下载文档原格式
国家保密标准国家保密标准由国家保密局发布,强制执行,在涉密信息的产生、处理、传输、存储和载体销毁的全过程中都应严格执行。
国家保密标准适用于指导全国各行各业、各个单位国家秘密的保护工作,具有全国性指导作用,是国家信息安全标准的重要组成部分。
国家保密标准的制定过程是:国家保密局下达课题,以国家保密科学技术研究所为主承担,与相关单位合作,请有关专家参与讨论,重要标准发各省、各部门征求意见,国家保密局组织专家进行评审后,由国家保密局发布实施。
1. BMB1-1994《电话机电磁泄漏发射限值和测试方法》本标准规定了电话机电磁泄漏辐射发射、传导发射的限值和测试方法。
本标准适用于党政专用电话网使用的有线电话机(不包括无绳电话机、数字电话机),适用于需要保密通信的电话机。
2. BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试方法和安全判据》本标准规定了使用现场的信息设备电磁泄漏辐射发射、传导发射检查测试方法和信息安全判据。
本标准适用于保密部门对信息设备进行现场保密检查。
3. BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》本标准规定了处理涉密信息的电磁屏蔽室的电磁场屏蔽效能要求、传导泄漏发射抑制要求和测试方法。
该标准适用于对处理涉密信息的电磁屏蔽室性能进行检测。
4. BMB4-2000《电磁干扰器技术要求和测试方法》本标准规定了电磁干扰器的辐射发射要求、传导发射及抑制要求、抗视频信息还原性能要求和测试方法以及等级划分。
本标准适用于保护满足GB9254-1998A级、B级或其它等同标准要求计算机的电磁干扰器。
5. BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》本标准规定了对涉密信息系统的设备选用、使用环境和工程安装等防护要求。
本标准适用于涉密信息设备使用现场的电磁泄漏发射防护。
6. BMB6-2001《密码设备电磁泄漏发射限值》本标准规定了密码设备电场辐射发射、磁场辐射发射和传导发射限值以及等级划分。
密码校验的一些规则(原创版)目录1.密码校验的重要性2.密码校验的常见规则3.密码校验的实际应用4.密码校验的未来发展趋势正文在互联网时代,个人信息安全越来越受到重视。
为了保护用户的账户安全,各种密码校验机制应运而生。
密码校验是一种验证用户输入的密码是否正确的过程,它在保证账户安全的同时,也提升了用户体验。
本文将介绍密码校验的一些规则,以及它们在实际应用中的作用和未来发展趋势。
一、密码校验的重要性随着互联网的普及,越来越多的人开始使用网络服务。
为了防止不法分子通过猜测、暴力破解等方式盗取用户的账户密码,密码校验成为了保障账户安全的重要手段。
通过密码校验,可以降低账户被盗的风险,保护用户的隐私和财产安全。
二、密码校验的常见规则密码校验的规则有很多,常见的包括以下几种:1.密码长度:通常,密码越长,其安全性越高。
一般来说,密码长度不应少于 8 个字符。
2.密码复杂度:一个好的密码应包含大小写字母、数字和特殊字符等多种字符。
这样的密码更难被猜测和破解。
3.密码强度:为了提高密码强度,可以采用添加特殊字符、使用数字和字母的组合等方式。
4.密码更新周期:定期更换密码可以降低密码被破解的风险。
三、密码校验的实际应用在实际应用中,密码校验扮演着非常重要的角色。
例如,在银行网上银行、电子商务平台等场景中,密码校验可以确保用户的账户安全。
此外,密码校验还被广泛应用于操作系统、数据库等场景,以保护数据的安全。
四、密码校验的未来发展趋势随着技术的发展,密码校验也在不断升级。
未来的密码校验将更加智能化、便捷化和安全化。
例如,生物识别技术如指纹识别、面部识别等可以作为密码校验的辅助手段,提高账户的安全性。
另外,人工智能技术可以帮助系统自动识别异常登录行为,进一步保障用户的账户安全。
总之,密码校验在保障账户安全方面发挥着重要作用。
安全芯片密码检测准则 Cryptography Test Criteria for Security IC国家密码管理局商用密码检测中心国家密码管理局商用密码检测中心2011年11月目录前言 (1)引言 (2)1 范围 (3)2 规范性引用文件 (3)3 术语、定义和缩略语 (3)3.1 术语和定义 (3)3.1.1 密钥 Key (3)3.1.2 敏感信息 Sensitive Information (3)3.1.3 安全芯片 Security Chip (3)3.1.4 安全能力 Security Capability (3)3.1.5 分组密码算法的工作模式Block Cipher Operation Mode (3)3.1.6 公钥密码算法的应用模式Public Key Cipher Application Mode (3)3.1.7 密码算法的运算速率Operation Speed of Cryptographic Algorithm (4)3.1.8 物理随机源Physical Random Source (4)3.1.9 固件 Firmware (4)3.1.10 硬件 Hardware (4)3.1.11 生命周期 Life Cycle (4)3.1.12 标识 Identification (4)3.1.13 权限 Permission (4)3.1.14 密钥管理 Key Management (4)3.1.15 隐式通道 Covert Channel (4)3.1.16 清零 Zeroization (4)3.1.17 接口 Interface (4)3.1.18 物理接口 Physical Interface (4)3.1.19 逻辑接口 Logic Interface (4)3.1.20 计时攻击 Timing Attack (4)3.1.21 能量分析攻击Power Analysis Attack (5)3.1.22 电磁分析攻击EM Analysis Attack (5)3.1.23 故障攻击 Fault Attack (5)3.1.24 光攻击 Light Attack (5)3.1.25 源文件 Source File (5)3.2 缩略语 (5)4 安全等级的划分 (5)4.1 安全等级1 (5)4.2 安全等级2 (5)4.3 安全等级3 (6)5 密码算法 (6)5.1 随机数生成 (6)5.2 分组密码算法 (6)5.3 公钥密码算法 (7)5.4 杂凑密码算法 (7)5.5 序列密码算法 (7)6 安全芯片接口 (8)6.1 物理接口 (8)6.2 逻辑接口 (8)7 密钥管理 (8)7.1 生成 (8)7.2 存储 (9)7.3 使用 (9)7.4 更新 (9)7.5 导入 (10)7.6 导出 (10)7.7 清除 (10)8 敏感信息保护 (10)8.1 存储 (10)8.2 清除 (11)8.3 运算 (11)8.4 传输 (11)9 固件安全 (11)9.1 存储 (11)9.2 执行 (12)9.3 导入 (12)10 自检 (12)11 审计 (12)11.1 安全芯片标识 (12)11.2 生命周期标识 (13)12 攻击的削弱与防护 (13)12.1 版图保护 (13)12.2 密钥及敏感信息的自毁 (13)12.3 计时攻击的防护 (14)12.4 能量分析攻击的防护 (14)12.5 电磁分析攻击的防护 (14)12.6 故障攻击的防护 (14)13 生命周期保证 (15)13.1 单位资质 (15)13.2 文档 (15)13.3 开发环境安全 (15)13.4 人员 (15)13.5 开发流程 (16)13.6 源文件 (16)《安全芯片密码检测准则》阐述了安全芯片的安全能力等级划分,以及适用于各安全等级安全芯片的密码检测要求。
已发布的国家保密标准1. BMB1-1994《电话机电磁泄漏发射限值和测试方法》本标准规定了电话机电磁泄漏辐射发射、传导发射的限值和测试方法。
本标准适用于党政专用电话网使用的有线电话机(不包括无绳电话机、数字电话机),适用于需要保密通信的电话机。
2. BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试方法和安全判据》本标准规定了使用现场的信息设备电磁泄漏辐射发射、传导发射检查测试方法和信息安全判据。
本标准适用于保密部门对信息设备进行现场保密检查。
3. BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》本标准规定了处理涉密信息的电磁屏蔽室的电磁场屏蔽效能要求、传导泄漏发射抑制要求和测试方法。
该标准适用于对处理涉密信息的电磁屏蔽室性能进行检测。
4. BMB4-2000《电磁干扰器技术要求和测试方法》本标准规定了电磁干扰器的辐射发射要求、传导发射及抑制要求、抗视频信息还原性能要求和测试方法以及等级划分。
本标准适用于保护满足GB9254-1998A级、B级或其它等同标准要求计算机的电磁干扰器。
5. BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》本标准规定了对涉密信息系统的设备选用、使用环境和工程安装等防护要求。
本标准适用于涉密信息设备使用现场的电磁泄漏发射防护。
6. BMB6-2001《密码设备电磁泄漏发射限值》本标准规定了密码设备电场辐射发射、磁场辐射发射和传导发射限值以及等级划分。
7. BMB7-2001《密码设备电磁泄漏发射测试方法(总则)》本标准规定了密码设备电场辐射发射、磁场辐射发射和传导发射测试方法的总要求以及红黑信号识别的测试方法。
8. BMB7.1-2001《电话密码机电磁泄漏发射测试方法》本标准规定了电话密码机电场辐射发射、磁场辐射发射和传导发射测试方法以及红黑信号识别方法。
9. BMB8-2004《国家保密局电磁泄漏发射防护产品检测实验室认可要求》该标准规定了“国家保密局电磁泄漏发射防护产品检测中心”及其分中心的检测实验室在组织管理、技术能力以及检测人员、检测场地、检测设备、设施配置等方面应达到的认可要求。
