信息安全技术 密码模块安全要求

网络安全等级保护：信息安全技术国家标准列表在国家标准中，我们常见“GB”、“GB/T”、“GB/Z”，各代表什么呢？强制标准冠以“GB”，如GB 17859-1999。

推荐标准冠以“GB/T”。

指导性国家标准（GB/Z），“Z”在此读“指”。

与很多ISO国际标准相比，很多国家标准等同采用（IDT，identical to 其他标准）、修改采用(MOD，modified in relation to 其他标准；2000年以前称作“等效采用，EQV, equivalent to 其他标准）或非等效采用(NEQ，not equivalent to 其他标准)。

还有常见的“采标”是“采用国际标准的简称”。

IDT如GB/T 29246-2017/ISO/IEC 27000：2016（ISO/IEC 27000：2016，IDT），也就是GB/T 29246-2017等同于ISO/IEC 27000：2016，也就是国际标准ISO 27000其实就是我国国标GB/T 29246。

因为是采用国际标准，涉及到版权，所以我们在查相关国标时，官方正规渠道是不允许预览的。

从中我们看到，其实要学习ISO/ICE 27000标准族，从我收集的标准找到的就有27001-27005对应国标。

我们今天，主要是整理了一下有关网络安全等级保护的现行标准目录，以及以“信息安全技术”作为关键字的国家标准，供大家参考！有关国标与27000系列对照的，待以后整理完成后通过公众号和大家一起探讨。

