第一篇:XX商用密码自查报告
XX社网络与信息安全商用密码
自查工作总结报告
根据上级网络安全管理文件精神,XX社成立了网络与信息安全商用密码检查工作领导小组,在组长XX的领导下,组织相关人员对我社商密进行了一次全面的调查。发现问题,分析问题,解决问题,从而提升密码安全防护能力和防护水平,切实保障信息系统安全。现将自查情况汇报如下:
一、加强领导,成立了网络与信息商密安全工作领导小组 我社领导高度重视密码安全保密工作,成立了网络与信息商密安全工作领导小组,安全工作领导小组组长为XX,副组长XX,成员有XX。做到分管领导负责抓,责任部门具体抓;同时严格实行密码安全保密责任制,切实做到责任落实到人。
领导小组还要求相关部门和工作人员认真学习保密法律法规和密码安全保密工作的各项规定,从思想上切实提高对商用密码安全保密工作重要性的认识,遵守保密纪律,依照密码保密程序办事,及时消除密码保密安全隐患,减少安全风险,把密码安全保密要求落实到日常具体工作中,坚决杜绝泄密事件的发生。
二、抓好密码保密工作人员管理
我社严格按照有关文件对密码工作人员的条件要求,确定思想政治过硬、业务娴熟、责任心强的同志负责管理密码安全,涉及密码登陆业务平台的,均采取即时填写登陆,杜绝明文保存密码。密码工 作人员调离原密码工作岗位的必须向接任同志移交密码,新接任同志接任工作后立即修改密码设置。
三、抓好密码保密工作规章制度建设
根据我社密码使用情况,以及符合密码安全保密工作实际,制定完善了《涉密人员管理制度》、《密码电报管理制度》、《密码设备管理规定》等多项规章制度,内容涵盖电报收发、涉密系统确定、密钥及密钥载体的管理等。明确密码使用人员的保密职责,规范各项业务操作规程,制定泄密追究机制,从源头切实防范密码丢失、泄密的发生。
四、抓好密码设备使用环境及安全防护措施管理
1.是抓好密钥及密钥载体管理。涉密计算机设置的用户密码由专门人员保存,严禁将密码转告其它非涉密人员;因工作需要确须转告的,应事先请示分管领导批准。信息员负责确保密钥和操作密码的安全,不得将密钥转借他人使用,若因个人原因丢失,应当及时报告,否则由此造成的不良后果由密钥持有人承担相应责任。密钥因损坏且无法修复的,应及时向上级汇报,申请换发新密钥,同时将毁损的密钥交回。
2.是抓好涉密计算机及涉密介质管理。涉密计算机实行专人专管专用,严格执行“涉密信息不上网,上网信息不涉密”,禁止在涉密计算机和非涉密计算机之间交叉使用移动存储设备,对涉密计算机,涉密介质实行集中编号登记。如无特殊情况,涉密介质一般不得带出办公场所,一般不得存储与工作无关内容,不得转让或出借给无关人 员使用。对报废的涉密计算机和介质不得自行处理,应交回并按规定程序进行销毁。
五、改进措施
近年来,我社在上级领导的指导下,密码安全保密工作正逐步规范化、制度化,从未出现任何泄密、失密事故。
但是我们也必须清醒地认识到,我们的工作中还有一些不足,密码保密工作还需要有必要的资金、设备投入,同时还应加强对保密工作人员的业务培训,不断提高保密干部素质。
在今后工作中我社将继续努力,积极探索研究新时期保密工作的新情况、新问题,进一步做好密码保密工作。
第二篇:商用密码产品生产管理规定
商用密码产品生产管理规定
第一条 为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。
第二条 本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。
第三条 商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。
第四条 商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。未经指定,任何单位和个人不得生产商用密码产品。
商用密码产品的品种和型号必须经国家密码管理局批准。
第五条 国家密码管理局主管全国的商用密码产品生产管理工作。
省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。
第六条 国家密码管理局根据商用密码发展的需要,指定商用密码产品生产定点单位。
商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。
第七条 国家密码管理局指定商用密码产品生产定点单位原则上定期集中进行。
指定商用密码产品生产定点单位的程序如下:
(一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构;
(二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见;
(三)国家密码管理局对通过初审的单位进行实地考察;
(四)国家密码管理局作出指定决定并告知指定结果。
第八条 被指定为商用密码产品生产定点单位的,由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。
《商用密码产品生产定点单位证书》有效期3年。
第九条 商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内,到所在地的工商行政管理部门办理许可经营项目登记手续。
第十条 国家密码管理局对商用密码产品生产定点单位进行考核。
商用密码产品生产定点单位应当于每年3月1日之前,填写《商用密码产品生产定点单位考核表》并交所在地的省、自治区、直辖市密码管理机构。省、自治区、直辖市密码管理机构应当于3月31日之前将考核意见报国家密码管理局。
考核结果由国家密码管理局公布。考核不合格的,撤销其商用密码产品生产定点单位资质。商用密码产品生产定点单位未在规定期限内填报考核材料的,视为考核不合格。
取得《商用密码产品生产定点单位证书》未满6个月的,不参加该的考核。
第十一条 商用密码产品生产定点单位变更名称的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构办理《商用密码产品生产定点单位证书》更换手续。
商用密码产品生产定点单位变更住所、法定代表人的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构备案。
商用密码产品生产定点单位破产、解散或者被撤销的,原持有的《商用密码产品生产定点单位证书》自行失效。
第十二条 商用密码产品生产定点单位生产商用密码产品,应当在研制出产品样品后向国家密码管理局申请产品品种和型号。
申请产品品种和型号应当向所在地的省、自治区、直辖市密码管理机构提交下列材料:
(一)商用密码产品品种和型号申请书;
(二)技术工作总结报告;
(三)安全性设计报告;
(四)用户手册;
(五)测试说明。
商用密码产品所采用的密码算法应当是国家密码管理局认可的算法。
第十三条 商用密码产品生产定点单位提交的申请材料齐备并且符合规定形式的,省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐备或者不符合规定形式的,省、自治区、直辖市密码管理机构应当当场或者在5个工作日内一次告知需要补正的全部内容。不予受理的,应当书面通知并说明理由。
省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内完成初审,并将初审意见和全部申请材料报送国家密码管理局。
国家密码管理局收到省、自治区、直辖市密码管理机构报送的材料后应当组织安全性审查(含产品样品测试,下同),并自省、自治区、直辖市密码管理机构受理申请之日起20个工作日内,将安全性审查所需时间书面告知申请人。
通过安全性审查的,在5个工作日内批给产品品种和型号,发给产品品种和型号证书,并予以公布。未通过安全性审查的,不予批准并说明理由。
安全性审查所需时间不计算在本规定所设定的期限内。
第十四条 商用密码产品生产定点单位应当按照批准的品种和型号生产产品,并在产品上标明产品型号。
第十五条 商用密码产品必须经国家指定的机构检测、认证合格,并加施强制性认证标志后方可出厂。
暂未列入强制性认证目录的商用密码产品,必须经国家密码管理局指定的产品质量检测机构检测合格。
第十六条 商用密码产品生产定点单位及其人员,应当对所接触和掌握的商用密码技术承担保密义务。
