原创 | 密评系列之：专业解读密评与0054（密码产品篇）

上一篇中我们介绍了密评中的合规密码组件的第二部分：密码技术；

上期链接：原创 | 密评系列之：专业解读密评与0054（4）

本篇继续介绍第三部分：密码产品。

密码产品：

密码产品是指使用特定变换对数据等进行加密保护或者安全认证的设备与系统等。

1）密码产品按形态划分为六类：软件、芯片、模块、板卡、整机和系统。

软件是指以纯软件形态出现的密码产品。
芯片是指以芯片形态出现的密码产品。
模块是指以多芯片组装的背板形态出现，具备专用密码功能，但本身不能提供完整密码功能的产品。
板卡是指以板卡形态出现，具备完整密码功能的产品。
整机是指以整机形态出现，具备完整密码功能的产品。
系统是指以系统形态出现，由密码功能支撑的产品。

2）密码产品按功能划分为七类：密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。

密码算法类主要是指提供基础密码运算功能的产品。
数据加解密类主要是指提供数据加解密功能的产品。
认证鉴别类主要是指提供身份认证、密码鉴别功能的产品。
证书管理类主要是指提供证书的产生、分发、管理功能的产品。
密钥管理类主要是指提供密钥的产生、分发、更新、归档和恢复等功能的产品。
密码防伪类主要是指提供密码防伪验证功能的产品。

综合类主要是指提供含上述六类产品功能的两种或两种以上的产品。

密码产品有哪些：

密码软件：信息保密软件、密码算法软件等。
密码芯片：算法芯片、密码SOC芯片等。
密码模块：加解密模块、安全控制模块等。
密码板卡：IC卡、USBKey、PCI密码卡等。
密码整机：网络密码机（IPSec VPN、SSL VPN）、服务器密码机等。
密码系统：安全认证系统、密钥管理系统等。
密码算法类：密码算法芯片等。
数据加解密类：服务器密码机、VPN设备等。
认证鉴别类：动态口令系统、认证网关等。
证书管理类：证书认证系统等。
密钥管理类：密钥管理系统等。
密码防伪类：电子印章系统、支付密码器、数字水印系统等。
综合类：电子商务安全平台、综合安全保密系统等。

何为合规的密码产品：

信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。即信息系统中使用的密码产品与密码模块应具有商密型号证书。

针对要进行密评的信息系统，至少需要在以下几个环节使用合规的密码产品：

物理和环境安全：电子门禁系统应使用符合《GM/T 0036-2014 采用非接触卡的门禁系统密码应用技术指南》规范的具有商密型号证书的密码产品。

网络和通讯安全：如果使用IPSec构建安全通道，应使用具有商密型号证书的IPSec VPN产品；如果使用SSL构建安全通道，服务端应使用具有商密型号证书的SSL VPN产品，客户端应使用具有国密型号证书的安全浏览器产品。

设备和计算安全：需要使用密码进行的设备认证应使用具有国密型号证书的身份鉴别类产品。

应用和数据安全：需要使用证书进行登录的系统应使用具有国密型号证书的身份认证产品；需要对敏感数据进行加密或者完整性保护的系统应使用具有国密型号证书的数据加解密产品或密码设备（服务器密码机、密码卡等）。