网络安全等级保护现行国家标准，供参考！整理自全国标准信息公共服务平台：序号标准号标准名称状态发布日期实施日期1 GB/T 22240-2020信息安全技术网络安全等级保护定级指南现行2020/4/28 2020/11/12 GB/T 25058-2019信息安全技术网络安全等级保护实施指南现行2019/8/30 2020/3/13 GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求现行2019/5/10 2019/12/14 GB/T 22239-2019信息安全技术网络安全等级保护基本要求现行2019/5/10 2019/12/15 GB/T 28448-2019信息安全技术网络安全等级保护测评要求现行2019/5/10 2019/12/16 GB/T 28449-2018信息安全技术网络安全等级保护测评过程指南现行2018/12/28 2019/7/17 GB/T 36958-2018信息安全技术网络安全等级保护安全管理中心技术要求现行2018/12/28 2019/7/18 GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范现行2018/12/28 2019/7/19 GB/T 37138-2018电力信息系统安全等级保护实施指南现行2018/12/28 2019/7/110 GB/T 36627-2018信息安全技术网络安全等级保护测试评估技术指南现行2018/9/17 2019/4/111 GB/T 35317-2017公安物联网系统信息安全等级保护要求现行2017/12/29 2017/12/29信息安全技术有关国家标准，整理自全国标准信息公共服务平台：1 GB/T 39725-2020信息安全技术健康医疗数据安全指南现行2020/12/14 2021/7/12 GB/T 39720-2020信息安全技术移动智能终端安全技术要求及测试评价方法现行2020/12/14 2021/7/13 GB/T 39680-2020信息安全技术服务器安全技术要求和测评准则现行2020/12/14 2021/7/14 GB/T 30276-2020信息安全技术网络安全漏洞管理规范现行2020/11/19 2021/6/15 GB/T 20261-2020信息安全技术系统安全工程能力成熟度模型现行2020/11/19 2021/6/16 GB/T 30279-2020信息安全技术网络安全漏洞分类分级指南现行2020/11/19 2021/6/17 GB/T 28458-2020信息安全技术网络安全漏洞标识与描述规范现行2020/11/19 2021/6/18 GB/T 25061-2020信息安全技术XML数字签名语法与处理规范现行2020/11/19 2021/6/19 GB/T 39276-2020信息安全技术网络产品和服务安全通用要求现行2020/11/19 2021/6/110 GB/T 39335-2020信息安全技术个人信息安全影响评估指南现行2020/11/19 2021/6/111 GB/T 39477-2020信息安全技术政务信息共享数据安全技术要求现行2020/11/19 2021/6/112 GB/T 39412-2020信息安全技术代码安全审计规范现行2020/11/19 2021/6/113 GB/T 39205-2020信息安全技术轻量级鉴别与访问控制机制现行2020/10/11 2021/5/114 GB/T 20283-2020信息安全技术保护轮廓和安全目标的产生指南现行2020/9/29 2021/4/115 GB/T 20281-2020信息安全技术防火墙安全技术要求和测试评价方法现行2020/4/28 2020/11/116 GB/T 22240-2020信息安全技术网络安全等级保护定级指南现行2020/4/28 2020/11/117 GB/T 25066-2020信息安全技术信息安全产品类别与代码现行2020/4/28 2020/11/118 GB/T 30284-2020信息安全技术移动通信智能终端操作系统安全技术要求现行2020/4/28 2020/11/119 GB/T 38625-2020信息安全技术密码模块安全检测要求现行2020/4/28 2020/11/120 GB/T 38626-2020信息安全技术智能联网设备口令保护指南现行2020/4/28 2020/11/121 GB/T 38628-2020信息安全技术汽车电子系统网络安全指南现行2020/4/28 2020/11/122 GB/T 38629-2020信息安全技术签名验签服务器技术规范现行2020/4/28 2020/11/123 GB/T 38632-2020信息安全技术智能音视频采集设备应用安全要求现行2020/4/28 2020/11/124 GB/T 38635.1-202信息安全技术SM9标识密码算法第1部分：总则现行2020/4/28 2020/11/125 GB/T 38635.2-202信息安全技术SM9标识密码算法第2部分：算法现行2020/4/28 2020/11/126 GB/T 38636-2020信息安全技术传输层密码协议（TLCP）现行2020/4/28 2020/11/127 GB/T 38638-2020信息安全技术可信计算可信计算体系结构现行2020/4/28 2020/11/128 GB/T 38644-2020信息安全技术可信计算可信连接测试方法现行2020/4/28 2020/11/129 GB/T 38645-2020信息安全技术网络安全事件应急演练指南现行2020/4/28 2020/11/130 GB/T 38646-2020信息安全技术移动签名服务技术要求现行2020/4/28 2020/11/131 GB/T 38648-2020信息安全技术蓝牙安全指南现行2020/4/28 2020/11/132 GB/T 38671-2020信息安全技术远程人脸识别系统技术要求现行2020/4/28 2020/11/133 GB/T 38674-2020信息安全技术应用软件安全编程指南现行2020/4/28 2020/11/134 GB/T 35273-2020信息安全技术个人信息安全规范现行2020/3/6 2020/10/135 GB/T 38540-2020信息安全技术安全电子签章密码技术规范现行2020/3/6 2020/10/136 GB/T 38541-2020信息安全技术电子文件密码应用指南现行2020/3/6 2020/10/137 GB/T 38542-2020信息安全技术基于生物特征识别的移动智能终端身份鉴别技术框架现行2020/3/6 2020/10/138 GB/T 38556-2020信息安全技术动态口令密码应用技术规范现行2020/3/6 2020/10/139 GB/T 38558-2020信息安全技术办公设备安全测试方法现行2020/3/6 2020/10/140 GB/T 38561-2020信息安全技术网络安全管理支撑系统技术要求现行2020/3/6 2020/10/141 GB/T 38249-2019信息安全技术政府网站云计算服务安全指南现行2019/10/18 2020/5/142 GB/T 20272-2019信息安全技术操作系统安全技术要求现行2019/8/30 2020/3/143 GB/T 25058-2019信息安全技术网络安全等级保护实施指南现行2019/8/30 2020/3/144 GB/T 37962-2019信息安全技术工业控制系统产品信息安全通用评估准则现行2019/8/30 2020/3/145 GB/T 21050-2019信息安全技术网络交换机安全技术要求现行2019/8/30 2020/3/146 GB/T 20009-2019信息安全技术数据库管理系统安全评估准则现行2019/8/30 2020/3/147 GB/T 18018-2019信息安全技术路由器安全技术要求现行2019/8/30 2020/3/148 GB/T 20979-2019信息安全技术虹膜识别系统技术要求现行2019/8/30 2020/3/149 GB/T 37971-2019信息安全技术智慧城市安全体系框架现行2019/8/30 2020/3/150 GB/T 37973-2019信息安全技术大数据安全管理指南现行2019/8/30 2020/3/151 GB/T 20273-2019信息安全技术数据库管理系统安全技术要求现行2019/8/30 2020/3/152 GB/T 37980-2019信息安全技术工业控制系统安全检查指南现行2019/8/30 2020/3/153 GB/T 37931-2019信息安全技术Web应用安全检测系统安全技术要求和测试评价方法现行2019/8/30 2020/3/154 GB/T 37934-2019信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求现行2019/8/30 2020/3/155 GB/T 37932-2019信息安全技术数据交易服务安全要求现行2019/8/30 2020/3/156 GB/T 37933-2019信息安全技术工业控制系统专用防火墙技术要求现行2019/8/30 2020/3/157 GB/T 37988-2019信息安全技术数据安全能力成熟度模型现行2019/8/30 2020/3/158 GB/T 37972-2019信息安全技术云计算服务运行监管框架现行2019/8/30 2020/3/159 GB/T 37935-2019信息安全技术可信计算规范可信软件基现行2019/8/30 2020/3/160 GB/T 37941-2019信息安全技术工业控制系统网络审计产品安全技术要求现行2019/8/30 2020/3/161 GB/T 37939-2019信息安全技术网络存储安全技术要求现行2019/8/30 2020/3/162 GB/T 37964-2019信息安全技术个人信息去标识化指南现行2019/8/30 2020/3/163 GB/T 37950-2019信息安全技术桌面云安全技术要求现行2019/8/30 2020/3/164 GB/T 37954-2019信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法现行2019/8/30 2020/3/165 GB/T 37952-2019信息安全技术移动终端安全管理平台技术要求现行2019/8/30 2020/3/166 GB/T 37953-2019信息安全技术工业控制网络监测安全技术要求及测试评价方法现行2019/8/30 2020/3/167 GB/T 37955-2019信息安全技术数控网络安全技术要求现行2019/8/30 2020/3/168 GB/T 37956-2019信息安全技术网站安全云防护平台技术要求现行2019/8/30 2020/3/169 GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求现行2019/5/10 2019/12/170 GB/T 22239-2019信息安全技术网络安全等级保护基本要求现行2019/5/10 2019/12/171 GB/T 28448-2019信息安全技术网络安全等级保护测评要求现行2019/5/10 2019/12/172 GB/T 28449-2018信息安全技术网络安全等级保护测评过程指南现行2018/12/28 2019/7/173 GB/T 36629.3-2018信息安全技术公民网络电子身份标识安全技术要求第3部分：验证服务消息及其处理规则现行2018/12/28 2019/7/174 GB/T 36950-2018信息安全技术智能卡安全技术要求（EAL4+）现行2018/12/28 2019/7/175 GB/T 36951-2018信息安全技术物联网感知终端应用安全技术要求现行2018/12/28 2019/7/176 GB/T 36957-2018信息安全技术灾难恢复服务要求现行2018/12/28 2019/7/177 GB/T 36958-2018信息安全技术网络安全等级保护安全管理中心技术要求现行2018/12/28 2019/7/178 GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范现行2018/12/28 2019/7/179 GB/T 36960-2018信息安全技术鉴别与授权访问控制中间件框架与接口现行2018/12/28 2019/7/180 GB/T 36968-2018信息安全技术IPSec VPN技术规范现行2018/12/28 2019/7/181 GB/T 37002-2018信息安全技术电子邮件系统安全技术要求现行2018/12/28 2019/7/182 GB/T 37024-2018信息安全技术物联网感知层网关安全技术要求现行2018/12/28 