条外商投资企业终止使用境外生产的密码产品的,应当自终止使用之日起30日内,书面告知所在地的省、自治区、直辖市密码管理机构,并交回《使用境外生产的密码产品准用证》。 第十二条外商投资企业申请使用的密码产品需要从境外进口的,应当申请办理《密码产品进口许可证》。 密码产品入境时,外商投资企业应当向海关如实申报并提交《密码产品进 口许可证》,海关凭此办理验放手续。 第十三条用户不得转让其使用的密码产品。 第十四条违反本规定的行为,依照《商用密码管理条例》予以处罚。
按照测评内容的不同,密码测评体系主要分为三个层次:密码算法测评、密码模块测评和密码系统评估。密码算法测评的主要对象是底层的密码算法,如分组算法、序列算法、公钥算法;实现了密码算法的密码模块是密码评测的第二层内容,密码模块有硬件实现、软件实现、或软硬件混合实现等方式;实现了多个密码模块的密码系统是评测体系的第三层内容。由于密码系统最终会由其他应用所使用,所以密码系统的评估对于信息安全、应用系统稳定也有重要的意义。 密码算法测评现有的技术存在一些问题:如检测方法过多地集中于黑盒式测试;缺乏有效的白盒测试方法;密码分析的自动化程度偏低,主要还是使用人工测试为主;检测方法存在着大量冗余检测,很多检测方法存在重叠,检测效率较低;算法评估缺乏科学有效的评估模型与机制,无法有效的评估密码算法是否合规是否安全。我们密码算法测评的研究也主要是研究这些问题的解决方法,主要的研究内容有:1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。2、检测方法相关性分析研究,研究各类现有检测方法,分析其关联性,提高检测效率。3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。4、评估模型、密码检测指标研究,形成密码评估检测标准,为密码算法的合理评估提供科学依据与量化指标。 关于密码模块的测评研究,我们主要集中在密码模块的自动化检测技术方面,主要包括密码模块实现正确性检验、实现安全性检验以及实现效率检测等内容。密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提 供科学的参考数据,从而提高对密码产品安全隐患的发现能力。
密码系统评估技术研究,可以使用一个金字塔模型来概括:(一)研究适合于密码系统的风险评估原理和模型;(二)研究能够反映密码系统安全性需求的指标体系,包括评估准则、风险指标体系的建立等;(三)研究密码系统的评估方法和密码系统安全风险管理;(四)研究密码系统评估的原型系统设计与实现等内容;最终达到金字塔的顶端:形成完善的密码系统评估准则;合理的密码系统评估流程;实用的密码系统评估方法。概括的讲就是“四个层次三个目标”。 密码测评的研究具有重要的现实意义:1、提高密码测评的基础理论水平:增强对密码测评基础理论与关键技术的研究支持。提高我国密码测评的基础理论水平,从根本上提升我国检测认证工作的先进性。2、增强对密码测评标准规范的研究与相关工作的制定:密码检测系列标准规范,它将为密码算法和密码产品测评的合理化、规范化提供重要的共性技术支撑。3、增强对密码测评自动化工具与平台的研究支持:研制密码测评工具平台将大大提高测评效率,增强检测健壮性,也将有效促进密码测评技术在信息安全领域的应用。4、增强密码测评人才队伍的建设:密码检测认证人员将成为信息安全从业人员的重要组成部分
商用密码产品生产管理规定 颁布单位:国家密码管理局 国家密码管理局公告 (第5号) 现公布《商用密码产品生产管理规定》,自2006年1月1日起施行。 国家密码管理局 2005年12月11日 商用密码产品生产管理规定 第一条为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。 第二条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。 第三条商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。 第四条商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。未经指定,任何单位和个人不得生产商用密码产品。 商用密码产品的品种和型号必须经国家密码管理局批准。
第五条国家密码管理局主管全国的商用密码产品生产管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第六条国家密码管理局根据商用密码发展的需要,指定商用密码产品生产定点单位。 商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。 第七条国家密码管理局指定商用密码产品生产定点单位原则上定期集中进行。 指定商用密码产品生产定点单位的程序如下: (一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构; (二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见; (三)国家密码管理局对通过初审的单位进行实地考察; (四)国家密码管理局作出指定决定并告知指定结果。 