网络安全等级保护测评-MYSQL篇一、身份鉴别1、应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;测评方法如下:1)使用如下命令查询账号select user, host,password from er;输出用户列表,查者是否存在相同用户名2)执行如下语句查询是否在空口令用:select * from er where length(password)= 0 or password is null;输出结果是否为空3)(针对5.6.6之后版本)执行如下语句查看用户口今复杂度相关配置:show variables like ‘validate_password%’;注;MySQL过低版本不能进行密码复杂度配置,则关注当前口令复杂度策略,有些MySQL数据库password字段无效,需要替换为authentication_string(1).应对登录的用户进行身份标识和鉴别:MySQL身份鉴别通过username+host+password来进行登录验证,鉴别因素三者不能同时为空;(2).实际口令组成情况和更换情况;MySQL口令复杂度策略配置(需使用validate_password插件):validate_password_check_user_name:OFFvalidate_password_dictionary_file: 字典文件validate_password_length:8 密码长度validate_password_mixed_case_count:1 大小写validate_password_number_count:1 密码中数据长度validate_password_policy:1 or MEDIUMvalidate_password_special_char_count:1 特殊字符(3).定期更换:一方面看实际口令更换周期,访谈,或查看user表中password_last_changed字段;MySQL5.6.6开始,user表多了一个password_expired字段,默认为N,设置为Y 后,则通过定时器任务等方式来改密码;从5.7.4版本开始,MySQL多了一个全局变量default_password_lifetime,可执行select global variables like ‘default_password_lifetime’;查看,并且user表增加了两个字段:password_lifetime、password_last_changed,可执行:select user,host,password,password_last_changed,password_expired from er;查看对于default_password_lifetime和password_lifetime而言,值为0则代表有效期为永远,单位为天。
安全数据库产品密码检测准则Cipher Test Criteria for Cipher Test Criteria for Secure Secure Secure Database Database Database System System Systems s国家密码管理局商用密码检测中心20020099年4月目 次1范围 (2)2 规范性引用文件 (2)3 术语、定义和缩略语 (2)4 检测内容 (3)4.1 密码算法的正确性和一致性检测 (3)4.2 密码功能应用有效性检测 (3)4.3 密钥管理检测 (5)4.4 密码性能检测 (6)4.5 随机数质量检测 (6)4.6 素性检测 (6)5 文档要求 (6)5.1系统框架结构 (6)5.2 密码子系统框架结构 (6)5.3 密码子系统函数接口 (7)5.4 密码子系统函数接口示例代码 (7)5.5 源代码 (8)5.6 不存在隐式通道的声明 (8)5.7 密码自测试或自评估报告 (8)附录A 静态库、动态库及类似封装形式说明表示例 (9)安全数据库产品密码检测准则1范围本准则规定了安全数据库产品的密码检测内容,适用于政府采购法规定范围内的安全数据库产品的密码检测。
2 规范性引用文件下列文件中的条款通过本准则的引用而成为本准则的条款。
凡是标注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本准则,然而,鼓励根据本准则达成协议的各方研究是否可使用这些文件的最新版本。
凡是不标注日期的引用文件,其最新版本适用于本准则。
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求《随机性检测规范》 国家密码管理局和缩略语、定义定义和缩略语3 术语术语、3.1 术语和定义3.1.1 安全数据库产品Secure Database System本准则所指的安全数据库产品是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略,并实现了GB 17859-1999《计算机信息系统安全保护等级划分准则》所确定的安全等级三级(含)以上的数据库。