2019/7/183 GB/T 37025-2018信息安全技术物联网数据传输安全技术要求现行2018/12/28 2019/7/184 GB/T 37027-2018信息安全技术网络攻击定义及描述规范现行2018/12/28 2019/7/185 GB/T 37033.1-2018信息安全技术射频识别系统密码应用技术要求第1部分：密码安全保护框架及安全级别现行2018/12/28 2019/7/186 GB/T 37033.2-2018信息安全技术射频识别系统密码应用技术要求第2部分：电子标签与读写器及其通信密码应用技术要求现行2018/12/28 2019/7/187 GB/T 37033.3-2018信息安全技术射频识别系统密码应用技术要求第3部分：密钥管理技术要求现行2018/12/28 2019/7/188 GB/T 37044-2018信息安全技术物联网安全参考模型及通用要求现行2018/12/28 2019/7/189 GB/T 37046-2018信息安全技术灾难恢复服务能力评估准则现行2018/12/28 2019/7/190 GB/T 37076-2018信息安全技术指纹识别系统技术要求现行2018/12/28 2019/7/191 GB/T 37090-2018信息安全技术病毒防治产品安全技术要求和测试评价方法现行2018/12/28 2019/7/192 GB/T 37091-2018信息安全技术安全办公U盘安全技术要求现行2018/12/28 2019/7/193 GB/T 37092-2018信息安全技术密码模块安全要求现行2018/12/28 2019/7/194 GB/T 37093-2018信息安全技术物联网感知层接入通信网的安全要求现行2018/12/28 2019/7/195 GB/T 37094-2018信息安全技术办公信息系统安全管理要求现行2018/12/28 2019/7/196 GB/T 37095-2018信息安全技术办公信息系统安全基本技术要求现行2018/12/28 2019/7/197 GB/T 37096-2018信息安全技术办公信息系统安全测试规范现行2018/12/28 2019/7/198 GB/T 36629.1-2018信息安全技术公民网络电子身份标识安全技术要求第1部分：读写机具安全技术要求现行2018/10/10 2019/5/199 GB/T 36629.2-2018信息安全技术公民网络电子身份标识安全技术要求第2部分：载体安全技术要求现行2018/10/10 2019/5/1100 GB/T 36632-2018信息安全技术公民网络电子身份标识格式规范现行2018/10/10 2019/5/1101 GB/T 36637-2018信息安全技术ICT供应链安全风险管理指南现行2018/10/10 2019/5/1102 GB/T 36643-2018信息安全技术网络安全威胁信息格式规范现行2018/10/10 2019/5/1103 GB/T 36651-2018信息安全技术基于可信环境的生物特征识别身份鉴别协议框架现行2018/10/10 2019/5/1104 GB/T 36618-2018信息安全技术金融信息服务安全规范现行2018/9/17 2019/4/1105 GB/T 36619-2018信息安全技术政务和公益机构域名命名规范现行2018/9/17 2019/4/1106 GB/T 36626-2018信息安全技术信息系统安全运维管理指南现行2018/9/17 2019/4/1107 GB/T 36627-2018信息安全技术网络安全等级保护测试评估技术指南现行2018/9/17 2019/4/1108 GB/T 36630.1-2018信息安全技术信息技术产品安全可控评价指标第1部分：总则现行2018/9/17 2019/4/1109 GB/T 36630.2-2018信息安全技术信息技术产品安全可控评价指标第2部分：中央处理器现行2018/9/17 2019/4/1110 GB/T 36630.3-2018信息安全技术信息技术产品安全可控评价指标第3部分：操作系统现行2018/9/17 2019/4/1111 GB/T 366信息安全技术信息技术产品安全可控现2018/9/17 2019/4/130.4-2018评价指标第4部分：办公套件行112 GB/T 36630.5-2018信息安全技术信息技术产品安全可控评价指标第5部分：通用计算机现行2018/9/17 2019/4/1113 GB/T 36631-2018信息安全技术时间戳策略和时间戳业务操作规则现行2018/9/17 2019/4/1114 GB/T 36633-2018信息安全技术网络用户身份鉴别技术指南现行2018/9/17 2019/4/1115 GB/T 36635-2018信息安全技术网络安全监测基本要求与实施指南现行2018/9/17 2019/4/1116 GB/T 36639-2018信息安全技术可信计算规范服务器可信支撑平台现行2018/9/17 2019/4/1117 GB/T 36644-2018信息安全技术数字签名应用安全证明获取方法现行2018/9/17 2019/4/1118 GB/T 20518-2018信息安全技术公钥基础设施数字证书格式现行2018/6/7 2019/1/1119 GB/T 25056-2018信息安全技术证书认证系统密码及其相关安全技术规范现行2018/6/7 2019/1/1120 GB/T 36322-2018信息安全技术密码设备应用接口规范现行2018/6/7 2019/1/1121 GB/T 36323-2018信息安全技术工业控制系统安全管理基本要求现行2018/6/7 2019/1/1122 GB/T 36324-2018信息安全技术工业控制系统信息安全分级规范现行2018/6/7 2019/1/1123 GB/T 36466-2018信息安全技术工业控制系统风险评估实施指南现行2018/6/7 2019/1/1124 GB/T 36470-2018信息安全技术工业控制系统现场测控设备通用安全功能要求现行2018/6/7 2019/1/1126 GB/T 35274-2017信息安全技术大数据服务安全能力要求现行2017/12/29 2018/7/1127 GB/T 35275-2017信息安全技术SM2密码算法加密签名消息语法规范现行2017/12/29 2018/7/1128 GB/T 35276-2017信息安全技术SM2密码算法使用规范现行2017/12/29 2018/7/1129 GB/T 35277-2017信息安全技术防病毒网关安全技术要求和测试评价方法现行2017/12/29 2018/7/1130 GB/T 35278-2017信息安全技术移动终端安全保护技术要求现行2017/12/29 2018/7/1131 GB/T 35279-2017信息安全技术云计算安全参考架构现行2017/12/29 2018/7/1132 GB/T 35280-2017信息安全技术信息技术产品安全检测机构条件和行为准则现行2017/12/29 2018/7/1133 GB/T 352信息安全技术移动互联网应用服务现2017/12/29 2018/7/181-2017 器安全技术要求行134 GB/T 35282-2017信息安全技术电子政务移动办公系统安全技术规范现行2017/12/29 2018/7/1135 GB/T 35283-2017信息安全技术计算机终端核心配置基线结构规范现行2017/12/29 2018/7/1136 GB/T 35284-2017信息安全技术网站身份和系统安全要求与评估方法现行2017/12/29 2018/7/1137 GB/T 35285-2017信息安全技术公钥基础设施基于数字证书的可靠电子签名生成及验证技术要求现行2017/12/29 2018/7/1138 GB/T 35286-2017信息安全技术低速无线个域网空口安全测试规范现行2017/12/29 2018/7/1139 GB/T 35287-2017信息安全技术网站可信标识技术指南现行2017/12/29 2018/7/1140 GB/T 35288-2017信息安全技术电子认证服务机构从业人员岗位技能规范现行2017/12/29 2018/7/1141 GB/T 35289-2017信息安全技术电子认证服务机构服务质量规范现行2017/12/29 2018/7/1142 GB/T 35290-2017信息安全技术射频识别（RFID）系统通用安全技术要求现行2017/12/29 2018/7/1143 GB/T 35291-2017信息安全技术智能密码钥匙应用接口规范现行2017/12/29 2018/7/1144 GB/T 34942-2017信息安全技术云计算服务安全能力评估方法现行2017/11/1 2018/5/1145 GB/T 34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法现行2017/11/1 2018/5/1146 GB/T 34976-2017信息安全技术移动智能终端操作系统安全技术要求和测试评价方法现行2017/11/1 2018/5/1147 GB/T 34977-2017信息安全技术移动智能终端数据存储安全技术要求与测试评价方法现行2017/11/1 2018/5/1148 GB/T 34978-2017信息安全技术移动智能终端个人信息保护技术要求现行2017/11/1 2018/5/1149 GB/T 34990-2017信息安全技术信息系统安全管理平台技术要求和测试评价方法现行2017/11/1 2018/5/1150 GB/T 35101-2017信息安全技术智能卡读写机具安全技术要求（EAL4增强）现行2017/11/1 2018/5/1151 GB 35114-2017公共安全视频监控联网信息安全技术要求现行2017/11/1 2018/11/1152 GB/T 34095-2017信息安全技术用于电子支付的基于近距离无线通信的移动终端安全技术要求现行2017/7/31 2018/2/1153 GB/T 32918.5-2017信息安全技术SM2椭圆曲线公钥密码算法第5部分：参数定义现行2017/5/12 2017/12/1154 GB/T 33560-2017信息安全技术密码应用标识规范现行2017/5/12 2017/12/1155 GB/T 33561-2017信息安全技术安全漏洞分类现行2017/5/12 2017/12/1156 GB/T 33562-2017信息安全技术安全域名系统实施指南现行2017/5/12 2017/12/1157 GB/T 33563-2017信息安全技术无线局域网客户端安全技术要求（评估保障级2级增强）现行2017/5/12 2017/12/1158 GB/T 33565-2017信息安全技术无线局域网接入系统安全技术要求（评估保障级2级增强)现行2017/5/12 2017/12/1159 GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求现行2016/10/13 2017/5/1160 GB/T 33132-2016信息安全技术信息安全风险处理实施指南现行2016/10/13 2017/5/1161 GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分：算法描述现行2016/10/13 2017/5/1162 GB/T 33134-2016信息安全技术公共域名服务系统安全要求现行2016/10/13 2017/5/1163 GB/T 20276-2016信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求现行2016/8/29 2017/3/1164 GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求现行2016/8/29 2017/3/1165 GB/T 32905-2016信息安全技术SM3密码杂凑算法现行2016/8/29 2017/3/1166 GB/T 32907-2016信息安全技术SM4分组密码算法现行2016/8/29 2017/3/1167 GB/T 32914-2016信息安全技术信息安全服务提供方管理要求现行2016/8/29 2017/3/1169 GB/T 32919-2016信息安全技术工业控制系统安全控制应用指南现行2016/8/29 2017/3/1170 GB/T 32921-2016信息安全技术信息技术产品供应方行为安全准则现行2016/8/29 2017/3/1171 GB/T 32922-2016信息安全技术IPSec VPN安全接入基本要求与实施指南现行2016/8/29 2017/3/1172 GB/T 32924-2016信息安全技术网络安全预警指南现行2016/8/29 2017/3/1173 GB/T 