精装版 | 一文读懂密评之合规密码组件
密码头条粉丝
短信/彩信
今天13 :11
小编你好,我最近在追你们的“密评与0054系列”,像追剧一样追了好久,干货很多很有用,给你个赞
今天15 :23
谢谢,您的认可是作者坚持下去的最大动力。
但是我也提个建议哈,就是由于更新周期长、内容多,可否系统的整理编辑下做一个归类详解。
今天15 :40
可以的哦。密码头条整理了往期内容做复盘,将主要精华内容再次归类整理,出了这期“精装版密评与0054”,本期为大家带来密评中的合规密码组件部分详解。
以下是详细内容...
密评中的合规密码组件包括:密码算法、密码技术、密码产品和密码服务。
密码算法是用于加密和解密的数学函数,密码算法是密码协议的基础。
密码算法有哪些:
算法分类 | 国外 | 国内 |
对称密码算法-序列密码 | RC4 | ZUC(祖冲之) |
对称密码算法-分组密码 | 3DES、AES | SM4 |
非对称密码算法-大数分解 | RSA | / |
非对称密码算法-离散对数 | ECC | SM2 |
非对称密码算法-标识 | / | SM9 |
杂凑算法 | MD5、SHA-1、SHA-256 | SM3 |
信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。
目前我国的密码主管部门为国家密码管理局,国家密码管理局组织制定了一系列的商用密码算法,公开发布标准的商用密码算法为ZUC、SM2、SM3、SM4和SM9,目前被广泛使用的密码算法主要是SM2、SM3和SM4算法。
密码技术是指使用特定变换对数据等进行加密保护或者安全认证的技术。
1)从功能上看,密码技术主要包括加密保护技术和安全认证技术。
2)从内容上看,密码技术主要包括密码算法、密钥管理和密码协议。
密码技术有哪些:
常用的密码技术:数字证书、身份认证、数据加解密、数据完整性保护、网络和通讯安全。
何为合规的密码技术?
首先,密码技术中使用的密码算法应该是合规的密码算法。
其次,在密码算法中,密钥是控制密码变换的关键参数,对于密钥的管理要符合0054标准中密钥管理的要求。
最后,密码技术中涉及的标准密码协议应符合国内相关密码标准,如果是自定义的密码协议,设计要安全合理,同时遵循相关密码标准。
比如:
针对数字证书,我们要遵循《GM/T 0015-2012 基于SM2密码算法的数字证书格式规范》。
针对数据加解密和数据完整性保护,我们要遵循《GM/T 0010-2012 SM2 密码算法加密签名消息语法规范》。
针对网络和通讯安全,我们要遵循《GM/T 0022-2014 IPSec VPN 技术规范》和《GM/T 0024-2014 SSL VPN 技术规范》。
密码产品是指使用特定变换对数据等进行加密保护或者安全认证的设备与系统等。
密码产品有哪些:
1)密码产品按形态划分为六类:软件、芯片、模块、板卡、整机和系统。
2)密码产品按功能划分为七类:密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。
何为合规的密码产品?
信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。即信息系统中使用的密码产品与密码模块应具有商密型号证书。
针对要进行密评的信息系统,至少需要在以下几个环节使用合规的密码产品:
物理和环境安全:电子门禁系统应使用符合《GM/T 0036-2014 采用非接触卡的门禁系统密码应用技术指南》规范的具有商密型号证书的密码产品。
网络和通讯安全:如果使用IPSec构建安全通道,应使用具有商密型号证书的IPSec VPN产品;如果使用SSL构建安全通道,服务端应使用具有商密型号证书的SSL VPN产品,客户端应使用具有国密型号证书的安全浏览器产品。
设备和计算安全:需要使用密码进行的设备认证应使用具有国密型号证书的身份鉴别类产品。
应用和数据安全:需要使用证书进行登录的系统应使用具有国密型号证书的身份认证产品;需要对敏感数据进行加密或者完整性保护的系统应使用具有国密型号证书的数据加解密产品或密码设备(服务器密码机、密码卡等)。
密码服务是指基于密码专业技术、技能和设施,为他人提供集成、运营、监理等商用密码支持和保障的活动。
密码服务有哪些?
密码服务的主要类型包括密码咨询服务、密码知识和技术培训服务、密码应用系统集成服务、密码应用系统运营服务、密码应用系统维护保障服务等。
何为合规的密码服务?
信息系统中使用的密码服务应通过国家密码管理部门的许可。
针对要进行密评的信息系统,上面定义的密码服务在合规性方面可落地的有:
密码咨询服务:在密评报告的“被测信息系统基本信息表”中,“系统是否具有密码应用方案”对应于密码咨询服务。如果我们的被测信息系统的设计方案中包含专业密码企业或单位设计的密码应用方案,并且该密码应用方案是经过密码专家或密码测评机构评审通过的,则密码咨询服务就是合规的,并且密码应用方案中的相关内容应该是可以直接在密评报告中直接采用的。
密码知识和技术培训服务:该类服务目前涉及的比较少。
密码应用系统集成服务:对密码的应用情况进行评估,密码产品如何与信息系统进行集成、如何在信息系统进行应用是关键,如果不是一家专业的密码企业或单位提供这项服务,则很难满足用户信息系统的密码保障需求并实现相应的安全目标。如果后续能够设立密码应用系统集成服务资质,则该项服务的合规性则比较容易评判。
密码应用系统运营服务:要提供密码相关的经营性服务,需要通过国家密码管理局组织的专家评审。因此经过评审的密码应用系统个运营服务才是合规的。
密码应用系统维护保障服务:密码产品或系统与传统的IT产品或系统相比,在安全性方面的要求是比较高的,所以密码产品或系统的安全管理和维护服务还是要有专业的企业或者单位来做。如果后续能够设立密码应用系统维护保障服务资质,则该项服务的合规性则比较容易评判。
下期更精彩
下期为你带来“精装版密评系列之密码应用的正确性和有效性”,敬请期待。