产品测试与评估规范作业指导书第1章引言 (4)1.1 目的与范围 (4)1.2 测试与评估准则 (5)1.3 参考文档 (5)第2章测试准备 (5)2.1 测试环境搭建 (5)2.1.1 硬件环境 (5)2.1.2 软件环境 (5)2.1.3 网络环境 (5)2.2 测试工具与设备 (6)2.2.1 测试工具 (6)2.2.2 测试设备 (6)2.3 测试团队组织 (6)2.3.1 团队构成 (6)2.3.2 团队职责 (6)2.3.3 团队协作 (6)第3章产品功能测试 (7)3.1 功能性测试概述 (7)3.2 基本功能测试 (7)3.2.1 测试目的 (7)3.2.2 测试内容 (7)3.2.3 测试方法 (7)3.3 高级功能测试 (7)3.3.1 测试目的 (8)3.3.2 测试内容 (8)3.3.3 测试方法 (8)3.4 边界条件测试 (8)3.4.1 测试目的 (8)3.4.2 测试内容 (8)3.4.3 测试方法 (8)第4章功能测试 (8)4.1 功能测试概述 (8)4.2 负载测试 (9)4.2.1 测试场景设计:根据产品实际应用场景,设计合理的负载测试场景,包括用户数量、操作频率、数据量等。
(9)4.2.2 测试工具与设备:选择合适的测试工具和设备,保证测试环境与实际应用环境一致。
(9)4.2.3 测试执行:按照设计的测试场景,逐步增加负载,监测产品功能指标的变化。
94.2.4 结果分析:分析测试结果,确定产品在负载条件下的功能瓶颈,为功能优化提供依据。
(9)4.3 压力测试 (9)4.3.1 测试场景设计:设计极端条件下的测试场景,包括最大负载、数据量、操作频率等。
(9)4.3.2 测试工具与设备:选择能够模拟极端条件的测试工具和设备,保证测试的准确性。
(9)4.3.3 测试执行:逐步增加压力,直至产品无法正常工作或出现功能严重下降的情况。
(9)4.3.4 结果分析:分析测试结果,评估产品在极端压力下的功能表现,为产品的稳定性优化提供参考。
密码校验的一些规则
摘要:
1.密码校验的必要性
2.密码校验的基本规则
3.密码校验的高级规则
4.密码校验的实际应用
正文:
在当今数字化的时代,密码已经成为了我们保护个人信息和隐私的重要工具。
然而,如果密码设置得不够安全,就可能会导致我们的个人信息泄露,甚至遭受经济损失。
因此,密码校验就显得尤为重要。
密码校验的基本规则包括:密码长度要求、字符种类要求、特殊字符要求等。
一般来说,密码的长度应该越长越好,因为这样可以增加破解的难度。
同时,密码应该包含大小写字母、数字和特殊字符等多种字符,这样可以提高密码的复杂性。
此外,为了防止暴力破解,一些网站还会设置密码不能包含用户名、邮箱等信息。
除了基本规则外,还有一些高级的密码校验规则,如:定期更换密码、使用难以猜测的密码、使用双重身份验证等。
定期更换密码可以防止密码被长期监控,使用难以猜测的密码可以增加破解的难度,使用双重身份验证可以提高账户的安全性。
在实际生活中,密码校验的应用非常广泛,如:银行账户、社交媒体、电子邮件等。
这些应用都需要我们设置密码来保护我们的个人信息和隐私。
因此,了解和掌握密码校验的规则,对于我们来说非常重要。
总的来说,密码校验是一项重要的安全措施,它可以有效地保护我们的个人信息和隐私。
ICS13.310A 90 DB11 北京市地方标准DB11/T 1344—2016信息安全等级保护检查规范Examination specification for information security classifiedprotection2016-08-10发布2016-12-01实施目次前言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 检查流程 (1)5 一级信息系统检查 (2)6 二级信息系统检查 (7)7 三级信息系统检查 (16)8 四级信息系统检查 (27)前言本标准按照GB/T 1.1—2009给出的规则起草。
本标准由北京市公安局提出并归口。
本标准由北京市公安局组织实施。
本标准主要起草单位:北京市公安局网络安全保卫总队、公安部信息安全等级保护评估中心、信息产业信息安全测评中心、北京中软华泰信息技术有限责任公司。
本标准主要起草人:叶漫青、朱华池、白鸥、石锐、吴贤、俞诗源、朱晓莉、高媛、马荣欣、周永战、游书明、赵悦、徐燕、赵志巍、金镁、王峥、周堃、李小玲、王凯晨、梁萌萌、张淮、王一婷、赵永军、李梦娇、陈益、宋扬、张昕、菅强、高瑗泽、傅珩轩、刘晓雪、李君白、张远彬、王熙、张玮、杨潇、石浩、王佳、赵勇、罗铮、袁静、于东升、霍珊珊、刘健、张益、董晶晶。
信息安全等级保护检查规范1 范围本标准规定了对信息安全等级保护状况进行检查的流程和内容要求,其中内容要求包括对信息安全等级保护第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全检查的要求。
本标准适用于信息安全等级保护检查工作。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 5271.8 信息技术词汇第8部分:安全GB 17859 计算机信息系统安全保护等级划分准则GB/T 22239 信息安全技术信息系统安全等级保护基本要求GB/T 25069 信息安全技术术语GB/T 25070 信息安全技术信息系统等级保护安全设计技术要求3 术语和定义GB/T 5271.8、GB 17859、 GB/T 22239、GB/T 25069和GB/T 25070界定的以及下列术语和定义适用于本文件。