32925-2016信息安全技术政府联网计算机终端安全管理基本要求现行2016/8/29 2017/3/1174 GB/T 32926-2016信息安全技术政府部门信息技术服务外包信息安全管理规范现行2016/8/29 2017/3/1175 GB/T 32927-2016信息安全技术移动智能终端安全架构现行2016/8/29 2017/3/1176 GB/T 329信息安全技术二元序列随机性检测现2016/8/29 2017/3/115-2016 方法行177 GB/T 32918.4-2016信息安全技术SM2椭圆曲线公钥密码算法第4部分：公钥加密算法现行2016/8/29 2017/3/1178 GB/T 32918.3-2016信息安全技术SM2椭圆曲线公钥密码算法第3部分：密钥交换协议现行2016/8/29 2017/3/1179 GB/T 32918.2-2016信息安全技术SM2椭圆曲线公钥密码算法第2部分：数字签名算法现行2016/8/29 2017/3/1180 GB/T 32918.1-2016信息安全技术SM2椭圆曲线公钥密码算法第1部分：总则现行2016/8/29 2017/3/1181 GB/T 32213-2015信息安全技术公钥基础设施远程口令鉴别与密钥建立规范现行2015/12/10 2016/8/1182 GB/T 20277-2015信息安全技术网络和终端隔离产品测试评价方法现行2015/5/15 2016/1/1183 GB/T 20279-2015信息安全技术网络和终端隔离产品安全技术要求现行2015/5/15 2016/1/1185 GB/T 31495.1-2015信息安全技术信息安全保障指标体系及评价方法第1部分：概念和模型现行2015/5/15 2016/1/1186 GB/T 31495.2-2015信息安全技术信息安全保障指标体系及评价方法第2部分：指标体系现行2015/5/15 2016/1/1187 GB/T 31495.3-2015信息安全技术信息安全保障指标体系及评价方法第3部分：实施指南现行2015/5/15 2016/1/1188 GB/T 31499-2015信息安全技术统一威胁管理产品技术要求和测试评价方法现行2015/5/15 2016/1/1189 GB/T 31500-2015信息安全技术存储介质数据恢复服务要求现行2015/5/15 2016/1/1190 GB/T 31501-2015信息安全技术鉴别与授权授权应用程序判定接口规范现行2015/5/15 2016/1/1191 GB/T 31502-2015信息安全技术电子支付系统安全保护框架现行2015/5/15 2016/1/1192 GB/T 31503-2015信息安全技术电子文档加密与签名消息语法现行2015/5/15 2016/1/1193 GB/T 31504-2015信息安全技术鉴别与授权数字身份信息服务框架规范现行2015/5/15 2016/1/1195 GB/T 31506-2015信息安全技术政府门户网站系统安全技术指南现行2015/5/15 2016/1/1196 GB/T 31507-2015信息安全技术智能卡通用安全检测指南现行2015/5/15 2016/1/1197 GB/T 31508-2015信息安全技术公钥基础设施数字证书策略分类分级规范现行2015/5/15 2016/1/1198 GB/T 31509-2015信息安全技术信息安全风险评估实施指南现行2015/5/15 2016/1/1199 GB/T 31167-2014信息安全技术云计算服务安全指南现行2014/9/3 2015/4/1200 GB/T 31168-2014信息安全技术云计算服务安全能力要求现行2014/9/3 2015/4/1201 GB/T 20275-2013信息安全技术网络入侵检测系统技术要求和测试评价方法现行2013/12/31 2014/7/15202 GB/T 20278-2013信息安全技术网络脆弱性扫描产品安全技术要求现行2013/12/31 2014/7/15203 GB/T 20945-2013信息安全技术信息系统安全审计产品技术要求和测试评价方法现行2013/12/31 2014/7/15204 GB/T 30271-2013信息安全技术信息安全服务能力评估准则现行2013/12/31 2014/7/15205 GB/T 30272-2013信息安全技术公钥基础设施标准一致性测试评价指南现行2013/12/31 2014/7/15206 GB/T 30273-2013信息安全技术信息系统安全保障通用评估指南现行2013/12/31 2014/7/15208 GB/T 30275-2013信息安全技术鉴别与授权认证中间件框架与接口规范现行2013/12/31 2014/7/15209 GB/T 30276-2013信息安全技术信息安全漏洞管理规范现行2013/12/31 2014/7/15211 GB/T 30278-2013信息安全技术政务计算机终端核心配置规范现行2013/12/31 2014/7/15212 GB/T 30279-2013信息安全技术安全漏洞等级划分指南现行2013/12/31 2014/7/15213 GB/T 30280-2013信息安全技术鉴别与授权地理空间可扩展访问控制置标语言现行2013/12/31 2014/7/15214 GB/T 30281-2013信息安全技术鉴别与授权可扩展访问控制标记语言现行2013/12/31 2014/7/15215 GB/T 30282-2013信息安全技术反垃圾邮件产品技术要求和测试评价方法现行2013/12/31 2014/7/15216 GB/T 30283-2013信息安全技术信息安全服务分类现行2013/12/31 2014/7/15217 GB/T 30285-2013信息安全技术灾难恢复中心建设与运维管理规范现行2013/12/31 2014/7/15218 GB/T 29827-2013信息安全技术可信计算规范可信平台主板功能接口现行2013/11/12 2014/2/1219 GB/T 29828-2013信息安全技术可信计算规范可信连接架构现行2013/11/12 2014/2/1220 GB/T 29829-2013信息安全技术可信计算密码支撑平台功能与接口规范现行2013/11/12 2014/2/1221 GB/T 29765-2013信息安全技术数据备份与恢复产品技术要求与测试评价方法现行2013/9/18 2014/5/1222 GB/T 29766-2013信息安全技术网站数据恢复产品技术要求与测试评价方法现行2013/9/18 2014/5/1223 GB/T 29767-2013信息安全技术公钥基础设施桥CA体系证书分级规范现行2013/9/18 2014/5/1224 GB/T 29240-2012信息安全技术终端计算机通用安全技术要求与测试评价方法现行2012/12/31 2013/6/1225 GB/T 29241-2012信息安全技术公钥基础设施 PKI互操作性评估准则现行2012/12/31 2013/6/1226 GB/T 29242-2012信息安全技术鉴别与授权安全断言标记语言现行2012/12/31 2013/6/1227 GB/T 29243-2012信息安全技术数字证书代理认证路径构造和代理验证规范现行2012/12/31 2013/6/1228 GB/T 29244-2012信息安全技术办公设备基本安全要求现行2012/12/31 2013/6/1229 GB/T 29245-2012信息安全技术政府部门信息安全管理基本要求现行2012/12/31 2013/6/1230 GB/T 28447-2012信息安全技术电子认证服务机构运营管理规范现行2012/6/29 2012/10/1233 GB/T 28450-2012信息安全技术信息安全管理体系审核指南现行2012/6/29 2012/10/1234 GB/T 28451-2012信息安全技术网络型入侵防御产品技术要求和测试评价方法现行2012/6/29 2012/10/1235 GB/T 28452-2012信息安全技术应用软件系统通用安全技术要求现行2012/6/29 2012/10/1236 GB/T 28453-2012信息安全技术信息系统安全管理评估要求现行2012/6/29 2012/10/1237 GB/T 28455-2012信息安全技术引入可信第三方的实体鉴别及接入架构规范现行2012/6/29 2012/10/1238 GB/T 28458-2012信息安全技术安全漏洞标识与描述规范现行2012/6/29 2012/10/1239 GB/T 26855-2011信息安全技术公钥基础设施证书策略与认证业务声明框架现行2011/7/29 2011/11/1240 GB/T 25064-2010信息安全技术公钥基础设施电子签名格式规范现行2010/9/2 2011/2/1241 GB/T 25069-2010信息安全技术术语现行2010/9/2 2011/2/1248 GB/T 25061-2010信息安全技术公钥基础设施 XML数字签名语法与处理规范现行2010/9/2 2011/2/1249 GB/T 25062-2010信息安全技术鉴别与授权基于角色的访问控制模型与管理规范现行2010/9/2 2011/2/1250 GB/T 25063-2010信息安全技术服务器安全测评要求现行2010/9/2 2011/2/1251 GB/T 25065-2010信息安全技术公钥基础设施签名生成应用程序的安全要求现行2010/9/2 2011/2/1254 GB/T 24363-2009信息安全技术信息安全应急响应计划规范现行2009/9/30 2009/12/1255 GB/T 20274.2-2008信息安全技术信息系统安全保障评估框架第2部分：技术保障现行2008/7/18 2008/12/1256 GB/T 20274.3-2008信息安全技术信息系统安全保障评估框架第3部分：管理保障现行2008/7/18 2008/12/1257 GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分：工程保障现行2008/7/18 2008/12/1258 GB/T 17964-2008信息安全技术分组密码算法的工作模式现行2008/6/26 2008/11/1262 GB/T 21052-2007信息安全技术信息系统物理安全技术要求现行2007/8/23 2008/1/1263 GB/T 21053-2007信息安全技术公钥基础设施 PKI系统安全等级保护技术要求现行2007/8/23 2008/1/1264 GB/T 21054-2007信息安全技术公钥基础设施 PKI系统安全等级保护评估准则现行2007/8/23 2008/1/1265 GB/T 21028-2007信息安全技术服务器安全技术要求现行2007/6/29 2007/12/1268 GB/T 20984-2007信息安全技术信息安全风险评估规范现行2007/6/14 2007/11/1270 GB/T 20988-2007信息安全技术信息系统灾难恢复规范现行2007/6/14 2007/11/1274 GB/T 20520-2006信息安全技术公钥基础设施时间戳规范现行2006/8/30 2007/2/1275 GB/T 20269-2006信息安全技术信息系统安全管理要求现行2006/5/31 2006/12/1276 GB/T 20270-2006信息安全技术网络基础安全技术要求现行2006/5/31 2006/12/1277 GB/T 20271-2006信息安全技术信息系统通用安全技术要求现行2006/5/31 2006/12/1280 GB/T 20274.1-2006信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型现行2006/5/31 2006/12/1281 GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法现行2006/5/31 2006/12/1282 GB/T 20282-2006信息安全技术信息系统安全工程管理要求现行2006/5/31 2006/12/1283 GB/T 20008-2005信息安全技术操作系统安全评估准则现行2005/11/11 2006/5/1286GB/T 20011-2005信息安全技术路由器安全评估准则现行2005/11/11 2006/5/1 网络安全为人民，网络安全靠人民！做对用户有真实价值的网络安全服务《网络安全法》里的关键信息基础设施的运行安全如何选择保护密码？网络安全等级保护：信息技术服务从业人员能力培养网络安全等级保护：信息技术服务过程一般要求如何保护好无线网络安全？数据安全：数据安全能力成熟度模型网络安全等级保护：网络产品和服务安全通用要求之总体目标学习国家网络安全等级保护制度的体系架构良好的网络安全习惯知多少？。