第十七条 商用密码产品生产定点单位应当建立健全保密规章制度,对其人员进行保密教育。
第十八条 生产商用密码产品应当在符合安全保密要求的环境中进行。
保管商用密码产品应当采取相应的安全措施。
第十九条 商用密码技术资料、关键部件应当由专人保管,并采取相应的保密措施,防止商用密码技术的泄露。生产过程中产生的废弃品应当妥善销毁。
第二十条 参与商用密码产品安全性审查的专家和工作人员,应当对商用密码产品的技术方案和安全设计方案承担保密义务。
第二十一条 违反本规定的行为,依照《商用密码管理条例》予以处罚。
第二十二条 《商用密码产品生产定点单位证书》由国家密码管理局印制。
第二十三条 本规定自2006年1月1日起施行。
第三篇:人民法院2008保密密码工作自查报告
**县人民法院
**保密密码工作自查报告
根据市委保密委员会呼保委发[**]4号、5号文件通知精神,根据呼中法办保[**]1号文件通知精神,我院密码领导小组在12月17日至19日,对本院的保密密码工作进行了自查,现将自查情况汇报如下:
一年来,我院保密工作在上级法院和院党组的指导下,按照“抓住龙头,强化教育,明确责任,落实制度,加强管理,保住秘密”的工作思路,从加强保密工作组织建设入手,强化广大干警保密意识教育,健全保密制度,规范保密管理,积极做好法院保密工作,推进了保密工作向着规范化、制度化方向发展,使我院保密工作迈上了一个新台阶。
一、改革保密工作机制,加强对保密工作的领导
保密工作是法院工作的生命线。法院机关的工作特点决定了其工作形成,产生接触大量的国家秘密和审判工作秘密。保密意识的强弱不仅关系到保密工作的开展,更直接关系到能否依法办事,各项审判业务能否顺利发展。基于这样一种认识,我院党组确立了“保密工作无小事”的思想理念,把“抓住龙头,强化教育,明确责任,落实制度,加强管理,保住秘密”作为保密工作的总思路,从组织建设入手,将保密工作摆在了突出的位置。根据工作需要成立了保密工作领导组,由院长**同志亲自担任院保密委员会组长,对保密工作负总责;由办公室主任李珍同志担任委员会副组长,直接分管保密工作,负责指导、协调和督促法院机关的保密事务,及时处理保密工作的重大问题和失泄密事件。确定了办公室网络管理员白娟同志为我院保密专职人员,具体处理日常保密事宜。
二、强化保密知识教育,增强广大干警的保密意识
我院保密委员会针对包括院领导在内的广大干警中普遍存在的保密工作“说起来重要,做起来次要,忙起来不要”的错误观念,强化了全体干警保密意识的教育。每年开展保密教育三次,保密教育中,做到三个结合:即保密工作与法院工作业务实际相结合;日常性教育和重要活动前的教育相结合;正面教育与现实反面案例教育相结合。正是由于我院强化对全院干警保密知识的教育,使全体干警特别是涉密岗位人员和领导干部的保密意识和保密责任大大增强,每位干警对自己所从事的业务工作哪些是国家秘密,哪些是法院工作秘密,哪些应该保密,怎样保密,有哪些保密工作的规章制度等等,都做到了应知应会。全院形成了良好的保密氛围。
三、注重软硬件设施建设,夯实保密工作基础
为了使保密工作更加规范标准,更好地服务于法院工作,我院不断加大软硬件的投入。一是注重硬件设施建设,在经费不足的情况下,自己施工单建了保密工作室,并按照“三铁一器”防火、防盗的要求进行了装修,按期配备了加密机,购置了扫描仪、彩色打印机,实现了网上传输。二是注重保密队伍建设。为进一步提高保密人员的专业技能和管理水平,我院积极组织密码机要员参加自治区高院、市中院的培训班,并领取资格证书,做到了持证上岗。如今年9月份,我院保密人员参加了高院组织的保密培训班。三是注重涉密载体的使用。我院的涉密计算机始终保持专机专用,配备的U盘也始终做到专用。
四、健全保密制度建设,抓住了保密工作管理环节
院党组根据保密工作的有关规定,从工作实际出发,先后制定和充实完善了《**县人民法院保密委员会工作职责》、《保密工作制度》、《审判工作保密规定》、《档案工作保密制度》、《机要员保密守则》、《**县人民法院密码领导小组职责》、《**县人民法院密码机使用管理规定》等保密工作规章制度,并建立健全了严明的考核管理办法,以确保保密管理 工作做到规范有序、职责严明,使我院保密工作建设更上一个新的台阶。几年来,我院从未发生失、泄密事件,为法院工作的开展奠定了坚实的基础。
五、目前存在的问题和不足
我院虽然在保密、密码工作中做了大量工作,但是,按照最高人民法院关于做好保密、密码工作的要求还有一定的差距,比如我们在保密法规的学习上还不够深入,对干警的保密教育方式上还需要更灵活多样。特别是在现代保密技术、通信手段飞速发展的时代,我们在思想观念上还存在着不能适应新形势发展的需要,更需要在电子技术和计算机基础方面加强学习,在硬件建设上还需要逐步更新。
今后,我们将继续围绕“抓住龙头,强化教育,明确责任,落实制度,加强管理,保住秘密”的工作思路,认真贯彻上级保密工作指示,盯住薄弱环节做工作,抓好落实打基础,突出抓好保密法制建设、健全保密规章制度,进一步增强全院人员保密意识,提高防范失泄密能力,力争使保密工作再上一个新台阶。
第四篇:信息安全等级保护商用密码管理办法实施意办法
国家密码管理局文件
国密局发[2009]10号
关于印发《<信息安全等级保护商用密码
管理办法>实施意见》的通知
各省、自治区、直辖市密码管理局,新疆生产建设兵团密码管理局,深圳市密码管理局:
为配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号)的实施,进一步规范信息安全等级保护商用密码管理工作,我局研究制定了《<信息安全等级保护商用密码管理办法>实施意见》。现印发你们,请认真贯彻执行。
执行中的意见和建议,请及时向我局反馈(联系电话:010-59703637)。
2009年12月15日
主题词:商用密码 等级保护 实施意见 通知 抄送:公安部十一局、工业和信息化部信息安全协调司、国家保密局中央和国家机关各部委,国务院各直属机构。
国家密码管理局办公室 2009年lo月29日印发
(共印l000份)《信息安全等级保护商用密码管理办法》
实施意见
为了配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号)的实施,进一步规范信息安全等级保护商用密码管理工作,特提出以下意见。
一、使用商用密码对信息系统进行密码保护,应当严格遵守国家商用密码相关政策和标准规范。
二、在实施信息安全等级保护的信息系统中,商用密码应用系统是指采用商用密码产品或者含有密码技术的产品集成建设的,实现相关信息的机密性、完整性、真实性、抗抵赖性等功能的应用系统。
三、商用密码应用系统的建设应当选择具有商用密码相关资质的单位。
四、使用商用密码开展信息安全等级保护应当制定商用密码应用系统建设方案。方案应当包括信息系统概述、安全风险与需求分析、商用密码应用方案、商用密码产品清单、商用密码应用系统的安全管理与维护策略、实施计划等内容。
五、第三级以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施。中央和国家机关各部委第三级信息系统的商用密码应用系统建设方案,由信息系统的责任单位向国家密码管理部门提出评审申请,国家密码管理部门组织专家进行评审。设有密码管理部门的中央和国家机关部委,其第三级信息系统的商用密码应用系统建设方案可由本部门密码管理部门组织专家进行评审。
各省(区、市)第三级信息系统的商用密码应用系统建设方案,由信息系统的责任单位向所在省(区、市)密码管理部门提出评审申请,所在省(区、市)密码管理部门组织专家进行评审。
第四级以上信息系统的商用密码应用系统建设方案,由信息系统的责任单位向国家密码管理部门提出评审申请,国家密码管理部门组织专家进行评审。
六、第三级以上信息系统的商用密码应用系统建设必须严格按照通过评审的方案实施。需变更商用密码应用系统建设方案的,应当按照上述第五条的要求重新评审,评审通过后方可实施。
七、使用商用密码实施信息安全等级保护,选用的商用密码产品应当是国家密码管理部门准予销售的产品;选用的含有密码技术的产品,应当是通过国家密码管理部门指定测评机构密码测评的产品。