密码强度检测规则摘要:一、密码强度检测的必要性1.保护用户账户安全2.防止恶意攻击3.提高网络安全意识二、密码强度检测规则1.长度要求2.字符种类要求3.特殊字符要求4.定期更新规则三、提升密码强度的建议1.使用复杂且易记的密码2.避免使用常见词汇3.不要在多个平台使用相同密码4.定期更换密码正文:随着互联网的普及,人们越来越多的使用网络服务,如电子邮件、社交媒体、在线购物等。
为了保障用户账户安全,密码强度检测成为一项重要的安全措施。
本文将详细介绍密码强度检测的规则以及提升密码强度的建议。
首先,我们需要认识到密码强度检测的必要性。
一方面,强大的密码可以保护用户账户免受恶意攻击,避免个人信息泄露,财产损失等问题。
另一方面,密码强度检测可以提高整个网络环境的安全意识,让用户更加重视账户安全。
接下来,我们来了解一下密码强度检测的具体规则。
通常,密码强度检测会根据以下几个方面来评估密码强度:1.长度要求:一个安全的密码应该具有足够的长度。
一般来说,密码长度至少应为8个字符,以提高破解难度。
2.字符种类要求:一个优秀的密码应该包含多种字符类型,如大小写字母、数字和特殊字符。
这样的组合可以有效降低密码被破解的风险。
3.特殊字符要求:特殊字符包括!@#$%^&*()-_=+[{]}|;:"",<.>/?`~等。
在密码中加入特殊字符可以提高密码的安全性。
4.定期更新规则:为了应对不断升级的攻击手段,密码强度检测规则需要定期更新,以保持密码的安全性。
在了解了密码强度检测规则之后,我们应该如何提升密码强度呢?以下是一些建议:1.使用复杂且易记的密码:可以尝试将喜欢的诗句、歌曲或个人经历进行字符替换,以达到既容易记忆又难以破解的效果。
2.避免使用常见词汇:不要使用常见的单词、短语或生日等容易猜测的信息作为密码,以降低被破解的风险。
3.不要在多个平台使用相同密码:在不同的网站或服务上使用相同的密码会导致安全风险。
公安部、国家保密局、国家密码管理局、国务院信息工作办公室关于印发《信息安全等级保护管理办法》的通知文章属性•【制定机关】公安部,国家保密局,国家密码管理局,国务院信息化工作办公室(已撤销)•【公布日期】2007.06.22•【文号】公通字[2007]43号•【施行日期】2007.06.22•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】国家安全,机关工作正文公安部、国家保密局、国家密码管理局、国务院信息工作办公室关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。
现印发给你们,请认真贯彻执行。
公安部国家保密局国家密码管理局国务院信息工作办公室二〇〇七年六月二十二日信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
GM/Y5001-2017密码标准应用指南2017年11月目录一序言 (1)二密码标准框架 (2)三密码基础类标准 (5)1.GM/T0001祖冲之序列密码算法 (5)2.GM/T0002SM4分组密码算法 (7)3.GM/T0003SM2椭圆曲线公钥密码算法 (9)4.GM/T0004SM3密码杂凑算法 (11)5.GM/T0006密码应用标识规范 (13)6.GM/T0009SM2密码算法使用规范 (15)7.GM/T0010SM2密码算法加密签名消息语法规范 (17)8.GM/T0028密码模块安全技术要求 (18)9.GM/T0044SM9标识密码算法 (21)10.GM/Z4001密码术语 (23)四基础设施类标准 (25)1.GM/T0014数字证书认证系统密码协议规范 (25)2.GM/T0015基于SM2密码算法的数字证书格式规范 (27)3.GM/T0034基于SM2密码算法的证书认证系统密码及其相关安全技术规范 (29)五密码设备类标准 (32)1.GM/T0012可信计算可信密码模块接口规范 (32)2.GM/T0016智能密码钥匙密码应用接口规范 (34)3.GM/T0017智能密码钥匙密码应用接口数据格式规范 (36)4.GM/T0018密码设备应用接口规范 (38)5.GM/T0022IPS EC VPN技术规范 (40)6.GM/T0023IPS EC VPN网关产品规范 (43)7.GM/T0024SSL VPN技术规范 (45)8.GM/T0025SSL VPN网关产品规范 (46)9.GM/T0026安全认证网关产品规范 (48)10.GM/T0027智能密码钥匙技术规范 (49)11.GM/T0029签名验签服务器技术规范 (51)12.GM/T0030服务器密码机技术规范 (54)13.GM/T0045金融数据密码机技术规范 (56)1.GM/T0011可信计算可信密码支撑平台功能与接口规范 (60)2.GM/T0019通用密码服务接口规范 (63)3.GM/T0020证书应用综合服务接口规范 (65)4.GM/T0032基于角色的授权管理与访问控制技术规范 (67)5.GM/T0033时间戳接口规范 (70)七密码检测类标准 (73)1.GM/T0005随机性检测规范 (73)2.GM/T0008安全芯片密码检测准则 (74)3.GM/T0013可信计算可信密码模块接口符合性测试规范 (76)4.GM/T0037证书认证系统检测规范 (78)5.GM/T0038证书认证密钥管理系统检测规范 (80)6.GM/T0039密码模块安全检测要求 (82)7.GM/T0040射频识别标签模块密码检测准则 (84)8.GM/T0041智能IC卡密码检测规范 (87)9.GM/T0042三元对等密码安全协议测试规范 (89)10.GM/T0043数字证书互操作检测规范 (91)11.GM/T0046金融数据密码机检测规范 (92)12.GM/T0047安全电子签章密码检测规范 (95)13.GM/T0048智能密码钥匙密码检测规范 (96)14.GM/T0049密码键盘密码检测规范 (98)八密码管理类标准 (101)1.GM/T0050密码设备管理设备管理技术规范 (101)2.GM/T0051密码设备管理对称密钥管理技术规范 (103)3.GM/T0052密码设备管理VPN设备监察管理规范 (105)4.GM/T0053密码设备管理远程监控和合规性检验接口数据规范 (107)九密码应用类标准 (109)1.GM/T0021动态口令密码应用技术规范 (109)2.GM/T0031安全电子签章密码技术规范 (111)3.GM/T0035射频识别系统密码应用技术要求 (112)4.GM/T0036采用非接触卡的门禁系统密码应用技术指南 (122)附录A.编号索引 (125)附录B.金融领域国产密码应用推进技术要求 (128)B.2密码算法 (128)B.3密码算法使用 (128)B.4金融IC卡 (129)B.5网上银行 (129)B.6移动支付 (129)B.7电子认证 (130)B.8安全芯片 (131)一序言密码技术是网络安全的核心技术和基础支撑。
密码强度检测规则(实用版)目录一、密码强度检测规则的背景和意义二、密码强度检测规则的具体内容三、密码强度检测规则的应用场景四、密码强度检测规则的优缺点分析五、提高密码强度的建议正文一、密码强度检测规则的背景和意义在互联网高度发达的今天,网络安全问题日益突出,保护个人信息安全已经成为了人们共同关注的话题。
而密码作为保护个人信息的重要屏障,其强度直接影响到个人信息的安全。
因此,密码强度检测规则应运而生,旨在帮助用户评估密码的安全性,提高密码防护能力。
二、密码强度检测规则的具体内容密码强度检测规则主要从以下几个方面来评估密码的安全性:1.长度:一个较长的密码可以提高破解难度,因此,密码长度是评估密码强度的重要指标。
一般来说,密码长度不少于 8 个字符较为安全。
2.字符种类:一个包含大小写字母、数字和特殊符号的密码,其强度要高于仅包含字母或数字的密码。
因此,在设置密码时,应尽量使用多种字符类型的组合。
3.规律性:一个遵循一定规律的密码更容易被破解,因此,密码的随机性是评估密码强度的重要因素。
避免使用生日、电话号码等容易被猜到的数字组合。
4.历史使用情况:一个曾经被泄露过的密码,其安全性会大打折扣。
因此,定期更换密码,避免重复使用相同的密码,可以提高密码的安全性。
三、密码强度检测规则的应用场景密码强度检测规则广泛应用于网络账户、银行账户、电子邮箱等场景,帮助用户评估密码安全性,提高账户防护能力。
四、密码强度检测规则的优缺点分析优点:1.提高密码安全性:通过密码强度检测规则,可以帮助用户了解密码的安全性,提高密码防护能力。
2.指导性强:密码强度检测规则为用户提供了设置密码的方法和建议,有助于用户更好地保护个人信息安全。
缺点:1.依赖规则:密码强度检测规则只能针对符合规则的密码进行评估,对于不符合规则的密码,可能无法准确评估其安全性。
2.不能保证绝对安全:即使通过密码强度检测规则的密码,也不能保证绝对安全,仍需用户保持警惕,定期更换密码。
随着密码技术的不断发展,密码态势也日益复杂和多样化。
为了更好地应对密码威胁,制定密码标准成为了一项迫切的任务。
密码标准是规范密码技术应用和发展的基础,它规定了密码算法、协议、安全机制等方面的要求和规范,为各种密码设备和系统提供了安全保障。
制定密码标准需要考虑多个方面,包括密码算法的强度、安全性、性能和易用性等。
同时,密码标准还需要满足国际和国家法律法规的要求,确保合法合规。
目前,国际上已经制定了一些重要的密码标准,如AES、RSA、SHA等。
这些标准已经被广泛应用于各种密码设备和系统中,为保障信息安全发挥了重要作用。
然而,随着技术的发展和威胁的不断变化,密码标准也需要不断更新和完善。
因此,制定新的密码标准和改进现有标准成为了一项重要的任务。
在未来,随着密码技术的不断发展和应用领域的不断扩大,密码态势将更加复杂和多样化。
为了应对这种态势,需要加强密码技术的研究和创新,提高密码算法的强度和安全性,同时加强密码标准的制定和推广,促进密码技术的健康发展。
总之,密码态势的发展需要我们不断关注和研究,加强密码标准的制定和推广,为保障信息安全做出更大的贡献。