GB/T20270-2006信息安全技术网络基础安全技术要求Information security technology—Basis security techniques requirements for network自2006-12-1 起执行目次前言引言1 范围2 规范性引用文件3 术语、定义和缩略语3.1 术语和定义3.2 缩略语4 网络安全组成与相互关系5 网络安全功能基本要求5.1 身份鉴别5.1.1 用户标识5.1.2 用户鉴别5.1.3 用户—主体绑定5.1.4 鉴别失败处理5.2 自主访问控制5.2.1 访问控制策略5.2.2 访问控制功能5.2.3 访问控制范围5.2.4 访问控制粒度5.3 标记5.3.1 主体标记5.3.2 客体标记5.3.3 标记完整性5.3.4 有标记信息的输出5.4 强制访问控制5.4.1 访问控制策略5.4.2 访问控制功能5.4.3 访问控制范围5.4.4 访问控制粒度5.4.5 访问控制环境5.5 数据流控制5.6 安全审计5.6.1 安全审计的响应5.6.2 安全审计数据产生5.6.3 安全审计分析5.6.4 安全审计查阅5.6.5 安全审计事件选择5.6.6 安全审计事件存储5.7 用户数据完整性5.7.1 存储数据的完整性5.7.2 传输数据的完整性5.7.3 处理数据的完整性5.8 用户数据保密性5.8.1 存储数据的保密性5.8.2 传输数据的保密性5.8.3 客体安全重用5.9 可信路径5.10 抗抵赖5.10.1 抗原发抵赖5.10.2 抗接收抵赖5.11 网络安全监控6 网络安全功能分层分级要求6.1 身份鉴别功能6.2 自主访问控制功能6.3 标记功能6.4 强制访问控制功能6.5 数据流控制功能6.6 安全审计功能6.7 用户数据完整性保护功能6.8 用户数据保密性保护功能6.9 可信路径功能6.10 抗抵赖功能6.11 网络安全监控功能7 网络安全技术分级要求7.1 第一级：用户自主保护级7.1.1 第一级安全功能要求7.1.2 第一级安全保证要求7.2 第二级：系统审计保护级7.2.1 第二级安全功能要求7.2.2 第二级安全保证要求7.3 第三级：安全标记保护级7.3.1 第三级安全功能要求7.3.2 第三级安全保证要求7.4 第四级：结构化保护级7.4.1 第四级安全功能要求7.4.2 第四级安全保证要求7.5 第五级：访问验证保护级7.5.1 第五级安全功能要求7.5.2 第五级安全保证要求附录A(资料性附录) 标准概念说明A.1 组成与相互关系A.2 关于网络各层协议主要功能的说明A.3 关于安全保护等级划分A.4 关于主体和客体A.5 关于SSON、SSF、SSP、SFP及其相互关系A.6 关于数据流控制A.7 关于密码技术A.8 关于安全网络的建议参考文献前言本标准的附录A是资料性附录.本标准由全国信息安全标准化技术委员会提出并归口。