第八条被指定为商用密码产品生产定点单位的,由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。 《商用密码产品生产定点单位证书》有效期3年。 第九条商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内,到所在地的工商行政管理部门办理许可经营项目登记手续。 第十条国家密码管理局对商用密码产品生产定点单位进行年度考核。 商用密码产品生产定点单位应当于每年3月1日之前,填写《商用密码产品生产定点单位考核表》并交所在地的省、自治区、直辖市密码管理机构。省、自治区、直辖市密码管理机构应当于3月31日之前将考核意见报国家密码管理局。 考核结果由国家密码管理局公布。考核不合格的,撤销其商用密码产品生产定点单位资质。商用密码产品生产定点单位未在规定期限内填报考核材料的,视为考核不合格。 取得《商用密码产品生产定点单位证书》未满6个月的,不参加该年度的考核。
国家密码管理局公告 (第5 号) 现公布《商用密码产品生产管理规定》,自2006年1月1日起施行。 国家密码管理局 2005年12月11日 商用密码产品生产管理规定 第一条为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。 第二条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。 第三条商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。 第四条商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。未经指定,任何单位和个人不得生产商用密码产品。 商用密码产品的品种和型号必须经国家密码管理局批准。 第五条国家密码管理局主管全国的商用密码产品生产管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第六条国家密码管理局根据商用密码发展的需要,指定商用密码
产品生产定点单位。 商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。 第七条国家密码管理局指定商用密码产品生产定点单位原则上 定期集中进行。 指定商用密码产品生产定点单位的程序如下: (一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构; (二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见; (三)国家密码管理局对通过初审的单位进行实地考察; (四)国家密码管理局作出指定决定并告知指定结果。 第八条被指定为商用密码产品生产定点单位的,由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。 《商用密码产品生产定点单位证书》有效期3年。 第九条商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内,到所在地的工商行政管理部门办理 许可经营项目登记手续。 第十条国家密码管理局对商用密码产品生产定点单位进行年度 考核。
2015年商用密码产品行业分析报告 2015年3月
目录 3一、行业管理 ............................................................................................ 3 1、行业主管部门 .................................................................................................... 2、主要法律法规、政策、产业政策 (4) (1)信息安全行业主要法律法规 (4) (2)相关产业政策 (5) 二、行业发展及市场概述 (8) 1、软件和信息技术服务业发展概况 (8) 8 2、信息安全市场发展概况 .................................................................................... 3、商用密码产品现状及未来发展趋势 (10) 11三、行业壁垒 .......................................................................................... 11 1、人才及技术壁垒 .............................................................................................. 2、资质壁垒 .......................................................................................................... 