安全数据库产品密码检测准则Cipher Test Criteria for Cipher Test Criteria for Secure Secure Secure Database Database Database System System Systems s国家密码管理局商用密码检测中心20020099年4月目 次1范围 (2)2 规范性引用文件 (2)3 术语、定义和缩略语 (2)4 检测内容 (3)4.1 密码算法的正确性和一致性检测 (3)4.2 密码功能应用有效性检测 (3)4.3 密钥管理检测 (5)4.4 密码性能检测 (6)4.5 随机数质量检测 (6)4.6 素性检测 (6)5 文档要求 (6)5.1系统框架结构 (6)5.2 密码子系统框架结构 (6)5.3 密码子系统函数接口 (7)5.4 密码子系统函数接口示例代码 (7)5.5 源代码 (8)5.6 不存在隐式通道的声明 (8)5.7 密码自测试或自评估报告 (8)附录A 静态库、动态库及类似封装形式说明表示例 (9)安全数据库产品密码检测准则1范围本准则规定了安全数据库产品的密码检测内容,适用于政府采购法规定范围内的安全数据库产品的密码检测。
2 规范性引用文件下列文件中的条款通过本准则的引用而成为本准则的条款。
凡是标注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本准则,然而,鼓励根据本准则达成协议的各方研究是否可使用这些文件的最新版本。
凡是不标注日期的引用文件,其最新版本适用于本准则。
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求《随机性检测规范》 国家密码管理局和缩略语、定义定义和缩略语3 术语术语、3.1 术语和定义3.1.1 安全数据库产品Secure Database System本准则所指的安全数据库产品是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略,并实现了GB 17859-1999《计算机信息系统安全保护等级划分准则》所确定的安全等级三级(含)以上的数据库。
包括独立的安全数据库产品软件产品和集成或内置了安全数据库的产品。
算法Symmetric Cryptographic Algorithm3.1.2 对称密码对称密码算法加密密钥与解密密钥相同,或容易由其中任意一个密钥推导出另一个密钥,称该密码算法为对称密码算法。
算法Asymmetric Cryptographic Algorithm3.1.3 非对称密码对称密码算法加解密使用不同密钥的密码算法。
其中一个密钥(公钥)可以公开,另一个密钥(私钥)必须保密,且由公钥求解私钥是计算不可行的。
3.1.4 杂凑算法Hash Function杂凑算法又称为散列算法、哈希算法或数据摘要算法,将一个任意长的比特串映射到一个固定长的比特串的一类函数。
3.1.5 密钥管理Key Management在既定安全策略指导下密钥的生成、分发、存储、使用、更新、导入与导出、备份、恢复、归档和销毁。
3.1.6 测试对象Target of Testing本准则测试对象专指安全数据库产品。
3.1.7 隐式通道 Covert Channel可用来按照违反安全策略的方式传送数据的传输通道。
3.1.8 调试版本 Debug Product以调试模式编译的、带有调试信息的最终版本。
3.2 缩略语SSODB Security Subsystem of Database System 数据库系统安全子系统 SSF SSODB Security Function SSODB 安全功能 4 检测检测内容内容4.1 密码算法密码算法的的正确性和一致性检测安全数据库产品使用的密码算法应由密码硬件模块提供,密码硬件模块应从《商用密码通用产品名单》中选用。
密码算法的正确性和一致性应满足: (1) 对称密码算法的正确性和一致性安全数据库产品使用的对称密码算法,其运算结果应与标准数据和算法的标准运算结果相符。
(2) 非对称密码算法的正确性和一致性安全数据库产品使用的非对称密码算法,其运算结果应与标准数据和算法的标准运算结果相符。
(3) 杂凑算法的正确性和一致性安全数据库产品使用的杂凑算法,其运算结果应与标准数据和算法的标准运算结果相符。
4.2 密码功能密码功能应用应用应用有效性有效性有效性检测检测安全数据库产品中密码功能应用有效性应满足:4.2.1 身份鉴别(1) 基于强化管理的身份鉴别用户登录系统采用强化管理的口令进行身份鉴别时,可使用密码,其密码功能应正确有效; 系统重新连接采用强化管理的口令进行身份鉴别时,可使用密码,其密码功能应正确有效。
(2) 基于令牌的动态口令身份鉴别用户登录系统采用基于令牌的动态口令进行身份鉴别时,可使用密码,其密码功能应正确有效; 系统重新连接采用基于令牌的动态口令进行身份鉴别时,可使用密码,其密码功能应正确有效。
(3) 基于生物特征的身份鉴别用户登录系统使用生物特征进行身份鉴别时,可使用密码,其密码功能应正确有效; 系统重新连接使用生物特征进行身份鉴别时,可使用密码,其密码功能应正确有效。
(4) 基于数字证书的身份鉴别用户登录系统使用数字证书进行身份鉴别时,其密码功能应正确有效; 系统重新连接使用数字证书进行身份鉴别时,其密码功能应正确有效。