信息安全技术移动智能终端个人信息保护技术要求随着移动智能终端的快速普及和使用，个人信息安全问题越来越受到大家的关注。

为了更好地保护用户的个人信息，信息安全技术移动智能终端个人信息保护技术提出了一些要求。

首先，个人信息应该得到加密保护。

对于移动智能终端存在的各种个人信息，如用户名、密码、手机号码、银行卡号等，必须采取加密技术进行保护，防止这些信息被窃取或泄露。

特别是一些应用软件和电商平台，应该在开发阶段就对用户的个人信息进行加密，确保信息传输安全。

其次，要求终端设备具备安全维护能力。

移动智能终端应该具备自我维护能力，能够自动对系统进行升级和修复安全漏洞。

同时，移动智能终端应该允许用户手动更新应用程序，避免安全隐患。

另外，移动智能终端应该有远程锁屏、远程删除、远程定位等防盗措施，以防止手机丢失或被盗。

其次，要求终端应用程序具备许可管理和安全审计机制。

应用程序的许可管理机制可以控制应用程序采集、储存或传输用户信息的范围和条件。

安全审计机制则能够监控应用程序对于用户信息的使用情况，防止数据滥用和资料泄露。

最后，要求移动智能终端有安全防护芯片。

安全防护芯片是一种硬件安全模块，能够对移动智能终端的系统操作和数据进行加密保护。

安全防护芯片可以通过加密算法和数字签名等技术，确保用户的信息在安全有序的网络环境下传输。

总之，信息安全技术的不断进步，移动智能终端的个人信息保护技术也不断得到完善。

我们应该认识到用户的个人信息保护是每个移动智能终端厂商、应用开发者和用户共同的责任，加强个人信息保护，确保信息安全是我们应该具备的意识。

信息安全技术密码模块安全要求(一)信息安全技术密码模块安全要求密码模块的意义密码模块是信息安全技术中的关键部分，它负责保护用户的敏感信息免受未授权访问。

密码模块的安全要求决定了其是否能够有效防止密码泄露和攻击。

密码模块安全要求的相关内容1.密码存储安全性要求：密码存储应该采用适当的加密算法进行保护，保证密码在存储过程中不被泄露。

同时，密码存储应该具备防止撞库攻击的能力，例如使用盐值和哈希算法。

例如，用户的密码应该被以不可逆的方式加密存储，被存储的密码不应能够直接还原为明文密码。

2.密码传输安全性要求：密码在传输过程中应该进行加密保护，防止密码被截获。

通常使用SSL/TLS协议进行传输加密，确保只有合法的、受信任的服务器才能获得密码。

例如，用户在网上银行的登录页面输入密码时，通过HTTPS协议对通信进行加密保护，防止敏感信息被恶意获取。

3.密码验证安全性要求：密码验证过程应该具备一定的复杂性，以防止暴力破解等攻击手段。

密码验证应该限制尝试次数，设置密码复杂性要求，例如长度要求、包含字母和数字等。

例如，用户登录系统时，如果连续输入密码错误超过一定次数，则系统会锁定账户一段时间，以防止暴力破解攻击。

4.密码重置安全性要求：为了应对用户遗忘密码等情况，密码重置功能应该能够有效验证用户的身份，并采取适当的措施防止被滥用。

例如，密码重置通常需要通过注册时预留的备选邮箱或手机号码进行验证，确保只有合法用户才能重置密码。

总结在信息安全技术中，密码模块的安全要求是确保用户密码不被盗取或非法使用的关键。

密码存储、密码传输、密码验证和密码重置等方面都需要满足相应的安全要求，以确保密码的安全性和可靠性。

只有通过严格实施相关的安全要求，才能有效保护用户的敏感信息。

密码模块安全技术要求
密码模块安全技术要求
想要保护个人信息隐私、保证数据安全，密码模块安全技术是不可或缺的一环。

在此，就密码模块安全技术要求展开详细阐述，给大家一睹困境后的突围之路。

首先，要保证密码模块安全，建立复杂的密码是贯彻安全技术的基础。

这里的
复杂程度的高低不仅仅是密码本身复杂度来划定，更有更新频率、包含特殊符号大小写字母数字混合等等条件来考虑。

其次，在使用密码模块时，建议创建自主的账号，不要依赖第三方开发的账号，更不要采用个人信息暴露的“轻账号”。

此外，如果有不同的认证账号使用的话，更建议采用一次性验证码来进行短信、邮件等形式的身份认证，这样可以有效降低密码被猜出的熵值。

再者，在账号的开通中除了上面介绍的之外，还可以采取黑白名单方法来阻挡，例如采用ip限制或增设手机号码等做用来实现有效地账号认证。

同时，可以加入
错误次数、登陆IP地址限制和实时计算机指纹认证等额外的安全要求，以增加密
码登陆模块的安全性。

最后，走保护密码模块安全路径时，不要贪图便利，记得严格遵守相关规定，
另外也不要保管不当，也不要将密码共享给他人，也不要使用相同的密码多处登陆。

另外，要及时更新、安装杀毒软件，加强网络技术的安全防护，以打击网络恶意攻击和病毒的侵扰。

总的来说，建立安全的密码模块是确保信息安全和隐私保护的重要方式，此外
增设多样的安全措施，即可以有效地保护个人信息安全，确保依据法律法规保障公民的合法权益不受侵害。