11 12 3、市场壁垒 .......................................................................................................... 12 4、资金壁垒 .......................................................................................................... 四、行业竞争格局及主要企业 (12) 1、信息安全领域及商用密码领域 (12) 13 2、主要企业 .......................................................................................................... (1)吉大正元信息技术股份有限公司 (13) (2)上海格尔软件股份有限公司 (14) (3)成都卫士通信息产业股份有限公司 (14) (4)飞天诚信科技股份有限公司 (14)
商用密码使用情况自查报告 篇一:XX商用密码自查报告 XX社网络与信息安全商用密码 自查工作总结报告 根据上级网络安全管理文件精神,XX社成立了网络与信息安全商用密码检查工作领导小组,在组长XX的领导下,组织相关人员对我社商密进行了一次全面的调查。发现问题,分析问题,解决问题,从而提升密码安全防护能力和防护水平,切实保障信息系统安全。现将自查情况汇报如下: 一、加强领导,成立了网络与信息商密安全工作领导小组我社领导高度重视密码安全保密工作,成立了网络与信息商密安全工作领导小组,安全工作领导小组组长为XX,副组长XX,成员有XX。做到分管领导负责抓,责任部门具体抓;同时严格实行密码安全保密责任制,切实做到责任落实到人。 领导小组还要求相关部门和工作人员认真学习保密法律法规和密码安全保密工作的各项规定,从思想上切实提高对商用密码安全保密工作重要性的认识,遵守保密纪律,依照密码保密程序办事,及时消除密码保密安全隐患,减少安全风险,把密码安全保密要求落实到日常具体工作中,坚决杜绝泄密事件的发生。 二、抓好密码保密工作人员管理
我社严格按照有关文件对密码工作人员的条件要求,确定思想政治过硬、业务娴熟、责任心强的同志负责管理密码安全,涉及密码登陆业务平台的,均采取即时填写登陆,杜绝明文保存密码。密码工 作人员调离原密码工作岗位的必须向接任同志移交密码,新接任同志接任工作后立即修改密码设置。 三、抓好密码保密工作规章制度建设 根据我社密码使用情况,以及符合密码安全保密工作实际,制定完善了《涉密人员管理制度》、《密码电报管理制度》、《密码设备管理规定》等多项规章制度,内容涵盖电报收发、涉密系统确定、密钥及密钥载体的管理等。明确密码使用人员的保密职责,规范各项业务操作规程,制定泄密追究机制,从源头切实防范密码丢失、泄密的发生。 四、抓好密码设备使用环境及安全防护措施管理 1.是抓好密钥及密钥载体管理。涉密计算机设置的用户密码由专门人员保存,严禁将密码转告其它非涉密人员;因工作需要确须转告的,应事先请示分管领导批准。信息员负责确保密钥和操作密码的安全,不得将密钥转借他人使用,若因个人原因丢失,应当及时报告,否则由此造成的不良后果由密钥持有人承担相应责任。密钥因损坏且无法修复的,应及时向上级汇报,申请换发新密钥,同时将毁损的密钥交回。
安全性设计报告 (通用产品类) 产品名称: 认证委托方:(加盖公章) 年月日
声明 国家密码管理局商用密码检测中心(以下简称“本中心”)拥有对本材料及其中内容的全部知识产权,受法律保护。 未经本中心书面许可,任何单位和个人不得以任何方式或理由对本材料的任何部分进行复制、修改、抄录、传播,或向第三方分发。 凡侵犯本中心等知识产权的,必依法追究其法律责任。 我们定期检查本材料的内容,在后续版本中会有必要的修正。 本材料以及其修改权、更新权及最终解释权均属本中心。
目录 1.安全性需求分析 (1) 2.安全性设计 (1) 3.安全性分析与评估 (2)
1.安全性需求分析 针对产品的应用领域和应用环境,从信息安全的角度分析应用面临的安全风险以及产品本身可能存在的安全威胁,提出产品安全性设计总体目标,满足GM/T 0028-2014《密码模块安全技术要求》的安全等级,需要提供的密码功能以及安全防护要求等。 2.安全性设计 围绕上述安全性需求分析,从如下方面阐述产品安全性设计及其实现方式: (1)密码算法 包括使用密码算法种类、工作模式及其用途,各密码算法实现方式(软件、硬件、软硬结合等)。 (2)密钥管理 密钥管理体系或逻辑结构、密钥种类、密钥长度、用途及与对应密码算法的关系,可采取表格形式并附以文字说明;各类密钥和关键敏感数据的生成、分发、使用、存储、备份、更换、销毁等全生命周期管理。 (3)密码协议 针对通信保护、安全认证、密钥协商等密码协议,分别描述协议用途、安全目标、协议要素(包含协议主体、使用的算法和工作模式、密钥等)、协议流程、协议数据结构等。 (4)角色及其管理策略 说明角色及其管理策略设计原则,描述定义的各类角色、权限定义、身份认证机制、系统服务访问控制策略等。 (5)软件安全 描述自主设计开发的软件安全性设计和完整性保护措施,以及使