(5) 身份鉴别信息的存储安全数据库产品对身份鉴别信息进行存储时,应使用密码进行安全保护,其密码功能应正确有效。
(6) 身份鉴别信息的传输安全数据库产品对身份鉴别信息进行传输时,应使用密码进行安全保护,其密码功能应正确有效。
4.2.2 自主访问控制安全数据库产品自主访问控制使用密码功能进行身份鉴别时,其使用的密码功能应正确有效。
4.2.3 强制访问控制(1) 强制访问控制中的身份鉴别安全数据库产品访问控制与使用密码的身份鉴别相结合时,其密码功能应正确有效;(2)强制访问控制中的用户数据保密性安全数据库产品应实现跨网络的SSODB间用户数据的保密功能,其密码功能应正确有效;(3)强制访问控制中的用户数据完整性安全数据库产品应保证跨网络的SSODB间用户数据的完整性,其密码功能应正确有效。
4.2.4安全审计(1)安全审计身份鉴别安全数据库产品安全审计在使用密码功能进行身份鉴别时,其使用的密码功能应正确有效。
(2)安全审计自主访问控制安全数据库产品安全审计与使用密码的自主访问控制相结合时,其使用的密码功能应正确有效。
(3)安全审计数据完整性控制安全数据库产品安全审计功能应具备数据完整性控制功能,并保证相关密码功能有效。
4.2.5 用户数据完整性(1)安全数据库产品数据存储完整性安全数据库产品在对数据进行访问操作时,检查以库结构形式存储于数据库中的用户数据是否出现完整性错误,其使用的密码功能应正确有效。
(2)安全数据库产品数据传输完整性安全数据库产品在系统内部进行数据传输时,使用密码保证用户数据的完整性,其使用的密码功能应正确有效。
(3)安全审计的强制访问控制安全数据库产品安全审计与使用密码的强制访问控制相结合时,其密码功能应正确有效;(4)安全数据库产品用户数据处理完整性安全数据库产品管理系统中处理的用户数据,使用密码实现实体完整性功能,其使用的密码功能应正确有效。
用户数据保密性保密性4.2.6 用户数据(1)用户数据存储保密安全数据库产品使用密码对用户数据进行存储保护时,其密码功能应正确有效。
(2)用户数据传输保密安全数据库产品使用密码对用户数据进行传输保护时,其密码功能应正确有效。
4.2.7 可信路径(1)初始登录时可信路径建立在用户进行初始登录时,SSODB通过密码在它与用户之间建立一条安全的数据传输通路,其密码功能应正确有效。
(2)身份鉴别时可信路径建立在用户进行身份鉴别时,SSODB通过密码在它与用户之间建立一条安全的数据传输通路,其密码功能应正确有效。
4.2.8 SSODB自身安全保护(1)输出SSF数据的保密性安全数据库产品将SSF数据输出到远程信息系统的SSF时通过密码保证其不被未经授权的泄漏,其使用的密码功能应正确有效。
(2)输出SSF数据的完整性安全数据库产品通过密码检测SSF间传输的SSF数据的修改情况,并在检测到修改时将被修改的数据改正过来,其使用的密码功能应正确有效。
(3)SSODB内SSF数据基本传输保护安全数据库产品在SSODB的分离部分间传输SSF数据时通过密码保证其不被泄漏或修改,其使用的密码功能应正确有效。
(4)SSODB内SSF数据分离传输保护安全数据库产品在SSODB的分离部分间传输数据时通过密码分离用户数据和SSF数据,保证SSF 数据不被泄漏或修改,其使用的密码功能应正确有效。
(5)SSODB内SSF传输数据完整性保护安全数据库产品通过密码检测SSODB的分离部分间传输的SSF数据的修改情况,并在检测到修改时将被修改的数据改正过来,其使用的密码功能应正确有效。
(6)SSF间数据一致性保护安全数据库产品在分布式或复合式环境下,与别的信息系统的SSF交换SSF数据时,通过密码确保数据一致性,其使用的密码功能应正确有效。
(7)SSODB内SSF数据复制一致性保护出现包含复制的SSF数据的SSODB部分断开时,SSF在重连接后,处理任何与SSF数据复制的一致性相关请求前,通过密码实现被复制的SSF数据的一致性,其使用的密码功能应正确有效。
(8)用户与SSF间可信路径建立安全数据库产品通过密码在SSF与本地用户或远程用户之间建立一条可信的数据传输通路,其使用的密码功能应正确有效。
(9)SSF间可信路径建立安全数据库产品通过密码在SSF与远程信息系统的SSF之间建立一条可信的数据传输通路,其使用的密码功能应正确有效。
4.2.9 SS0DB访问控制安全数据库产品的SSODB访问控制应鉴别用户的身份,对用来建立会话的安全属性的范围进行限制,规定时限后,通过密码重新鉴别用户,其用户身份鉴别功能及相关密码功能应正确有效。
检测4.3 密钥管理密钥管理检测安全数据库产品中的密钥管理应实现权限控制机制,密钥管理操作应由获得授权的主体实施,且应满足:(1) 密钥生成安全数据库产品能正确生成所用的各类密钥。
生成的密钥应与密码算法强度相匹配,并具有密钥种类、用途、长度、拥有者信息、使用期限等密钥属性的审计信息。
(2) 密钥分发密钥应按权限和密钥属性分发,防止分发过程中密钥泄漏或被篡改,并具备相应的应急处理和响应措施。
密钥分发应有分发审计信息。
(3) 密钥存储密钥应安全存储。
对密钥存储的非授权操作应具备应急处理和响应措施。
(4) 密钥使用密钥应按权限和密钥属性使用,并具备使用过程中的安全防护措施。