信息技术设备的安全标准(一)信息技术设备的安全标准一、引言在当今数字化时代，信息技术设备的安全问题日益突出。

为了保障用户的信息安全和设备的可靠性，制定并遵守相关的安全标准势在必行。

本文将介绍一些常见的信息技术设备安全标准，旨在提高大家对设备安全的认识和意识。

二、ISO 27001信息安全管理制度ISO 27001是信息安全管理制度的国际标准，是一种基于风险管理的信息安全管理体系。

通过该标准的实施，组织能够识别、评估和管理与信息安全相关的风险。

主要要求包括：•制定信息安全政策和目标，并保证其持续适应性。

•进行信息安全风险评估和风险管理。

•设立适当的安全控制措施，保护信息的机密性、完整性和可用性。

•定期进行内部和外部的信息安全审核。

三、FIPS 140-2加密标准FIPS 140-2是美国国家标准与技术研究院（NIST）发布的加密标准。

该标准主要针对密码模块进行评估和认证，确保其能够提供足够的安全保障。

其要求包括：•加密算法的使用必须符合FIPS认可的算法。

•密钥长度和复杂度必须符合要求。

•模块必须具备良好的自测和自校验能力。

•模块必须具备防护物理攻击的能力。

四、IEC 62443工业自动化和控制系统的网络安全标准IEC 62443是国际电工委员会（IEC）发布的工业自动化和控制系统的网络安全标准。

该标准旨在确保工业控制系统可靠运行，防止恶意攻击和故障造成的危害。

其要求包括：•对工业网络进行分段和隔离，限制潜在攻击的传播范围。

•实施访问控制措施，限制系统的使用权限。

•监控和检测网络中的异常行为，及时做出相应的响应和处置。

•对工业控制系统进行定期的漏洞扫描和安全评估。

五、总结通过遵守信息技术设备的安全标准，可以有效提高设备的安全性和可靠性。

ISO 27001、FIPS 140-2和IEC 62443等标准提供了一套可行的指南和要求，有助于保护用户的隐私信息和避免信息泄露。

作为创作者，我们应增强安全意识，积极采取措施确保设备安全并参与相关的安全标准制定。

信息安全技术,密码模块安全等级对应表附录A （资料性附录）安全等级对应表A.1 通用要求安全等级见表A.1表A.1 通用要求安全等级对应表测评单元安全一级安全二级安全三级安全四级01.01 01.02 01.03 01.04 A.2 密码模块规格安全等级见表A.2 表A.2 密码模块规格安全等级对应表测评单元安全一级安全二级安全三级安全四级02.01 02.02 02.03 02.04 02.05 02.06 02.07 02.08 02.09 02.10 02.11 02.12 02.13 02.14 02.15 02.16 02.17 02.18 02.19 02.20 02.21 表A.2 （续）测评单元安全一级安全二级安全三级安全四级02.2202.23 02.24A.3 密码模块接口安全等级见表A.3 表A.3 密码模块接口安全等级对应表测评单元安全一级安全二级安全三级安全四级03.01 03.02 03.03 03.04 03.05 03.06 03.07 03.08 03.09 03.10 03.11 03.12 03.13 03.14 03.15 03.1603.1703.1803.1903.2003.22A.4 角色、服务和鉴别安全等级见表A.4 表A.4 角色、服务和鉴别安全等级对应表测评单元安全一级安全二级安全三级安全四级04.01 04.02 04.03 表A.4（续）测评单元安全一级安全二级安全三级安全四级04.04 04.05 04.06 04.07 04.08 04.09 04.10 04.1104.12 04.13 04.14 04.15 04.16 04.17 04.18 04.19 04.20 04.21 04.2204.23 04.24 04.25 04.26 04.2704.28 04.29 04.30 04.31 04.32 04.33 04.34 04.35 04.36 04.37 04.3804.3904.4004.4104.42表A.4 （续）测评单元安全一级安全二级安全三级安全四级04.4304.4404.45 04.46 04.4704.4804.5004.5104.5204.5304.5404.5504.5604.5704.5804.5904.6004.61A.5 软件/固件安全安全等级见表A.5 表A.5 软件/固件安全安全等级对应表测评单元安全一级安全二级安全三级安全四级05.01 05.02 05.03 05.04 05.05 05.06 05.07 05.08 05.09 05.10 05.11 05.1205.1305.14表A.5 （续）测评单元安全一级安全二级安全三级安全四级05.1505.1605.1705.1805.1905.2005.21A.6 运行环境安全等级见表A.6 表A.6 运行环境安全等级对应表测评单元安全一级安全二级安全三级安全四级06.0106.0206.0306.0406.0506.0606.0706.0806.0906.1006.1106.12 06.13 06.14 06.15 06.16 06.17 06.18 06.19 06.20 06.21 06.2206.2306.2406.2506.26表A.6 （续）测评单元安全一级安全二级安全三级安全四级06.2706.2806.2906.30A.7 物理安全安全等级见表A.7 表A.7 物理安全安全等级对应表测评单元安全一级安全二级安全三级安全四级07.01 07.02 07.03 07.04 07.05 07.06 07.07 07.08 07.09 07.10 07.11 07.1207.13 07.14 07.15 07.16 07.1707.1807.1907.2007.2107.2207.2307.2407.2507.2607.2707.2807.29表A.7 （续）测评单元安全一级安全二级安全三级安全四级07.30 07.3107.3207.3307.3407.3507.3607.3707.4007.4107.4207.43 07.4407.4507.4607.4707.4807.4907.5007.5107.5207.5307.5407.5507.5607.5707.5807.5907.60 07.6107.6307.6407.6507.6607.6707.6807.69表A.7（续）测评单元安全一级安全二级安全三级安全四级07.70 07.7107.7207.7307.7407.7507.7607.7707.7807.7907.8007.8107.8207.8407.8507.86A.8 非入侵式安全安全等级见表A.8 表A.8 非入侵式安全安全等级对应表测评单元安全一级安全二级安全三级安全四级08.01 08.02 08.03 08.04 08.05 08.0608.0708.08A.9 敏感安全参数管理安全等级见表A.9 表A.9 敏感安全参数管理安全等级对应表测评单元安全一级安全二级安全三级安全四级09.01 09.02 09.03 表A.9（续）测评单元安全一级安全二级安全三级安全四级09.04 09.05 09.06 09.07 09.08 09.09 09.10 09.11 09.12 09.13 09.14 09.15 09.16 09.17 09.18 09.19 09.20 09.2109.2209.2309.2409.2509.2609.27 09.28 09.29 09.3009.31 09.32 09.3309.3409.3509.3609.3709.3809.3909.40A.10 自测试安全等级见表A.10 表A.10 自测试安全等级对应表测评单元安全一级安全二级安全三级安全四级10.01 10.02 10.03 10.04 10.05 10.06 10.07 10.08 10.09 10.10 10.1110.1210.1310.14 10.15 10.16 10.17 10.1810.19 10.20 10.21 10.22 10.23 10.24 10.25 10.26 10.27 10.28 10.29 10.30 10.31 10.32 10.33 10.34 10.35 10.36 10.37 表A.10 （续）测评单元安全一级安全二级安全三级安全四级10.38 10.39 10.40 10.41 10.42 10.43 10.44 10.45 10.46 10.47 10.48 10.49 10.50 10.51 10.52 10.5310.54A.11 生命周期保障安全等级见表A.11 表A.11 生命周期保障安全等级对应表测评单元安全一级安全二级安全三级安全四级11.01 11.02 11.03 11.04 11.05 11.0611.07 11.08 11.09 11.10 11.11 11.12 11.13 11.14 11.15 11.16 表A.11 （续）测评单元安全一级安全二级安全三级安全四级11.17 11.18 11.19 11.2011.21 11.2211.2311.2411.2511.2611.2711.2811.29 11.30 11.3111.32 11.3311.3411.3511.36 11.3711.38 11.39 A.12 对其他攻击的缓解安全等级见表A.12 表A.12 对其他攻击的缓解安全等级对应表测评单元安全一级安全二级安全三级安全四级12.01 12.02 12.0312.04_________________________________。

密码模块安全测评的思路和方法中国信息安全测评中心 石竑松 李贺鑫 杨永生在信息安全的基础支撑技术中，密码技术可谓研究最深入，同时也是难度最大的研究内容之一。

经过40多年的发展，由于基础数学和计算复杂性理论的相互促进，现代密码学的研究逐步趋于成熟，基础性概念及其相互依赖关系不断明确，丰富多彩的应用形式不断被开发出来。

当然，现代密码学的研究还远未完善，尽管可以构造一些在理想世界中安全的方案，其安全性在真实世界中并不容乐观。

为了保障密码应用安全，有必要对密码模块进行安全测评。

在这个问题上，基于距离度量的观念逐步得到认可。

简单地说，我们可以从差距分析的角度测量安全属性在理想世界和真实世界之间的距离，再评估这种距离对安全性的影响。

这种观念在很多测评标准中得到了体现，其中GB/T 18336（即通用评估准则CC标准）和GM/T 0028（即《密码模块安全技术要求》）是这方面的典范。

为了清楚地讨论密码模块的测评方法，本文在介绍密码算法理论安全性的基础上，将分析密码模块面临的各种安全威胁，论述密码模块应具备的安全防护能力，最后再回到具体的标准层面，梳理现有的两种密码模块测评方法，即基于GB/T 18336和GM/T 0028的测评方法，希望有利于读者了解密码模块测评技术，为后续改进测评方法、提高密码模块安全性提供思路。

一、密码算法的理论安全性一个密码模块的实际安全性取决于三个方面：首先，密码算法必须是理论上安全的（理论安全性）；其次，密码算法的实现方法和过程必须是安全的（实现安全性）；再者，密码模块的运行管理必须是安全的（运行环境安全性），不难发现这三个方面实际上对应着密码模块的设计、实现和运行三个生命周期阶段。

与密码算法的理论研究不同，安全测评很少触及密码算法的理论安全证明过程，但是由于算法安全性的定义方法对安全测评有直接影响，本节将对此进行讨论。

在此之前，先做两项约定：首先，本文主要关注技术层面的安全问题，对于密码运行管理安全问题不作讨论。

关于密码模块若干问题的说明国家密码管理局2017年12月1.概述当今，国与国之间、地区与地区之间，竞争性越来越强，信息在竞争中起着举足轻重的作用。

很多重要的信息直接关系到从大到国家、组织、商业和工业，小到一个家庭的命运，这些重要信息需要得到保护，密码技术及密码模块在保护这些信息中起着非常关键的作用。

密码模块是向信息系统提供密码服务(例如加密、解密、数字签名、签名验证和密钥管理等)的核心部件,是信息安全的保证基础。

密码模块在向信息系统提供服务的同时,其自身的安全也需要得到保证。

要维护由密码模块保护的信息的机密性和完整性，对密码模块本身的保护是必要的。

作为度量计算机和信息系统中密码产品的安全性保证的方法，密码模块安全要求标准在政治、军事、商业等领域中是绝对必要的，并且可以规范涉密产品的安全需求，直接推动密码产品的开发水平、测评水平和应用水平的提高。