八、第三级以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行。密码测评包括资料审查、系统分析、现场测评、综合评估等。信息系统的责任单位应当将测评结果报相应的密码 管理部门备案。
九、第二级以上信息系统的责任单位,应当填写《信息安全等级保护商用密码产品备案表》,并按照《信息安全等级保护商用密码管理办法》的要求进行备案。
十、第三级以上信息系统的责任单位,应当建立完善的商用密码使用管理制度,保障商用密码应用系统的安全运行。按照密码管理部门的要求办理相关事项。
十一、第三级以上信息系统发生重大变更时,信息系统的责任单位应当将变更情况及时报相应的密码管理部门,并按照密码管理部门的要求办理相关事项。
十二、第三级以上信息系统的商用密码应用系统需要由责任单位以外的单位负责日常维护的,应当选择具有商用密码相关资质的单位。
十三、第三级以上信息系统的责任单位,应当积极配合密码管理部门组织开展的商用密码检查工作。
十四、使用商用密码实施信息安全等级保护,应当符合《信息安全等级保护商用密码技术实施要求》(附后)。
十五、本意见施行前已建成的第三级以上信息系统的商用密码应用系统,应当按照本意见第八条的要求进行密码测评,并根据密码测评意见实施改造。
十六、本意见所称“以上”包含本级。
附件:《信息安全等级保护商用密码技术实施要求》
信息安全等级保护 商用密码技术实施要求
国家密码管理局 2 0 0 9年
引 言 ·································· 8 第一章 第一级信息系统商用密码技术实施要求 ················ 9 1.1商用密码技术基本要求 ·····································································································9 1.1.1功能要求 ·························································································································9 1.1.1.1真实性 ··························································································································9 1.1.1.2完整性 ··························································································································9 1.1.2密钥管理要求 ·················································································································9 1.1.3密码配用策略要求 ··········································································································9 1.1.4密码实现机制要求 ··········································································································9 1.1.5密码安全防护要求 ··········································································································9 1.2商用密码技术应用要求 ··································································································· 10 1.2.1物理安全 ······················································································································· 10 1.2.2 网络安全 ···················································································································· 10 1.2.3主机安全 ······················································································································· 10 1.2.4应用安全 ······················································································································· 10 1.2.5数据安全及备份恢复 ···································································································· 10 第二章 第二级信息系统商用密码技术实施要求 ················ 11 2.1商用密码技术基本要求 ··································································································· 11 2.1.1功能要求 ······················································································································· 11 2.1.1.1真实性 ························································································································ 11 2.1.1.2机密性 ························································································································ 11 2.1.1.3完整性 ························································································································ 11 2.1.3密码配用策略要求 ········································································································ 12 2.1.3.1密码算法配用策略 ····································································································· 12 2.1.3.2密码协议使用策略 ····································································································· 12 2.1.3.3密码设备使用策略 ····································································································· 12 2.1.4密码实现机制 ··············································································································· 12 2.1.5密码安全防护要求 ········································································································ 12 2.2商用密码技术应用要求 ··································································································· 12 2.2.1物理安全 ······················································································································· 12 2.2.2 网络安全 ···················································································································· 13 2.2.3主机安全 ······················································································································· 13 2.2.4应用安全 ······················································································································· 13 2.2.5数据安全及备份恢复 ···································································································· 14 第三章 第三级信息系统商用密码技术实施要求 ················ 15 3.1商用密码技术基本要求 ··································································································· 15 3.3.1功能要求 ······················································································································· 15 3.1.1.1真实性 ························································································································ 15 3.1.1.2机密性 ························································································································ 15 3.1.1.3完整性 ························································································································ 15 3.1.1.4抗抵赖性 ···················································································································· 16 3.1.2密钥管理要求 ··············································································································· 16 3.1.3密码配用策略要求 ········································································································ 17 3.1.3.1密码算法配用策略 ····································································································· 17 3.1.3.2密码协议使用策略 ····································································································· 17 3.1.3.3密码设备使用策略 ····································································································· 17 3.1.4密码实现机制 ··············································································································· 17 3.1.5密码安全防护要求 ········································································································ 17 3.2商用密码技术应用要求 ··································································································· 18 3.2.1物理安全 ······················································································································· 18 3.2.2网络安全 ······················································································································· 18 3.2.3主机安全 ······················································································································· 18 3.2.4应用安全 ······················································································································· 19 3.2.5数据安全及备份恢复 ···································································································· 19 第四章 第四级信息系统商用密码技术实施要求 ··············· 20 4.1商用密码技术基本要求 ··································································································· 20 4.1.1功能要求 ······················································································································· 20 4.1.1.1真实性 ························································································································ 20 4.1.1.1.2机密性 ····················································································································· 20 4.1.1.3完整性 ························································································································ 21 4.1.1.4抗抵赖 ························································································································ 21 4.1.2密钥管理要求 ··············································································································· 21 4.1.3密码配用策略要求 ········································································································ 22 4.1.3.1密码算法配用策略 ····································································································· 22 4.1.3.2密码协议使用策略 ····································································································· 22 4.1.3.3密码设备使用策略 ····································································································· 22 4.1.4密码实现机制 ··············································································································· 23 4.1.5密码安全防护要求 ········································································································ 23 4.2商用密码技术应用要求 ··································································································· 23 4.2.1物理安全 ······················································································································· 23 4.2.2网络安全 ······················································································································· 23 4.2.3主机安全 ······················································································································· 24 4.2.4应用安全 ······················································································································· 24 4.2.5数据安全及备份恢复 ···································································································· 25
引 言
密码技术作为信息安全的基础性核心技术,是信息保护和网络信任体系建设的基础,是实行信息安全等级保护不可或缺的关键技术,充分利用密码技术能够有效地保障信息安全等级保护制度的落实,科学合理地采用密码技术及其产品,是落实信息安全等级保护最为有效、经济和便捷的手段。
国家标准(GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求》(以下简称“《基本要求》”)规定了对不同安全保护等级信息系统的基本安全要求,对于涉及到身份的真实性、行为的抗抵赖、内容的机密性和完整性的要求项,密码技术都可以直接或间接地为满足这些要求提供支持,因此如何科学合理地应用密码技术对信息系统进行安全保护就成为实施等级保护的关键工作内容,直接影响着信息安全等级保护的全面推进。为此,我们以《商用密码管理条例》和《信息安全等级保护商用密码管理办法》为指导,结合《基本要求》中的相关安全要求项,在《信息安全等级保护商用密码技术要求》的基础上,编制了《信息安全等级保护商用密码技术实施要求》,用以规范使用商用密码实施等级保护的相关技术工作,并为商用密码产品的研发和系统的集成提供依据。
本要求明确了一、二、三、四级信息系统使用商用密码技术来实施等级保护的基本要求和应用要求。在基本要求中根据密码技术的特点,从技术实施上对商用密码应用系统的功能、密钥管理、密码配用、密码实现和密码保护等方面提出了相关要求和规定。在应用要求中,从应用密码技术来实现相应等级的物理安全、网络安全、主机安全、应用安全和数据安全提出了要求。为方便使用,我们将各级信息系统的商用密码需求和相关技术实施要求按照不同安全等级集中进行编排。第一章
第一级信息系统商用密码技术实施要求
1.1商用密码技术基本要求 1.1.1功能要求 1.1.1.1真实性
第一级信息系统使用商用密码进行真实性保护时,应提供以下功能; 1)提供基于实体的身份标识和鉴别服务; 2)为访问网络设备提供身份鉴别服务;
3)为登录操作系统和数据库提供身份鉴别服务; 4)为访问应用系统提供身份鉴别服务; 5)向访问控制系统提供身份真实性的凭证。1.1.1.2完整性
第一级信息系统使用商用密码进行完整性保护时,应提供以下功能; 1)应提供数据完整性校验服务;
2)为通信过程和数据传输提供完整性校验服务;3)为访问控制系统提供访问控制信息的完整性校验服务。1.1.2密钥管理要求