在广泛消化吸收国内外相关标准和实际检测经验的基础上，并结合国内在密码安全技术上的研究积累、技术创新和应用实践，中国密码行业标准化技术委员会制定了符合中国国情的行业标准GM/T 0028-2014《密码模块安全技术要求》和GM/T 0039-2015《密码模块安全检测要求》,并分别于2014年和2015年发布实施。

以上两项标准适用于除密码芯片和系统软件外的各种密码产品类型，如智能IC 卡、智能密码钥匙、密码机、密码卡、VPN网关、支付终端等，并且涵盖密码产品设计、实现、测评和维护的各个领域，对密码行业相关产品的开发、测试和应用提供了指导，是今后密码行业产品安全性要求、测评和应用的指导性文件。

标准发布施行后，中国密码学会及相关行业协会邀请了撰写以上标准的主要技术专家在不同场合进行了标准宣贯和培训工作，起到了不错的效果。

从2017年开始，国家密码管理局商用密码检测中心根据以上两项标准对新送检的产品进行检测和认证工作，积累了不少经验，但也发现了一些问题。

主要表现在产品研制单位和用户机构对密码模块相关概念、分级标准、现行密码产品与今后施行密码模块管理之间的关系，以及如何选用密码模块等方面理解不透彻、不到位。

信息系统密码应用测评要求随着信息技术的快速发展，信息系统已成为各个领域中不可或缺的一部分。

而密码作为信息系统的安全基础，其应用测评要求显得尤为重要。

本文将围绕信息系统密码应用测评要求展开讨论。

一、密码应用的基本原则1、完整性原则：密码应能确保信息系统的数据在存储、传输和处理过程中不被非授权访问或篡改。

2、可用性原则：密码应能够在各种场景下正常使用，避免由于密码问题导致的信息系统不可用。

3、安全性原则：密码应具备足够的安全性，防止被破解或泄露。

4、便捷性原则：密码应便于用户记忆和使用，降低使用成本，提高使用效率。

二、密码应用测评的要点1、密码策略评估：评估密码策略的复杂度、长度、组合方式等是否符合安全要求，同时考虑用户记忆和使用成本。

2、密码管理评估：评估密码管理流程是否严谨，包括密码生成、存储、更新、废止等环节。

3、密码传输评估：评估密码在传输过程中的安全性，如加密算法、传输协议等是否符合要求。

4、密码存储评估：评估密码在存储过程中的安全性，如加密算法、存储设备等是否符合要求。

5、密码使用评估：评估密码在实际使用过程中的安全性，如用户行为、使用环境等是否符合要求。

三、密码应用测评的方法1、静态测试：通过对密码策略、管理流程等进行静态分析，发现其中可能存在的安全问题。

2、动态测试：通过模拟黑客攻击、漏洞扫描等手段，测试密码在实际使用过程中的安全性。

3、渗透测试：请专业的安全团队进行渗透测试，深入挖掘可能存在的安全问题，提出改进建议。

4、用户行为分析：通过对用户的行为进行分析，发现其中可能存在的安全问题，如弱密码、重复使用密码等。

5、定期测评：定期对密码进行测评，确保其始终符合安全要求。

四、结论信息系统密码应用测评要求是保障信息系统安全的重要环节。

通过对密码策略、管理流程、传输过程、存储过程和使用过程进行全面评估，可以发现其中可能存在的安全问题，及时进行改进，确保信息系统的安全性和可用性。

在测评过程中，需要结合静态测试、动态测试、渗透测试、用户行为分析和定期测评等多种方法，确保测评的全面性和有效性。

GM/T 0039-2023密码模块安全检测要求引言本文档旨在说明密码模块安全检测的要求，旨在确保密码模块的安全性和可靠性。

密码模块是一种重要的安全设备，广泛应用于密码算法的加密、解密和签名等场景中。

密码模块的安全性对于保护信息安全至关重要，因此需要进行全面的安全检测。

1. 概述1.1 目的本文档的目的是制定密码模块的安全检测要求，以确保密码模块符合相关法律法规和技术标准，并能够保证密码模块的安全性和可靠性。

1.2 适用范围本文档适用于生产、销售或使用密码模块的各方，包括但不限于密码模块制造商、密码模块的用户和评测机构。

2. 安全检测要求2.1 功能要求2.1.1 加密算法安全性检测对于密码模块中使用的加密算法，需要进行严格的安全性检测，包括但不限于以下几个方面：•密钥长度和生成算法的安全性检测。

•加密算法的安全强度检测，如抗差分攻击、抗线性攻击等。

•对称加密算法的密钥管理安全性检测。

•非对称加密算法的密钥对生成和管理安全性检测。

2.1.2 密码算法实现安全性检测密码模块中实现的密码算法需要经过严格的安全性检测，包括但不限于以下几个方面：•密码算法代码审计，确保代码的安全性和可靠性。

•密码算法的抗攻击性能测试，如抗差分攻击、抗线性攻击等。

•密码算法的防侧信道攻击能力测试，如抗旁路攻击、抗时序攻击等。

2.2 硬件要求2.2.1 安全认证和标识密码模块需要通过相关的安全认证和标识，以确保其符合相关法律法规和技术标准，包括但不限于以下几个方面：•国家密码管理机构的安全认证。

•安全认证标准的符合性，如FIPS等。

2.2.2 安全接口密码模块需要具备安全接口，以保护密码模块与外部环境之间的通信安全，包括但不限于以下几个方面：•防止信息泄漏和篡改的通信安全协议的支持，如SSL/TLS等。

•安全接口的物理安全性检测。

2.3 测试要求2.3.1 安全性测试对密码模块进行全面的安全性测试，包括但不限于以下几个方面：•密码模块的抗攻击能力测试，如抗侧信道攻击、抗键盘记录攻击等。

《信息安全技术-信息系统密码应用基本要求》 国家强制
标准
国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》是贯彻落实《中华人民共和国密码法》，指导商用密码应用与安全性评估工作的一项基础性标准，对于规范和引导信息系统合规、正确、有效应用密码，切实维护国家网络与信息安全具有重要意义。

该标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求，以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。

与GM/T0054-2018《信息系统密码应用基本要求》相比，该标准结合近年来商用密码应用与安全性评估工作实践对部分内容进行了优化，按照信息系统安全等级分别提出了相应的密码应用要求。

密评参照标准
密评即密码应用安全性评估，是指在采用密码技术、产品和服务的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

以下是一些可能的密评参照标准：
1. 国家标准：如《信息安全技术信息系统密码应用基本要求》
（GB/T 39786-2021）等国家标准，规定了信息系统中密码应用的基本要求和评估方法。

2. 行业标准：不同行业可能有针对自身特点的密码应用标准，如金融行业的《金融领域信息系统密码应用基本要求》等。

3. 密码技术标准：如《密码模块安全技术要求》（GM/T 0028-2014）等密码技术标准，规定了密码模块的安全要求和评估方法。

4. 安全评估标准：如《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）等安全评估标准，其中包含了密码应用的相关要求。

在进行密评时，需要根据具体情况选择合适的参照标准，并结合实际情况进行评估。

同时，还需要关注相关政策法规的变化，及时更新评估标准和方法。