密钥管理至少应包括密钥的生成、存储和使用等过程,并满足;1)密钥生成:密钥应具有一定的随机性;
2)密钥存储:采取必要的安全防护措施,防止密钥被轻易非授权获取;3)密钥使用:采取必要的安全防护措施,防止密钥被非法使用。1.1.3密码配用策略要求
采用国家密码管理部门批准使用的算法。1.1.4密码实现机制要求 不做强制性要求。1.1.5密码安全防护要求
不做强制性要求。1.2商用密码技术应用要求 1.2.1物理安全
第一级物理安全基本技术要求的实现不需使用密码技术。1.2.2 网络安全
实现第一级网络安全基本技术要求在访问控制和身份鉴别方面可以使用密码技术。
在访问控制机制中,可以使用密码技术的完整性服务来保证访问控制列表的完整性。
在身份鉴别机制中,可以使用密码技术的真实性服务来实现鉴别信息的防假冒,可以使用密码技术的机密性服务来实现鉴别信息的防泄露。1.2.3主机安全
实现第一级主机安全基本技术要求在身份鉴别和访问控制方面可以使用密码技术。
在身份鉴别机制中,可以使用密码技术的真实性服务来实现鉴别信息的防假冒。
在访问控制机制中,可以使用密码技术的完整性服务来保证访问控制信息的完整性。1.2.4应用安全
实现第一级应用安全基本技术要求在身份鉴别、访问控制和通信安全方面可以使用密码技术。
在身份鉴别机制中,可以使用密码技术的真实性服务来实现鉴别信息的防假冒,保证应用系统用户身份的真实性。
在访问控制机制中,可以使用密码技术的完整性服务来保证系统功能和用户数据访问控制信息的完整性。
在通信安全方面,可以使用密码技术的完整性服务来实现对通信过程中数据完整性。
1.2.5数据安全及备份恢复
第一级数据安全及备份恢复基本技术要求在数据传输安全方面,可以使用密码技术的完整性服务来实现对重要用户数据在传输过程中完整性检测。第二章
第二级信息系统商用密码技术实施要求
2.1商用密码技术基本要求 2.1.1功能要求 2.1.1.1真实性
第二级信息系统使用商用密码进行真实性保护时,应提供以下功能; 1)提供基于单个实体的身份鉴别功能;
2)能唯一标识并有效区分实体,包括用户、设备、系统等; 3)为建立网络会话提供身份鉴别服务; 4)为访问网络设备提供身份鉴别服务; 5)保证身份鉴别信息的唯一性;
6)向访问控制系统提供身份真实性的凭证。2.1.1.2机密性
第二级信息系统使用商用密码进行机密性保护时,应提供以下功能; 1)提供数据机密性服务;2)为初始化会话过程中提供加密保护;3)对通信过程中的重要字段提供加密保护; 4)对存储的鉴别信息提供加密保护。2.1.1.3完整性
第二级信息系统使用商用密码进行完整性保护时,应提供以下功能; 1)对鉴别信息和重要业务数据在传输过程中提供完整性校验服务; 2)对系统资源的访问控制信息提供完整性校验服务;3)对文件/数据库表等客体的访问控制信息提供完整性校验服务; 4)对审计记录提供完整性校验服务。
密钥管理应包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、更换等过程,并满足: 1)密钥生成:应使用随机数发生器产生密钥;
2)密钥存储:密钥应加密存储,并采取必要的安全防护措施,防止密钥被非法获取。3)密钥分发:密钥分发应采取有效的安全措施,防止在分发过程中泄露。4)密钥导入与导出:密钥的导入与导出应采取有效的安全措施,保证密钥的导入与导出安全,以及密钥的正确。
5)密钥使用:密钥必须明确用途,并按用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证;应有安全措施防止密钥的泄露和替换;应按照密钥更换周期要求更换密钥,密钥更换允许系统中断运行。6)密钥备份与恢复:应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复。
2.1.3密码配用策略要求 2.1.3.1密码算法配用策略
采用国家密码管理部门批准使用的算法。2.1.3.2密码协议使用策略
采用经国家密码管理部门安全性评审的密码协议实现密码功能。2.1.3.3密码设备使用策略
使用密码设备时应符合以下要求:
1)应选用国家密码管理部门批准的密码设备;
2)信源加密、完整性校验、身份鉴别应选用智能密码钥匙、智能IC卡、可信密码模块TCKI、密码卡、密码机等密码设备;
3)信道加密应选用链路密码机、网络密码机、YPN密码机等密码设备。2.1.4密码实现机制
应采用专用固件或硬件方式实现。2.1.5密码安全防护要求
密码安全防护应符合以下要求:
1)专用固件或硬件应具有有效的物理安全保护措施;,2)专用固件或硬件应满足相应运行环境的可靠性要求。2.2商用密码技术应用要求 2.2.1物理安全
实现第二级物理安全基本技术要求不需使用密码技术。2.2.2 网络安全
实现第二级网络安全基本技术要求在访问控制和身份鉴别方面推荐使用密码技术。
在访问控制方面,推荐使用密码技术的完整性服务来保证网络边界访问控制信息、系统资源访问控制信息的完整性。
在身份标识与鉴别方面,推荐使用密码技术的真实性服务来实现鉴别信息的防重用和防冒用,保证网络设备用户身份的真实性;推荐使用密码技术的机密性服务来保证网络设备远程管理时,鉴别信息传输过程中的机密性。2.2.3主机安全
实现第二级主机安全基本技术要求在身份鉴别、访问控制和审计记录方面推荐使用密码技术。
在身份鉴别方面,推荐使用密码技术的真实性服务来实现鉴别信息的防冒用和防重用,保证操作系统和数据库系统用户身份的真实性;推荐使用密码技术的机密性服务来实现鉴别信息远程传输过程中的机密性。
在访问控制方面,推荐使用密码技术的完整性服务来保证系统资源访问控制信息的完整性。
在审计记录方面,推荐使用密码技术的完整性服务来对审计记录进行完整性保护。2.2.4应用安全
实现第二级应用安全基本技术要求在身份鉴别、访问控制、审计记录和通信安全方面推荐使用密码技术。
在身份鉴别方面,推荐使用密码技术的真实性服务来实现鉴别信息的防重用和防冒用,保证应用系统用户身份的真实性和通信双方身份的真实性。
在访问控制方面,推荐使用密码技术的完整性服务来保证文件、数据库表等客体访问控制信息的完整性。
在审计记录方面,推荐使用密码技术的完整性服务来保证审计记录的完整性,防止对审计记录的非法修改。
在通信安全方面,推荐使用密码技术的完整性服务来保证通信过程中数据的完整性;推荐使用密码技术的机密性服务来对通信过程中敏感数据加密,保证通信过程中敏感信息的机密性。2.2.5数据安全及备份恢复
实现第二级数据安全及备份恢复基本技术要求在数据传输安全和数据存储安全方面可以使用密码技术。
在数据传输安全方面,推荐使用密码技术的完整性服务来实现对鉴别信息和重要业务数据在传输过程中完整性检测。
在数据存储安全方面,推荐使用密码技术的机密性服务来实现鉴别信息的存储机密性。第三章 第三级信息系统商用密码技术实施要求
3.1商用密码技术基本要求 3.3.1功能要求 3.1.1.1真实性
第三级信息系统使用商用密码进行真实性保护时,应提供以下功能; 1)提供重要区域进入人员身份真实性鉴别服务;
2)提供安全访问路径中通信主体身份的真实性鉴别服务; 3)提供访问网络设备用户身份的真实性鉴别服务;
4)提供登录操作系统和数据库系统用户的身份真实性的鉴别服务; 5)提供应用系统用户身份真实性鉴别服务; 6)提供通信双方身份真实性鉴别服务; 7)能够提供组合鉴别方式;
8)在建立网络会话时提供身份鉴别服务; 9)保证身份鉴别信息的唯一性;
10)向访问控制系统提供身份真实性的凭证。3.1.1.2机密性
第三级信息系统使用商用密码进行机密性保护时,应提供以下功能: 1)提供通信过程中整个报文或会话过程的机密性保护服务;
2)提供存储过程中系统管理数据、鉴别信息和重要业务数据的机密性保护服务;
3)提供传输过程中系统管理数据、鉴别信息和重要业务数据的机密性保护服务。
3.1.1.3完整性
第三级信息系统使用商用密码进行完整性保护时,应提供以下功能: 1)提供电子门禁系统记录的完整性服务; 2)提供安全访问路径中路由信息的完整性服务;
3)提供网络边界和系统资源访问控制信息的完整性服务; 4)提供审计记录的完整性服务; 5)提供系统资源访问控制信息的完整性服务; 6)提供重要信息资源敏感标记的完整性服务; 7)提供重要程序的完整性服务;
8)提供文件、数据库表等客体访问控制信息的完整性服务; 9)提供重要信息资源敏感标记的完整性服务; 10)提供通信过程中所有数据的完整性服务;
11)提供存储过程中系统管理数据、鉴别信息和重要业务数据的完整性服务。
3.1.1.4抗抵赖性
第三级信息系统使用商用密码进行抗抵赖保护时,应提供以下功能: 1)提供进入重要区域人员行为的抗抵赖服务; 2)支持原发抗抵赖服务; 3)支持接收抗抵赖服务。3.1.2密钥管理要求
密钥管理应包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档和销毁等环节进行管理和策略制定的全过程,并满足:
1)密钥生成:应使用国家密码管理部门批准的硬件物理噪声源产生随机数;密钥必须在密码设备内部产生,不得以明文方式出现在密码设备之外;应具备检查和剔除弱密钥的能力。
2)密钥存储:密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;密钥加密密钥应存储在专用硬件中。
3)密钥分发:密钥分发应采取身份鉴别、数据完整性、数据机密性等安全措施,应能够抗截取、假冒、篡改、重放等攻击,保证密钥的安全性。4)密钥导入与导出:密钥的导入与导出应采取有效的安全措施,保证密钥的导入与导出安全,以及密钥的正确。
5)密钥使用:密钥必须明确用途,并按用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证;应有安全措施防止密钥的泄露和替换;应按照密钥更换周期要求更换密钥,密钥更换允许系统中断运行;密钥泄露时,必须停止使用,并启动相应的应急处理和响应措施。
6)密钥备份与恢复:应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;密钥备份或恢复应进行记录,并生成审计信息;审计信息包括备份或恢复的主体、备份或恢复的时间等。7)密钥归档:应采取有效的安全措施,保证归档密钥的安全性和正确性;归档密钥只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息;密钥归档应进行记录,并生成审计信息;审计信息包括归档的密钥、归档的时间等;归档密钥应进行数据备份,并采用有效的安全保护措施。8)密钥销毁:应具有在紧急情况下销毁密钥的措施。3.1.3密码配用策略要求
3.1.3.1密码算法配用策略
采用国家密码管理部门批准使用的算法。3.1.3.2密码协议使用策略
采用经国家密码管理部门安全性评审的密码协议实现密码功能。
3.1.3.3密码设备使用策略
使用密码设备时应符合以下要求:
1)应选用国家密码管理部门批准的密码设备;
2)信源加密、完整性校验、身份鉴别、抗抵赖应选用可信密码模块TCM、智能密码钥匙、智能IC卡、密码卡、密码机等密码设备;
3)信道加密应选用链路密码机、网络密码机、VPN密码机等密码设备; 4)需要配用独立的密钥管理系统或使用数字证书认证系统提供的密钥管理服务。
3.1.4密码实现机制
必须采用专用固件或硬件方式实现。3.1.5密码安全防护要求
密码安全防护应符合以下要求:
1)专用固件或硬件以及密码设备应具有有效的物理安全保护措施; 2)专用固件或硬件以及密码设备应满足相应运行环境的可靠性要求: 3)应建立有效的密码设备安全管理制度。3.2商用密码技术应用要求 3.2.1物理安全
第三级物理安全基本技术要求在电子门禁系统方面推荐使用密码技术。在电子门禁系统中,推荐使用密码技术的真实性服务来保护身份鉴别信息,保证重要区域进入人员身份的真实性;推荐使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性。3.2.2网络安全
第三级网络安全基本技术要求在安全访问路径、访问控制和身份鉴别方面应当使用密码技术。
在建立安全访问路径过程中,应当使用密码技术的真实性服务来保证通信主体身份鉴别信息的可靠,实现安全访问路径中通信主体身份的真实性;应当使用密码技术的完整性服务来保证安全访问路径中路由控制信息的完整性。
在访问控制机制中,应当使用密码技术的完整性服务来保证网络边界和系统资源访问控制信息的完整性。
在审计记录方面,应当使用密码技术的完整性服务来对审计记录进行完整性保护。
在身份标识与鉴别方面,应当使用密码技术来实现组合鉴别,使用密码技术的机密性和真实性服务来实现防窃听、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备用户身份的真实性。3.2.3主机安全
第三级主机安全基本技术要求在身份鉴别、访问控制、审计记录和程序安全方面应当使用密码技术。
在身份标识与鉴别方面,应当使用密码技术来实现组合鉴别,使用密码技术的真实性服务来实现鉴别信息的防假冒和防重用,保证操作系统和数据库系统用户身份的真实性,并在远程管理时使用密码技术的机密性服务来实现鉴别信息的防窃听。
在访问控制方面,应当使用密码技术的完整性服务来保证系统资源访问控制信息的完整性,并使用密码技术的完整性服务来保证重要信息资源敏感标记的完整性。
在审计记录方面,应当使用密码技术的完整性服务来对审计记录进行完整性保护。
在程序安全方面,推荐使用密码技术的完整性服务来实现对重要程序的完整性检测。3.2.4应用安全
第三级应用安全基本技术要求在身份鉴别、访问控制、审计记录和通信安全方面应当使用密码技术。
在身份鉴别方面,应当使用密码技术来实现组合鉴别,使用密码技术的机密性和真实性服务来实现防窃听、防假冒和防重用,保证应用系统用户身份的真实性。
在访问控制方面,应当使用密码技术的完整性服务来保证文件、数据库表访问控制信息和重要信息资源敏感标记的完整性。
在审计记录方面,应使用密码技术的完整性服务来实现对审计记录完整性的保护。
在通信安全方面,应当使用密码技术的完整性服务来保证通信过程中数据完整性;应当使用密码技术的真实性服务来实现通信双方会话初始化验证;应当使用密码技术的机密性服务来实现对通信过程中整个报文或会话过程加密保护;应当使用密码技术的抗抵赖服务来提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。3.2.5数据安全及备份恢复
第三级数据安全及备份恢复基本技术要求在数据传输安全和数据存储安全方面应当使用密码技术。
在数据传输安全方面,应当使用密码技术的完整性服务来实现对系统管理数据、鉴别信息和重要业务数据在传输过程中完整性的检测。应当使用密码技术的机密性服务来实现系统管理数据、鉴别信息和重要业务数据的传输机密性。
在数据存储安全方面,应当使用密码技术的完整性服务来实现对系统管理数据、鉴别信息和重要业务数据在存储过程中完整性的检测。应当使用密码技术的机密性服务来实现系统管理数据、鉴别信息和重要业务数据的存储机密性。第四章 第四级信息系统商用密码技术实施要求
4.1商用密码技术基本要求 4.1.1功能要求 4.1.1.1真实性
第四级信息系统使用商用密码进行真实性保护时,应提供以下功能: 1)应提供基于单个实体(用户、主机)的身份鉴别功能; 2)能唯一标识并有效区分实体,包括用户、设备、系统等; 3)能够提供两种或两种以上的身份鉴别方式; 4)身份鉴别信息具备不易被冒用的防范能力; 5)身份鉴别信息具备不可伪造性; 6)保证身份鉴别信息的唯一性;
7)提供进入重要区域人员身份真实性鉴别服务; 8)在建立网络会话时提供身份鉴别服务;
9)提供安全访问路径中通信主体身份的真实性鉴别服务; 10)提供通信双方身份真实性鉴别服务;
11)支持在网络设各身份鉴别时提供身份鉴别服务;
12)提供主机平台基于可信密码模块TCM的身份真实性鉴别服务; 13)提供登录操作系统和数据库系统用户的身份真实性的鉴别服务; 14)提供应用系统用户身份真实性鉴别服务; 15)应向访问控制系统提供身份真实性的凭证。4.1.1.1.2机密性
第四级信息系统使用商用密码进行机密性保护时,应提供以下功能: 1)能提供数据机密性服务;
2)提供通信过程中整个报文或会话过程的机密性保护服务;
3)提供存储过程中系统管理数据、鉴别信息和重要业务数据的机密性保护服务;
4)提供传输过程中系统管理数据、鉴别信息和重要业务数据的机密性保护服务。4.1.1.3完整性
第四级信息系统使用商用密码进行完整性保护时,应提供以下功能: 1)能够提供对数据的完整性保护;
2)支持对重要信息资源敏感标记提供完整性服务; 3)提供电子门禁系统记录的完整性服务; 4)支持对通信过程数据提供完整性服务; 5)提供安全访问路径中数据的完整性服务;
6)提供网络边界和系统资源访问控制信息的完整性服务; 7)提供系统资源访问控制信息的完整性服务;
8)支持对系统管理数据、鉴别信息和业务数据在传输过程中提供完整性服务,并能够检测完整性错误,提供必要的恢复手段;
9)支持对系统管理数据、鉴别信息和业务数据在存储过程中提供完整性服务,并能够检测完整性错误,提供必要的恢复手段; 10)提供主机平台基于可信密码模块TCM的完整性服务; 11)提供重要程序的完整性服务;
12)提供文件、数据库表等客体访问控制信息的完整性服务; 13)提供审计记录的完整性服务。4.1.1.4抗抵赖
第四级信息系统使用商用密码进行抗抵赖保护时,应提供以下功能: 1)提供进入重要区域人员行为的抗抵赖服务; 2)支持原发抗抵赖服务; 3)支持接收抗抵赖服务。4.1.2密钥管理要求
密钥管理应包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档和销毁等环节进行管理和策略制定的全过程,并满足:
1)密钥生成:应使用国家密码管理部门批准的硬件物理噪声源产生随机数;密钥必须在密码设备内部产生,不得以明文方式出现在密码设备之外:应具备检查和剔除弱密钥的能力;生成密钥审计信息,密钥审计信息包括:种类、长度、拥有者信息、使用起始时间、使用终止时间。
2)密钥存储:密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;密钥加密密钥应存储在专用硬件中;应具有密钥可能泄露时的应急处理和响应措施。
3)密钥分发:密钥分发应采取身份鉴别、数据完整性、数据机密性等安全措施,应能够抗截获、假冒、篡改、重放等攻击,保证密钥的安全性。应具有密钥可能泄露时的应急处理和响应措施。
4)密钥导入与导出:密钥的导入与导出应采取有效的安全措施,保证密钥的导入与导出安全,以及密钥的正确;密钥的导入与导出应采用密钥分量的方式或者专用设备的方式:密钥的导入与导出应保证系统密码服务功能不间断。
5)密钥使用:密钥必须明确用途,并按用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证;应有安全措施防止密钥的泄露和替换;应按照密钥更换周期要求更换密钥,密钥更换允许系统中断运行;密钥泄露时,必须停止使用,并启动相应的应急处理和响应措施。
6)密钥备份与恢复:应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;密钥备份或恢复应进行记录,并生成审计信息:审计信息包括备份或恢复的主体、备份或恢复的时间等。7)密钥归档:应采取有效的安全措施,保证归档密钥的安全性和正确性:归档密钥只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息;密钥归档应进行记录,并生成审计信息;审计信息包括归档的密钥、归档的时间等;归档密钥应进行数据备份,并采用有效的安全保护措施。8)密钥销毁:应具有在紧急情况下销毁密钥的措施。4.1.3密码配用策略要求 4.1.3.1密码算法配用策略
采用国家密码管理部门批准使用的算法。4.1.3.2密码协议使用策略
采用经国家密码管理部门安全性评审的密码协议实现密码功能。4.1.3.3密码设备使用策略
使用密码设备时应符合以下要求:
1)应选用国家密码管理部门批准的密码设备;
2)信源加密、完整性校验、身份鉴别、抗抵赖应选用可信密码模块TCM、智能密码钥匙、智能IC卡、密码卡、密码机等密码设备;
3)信道加密应选用链路密码机、网络密码机、VPN密码机等密码设备; 4)需要配用独立的密钥管理系统或使用数字证书认证系统提供的密钥管理服务。
4.1.4密码实现机制
必须采用专用硬件或固件方式实现。4.1.5密码安全防护要求
密码安全防护应符合以下要求;
1)专用硬件或固件以及密码设备应具有严格的物理安全保护措施; 2)专用硬件或固件以及密码设备应满足相应运行环境的可靠性要求; 3)应建立严格的密码设备安全管理制度。4.2商用密码技术应用要求 4.2.1物理安全
第四级物理安全基本技术要求在电子门禁系统方面应当使用密码技术。在电子门禁系统中,应当使用密码技术的真实性服务来实现对进入重要区域人员的身份鉴别,并使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性。4.2.2网络安全
第四级网络安全基本技术要求在安全访问路径、访问控制和身份鉴别方面应当使用密码技术。
在建立安全访问路径过程中,应当使用密码技术的真实性服务来保证通信主体身份鉴别信息的可靠,实现安全访问路径中通信主体身份的真实性应当使用密码技术的完整性服务来保证安全访问路径中路由控制信息的完整性。
在访问控制方面,应当使用密码技术的完整性服务来保证网络边界访问控制信息和数据敏感标记的完整性。’
在审计记录方面,应当使用密码技术的完整性服务来对审计记录进行完整性保护。
在身份标识与鉴别方面,应当采用密码技术实现组合鉴别,使用密码技术的机密性和真实性服务来实现传输过程中鉴别信息防窃听、防假冒和防重用,保证网络设备用户身份的真实性。4.2.3主机安全
第四级主机安全基本技术要求在身份鉴别、访问控制、安全信息传输路径、审计记录和程序安全方面可以使用密码技术。
在身份鉴别方面,应当采用密码技术来实现组合鉴别,使用密码技术的真实性服务来实现鉴别信息的防假冒和防重用,并在远程管理时使用密码技术的机密性服务来实现鉴别信息的防窃听。.在访问控制方面,应当使用密码技术的完整性服务来保证细粒度访问控制信息的完整性和所有主体和客体敏感标记的完整性。
在审计记录方面,应当使用密码技术的完整性服务来实现对审计记录和重要程序的完整性检测。4.2.4应用安全
第四级应用安全基本技术要求在身份鉴别、访问控制、审计记录和通信安全方面应当使用密码技术。
在身份鉴别方面,应当采用密码技术来实现组合鉴别,使用密码技术的真实性和机密性服务来实现鉴别信息的防重用、防冒用、防泄露,保证应用系统用户身份的真实性;
在访问控制方面,应使用密码技术的完整性服务来保证主体对客体访问控制信息和敏感标记的完整性。
在建立安全的信息传输路径过程中,应当使用密码技术的真实性服务来实现通信主体身份鉴别,并综合使用密码技术的机密性和完整性服务来建立安全通道。
在审计记录方面,应使用密码技术的完整性服务来对审计记录进行完整性保护。
在通信安全方面,应当使用密码技术的完整性服务来保证通信过程中数据完整性;
应当使用密码技术的真实性服务来实现通信双方会话初始化验证;应当使用密码技术的机密性服务来实现对通信过程中整个报文或会话过程加密保护;应当使用密码技术的抗抵赖服务来提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。4.2.5数据安全及备份恢复
第四级数据安全及备份恢复基本技术要求在数据传输安全、数据存储安全和安全通信协议方面应当使用密码技术。
在数据传输安全方面,应使用密码技术的完整性服务来实现对系统管理数据、鉴别信息和重要业务数据在传输过程中完整性的检测;应使用密码技术的机密性服务来实现系统管理数据、鉴别信息和重要业务数据的传输机密性。
在数据存储安全方面,应使用密码技术的完整性服务来实现对系统管理数据、鉴别信息和重要业务数据在存储过程中完整性的检测;应使用密码技术的机密性服务来实现系统管理数据、鉴别信息和重要业务数据的存储机密性。
在安全通信协议方面,应综合使用密码技术的真实性、完整性和机密性服务来建立安全通信协议。
第五篇:商用密码产品品种和型号申请材 料(通用产品类)
附件1
商用密码产品品种和型号
申请材料
(通用产品类)
项目名称:
申报单位:
(加盖单位公章)
****年**月**日
编制说明
1.本材料由产品研制单位组织编写并提交,包括商用密码产品品种和型号申请书、技术工作总结报告、安全性设计报告、用户手册及密码检测材料共5个部分。
2.编写要求:
(1)语言规范、文字简练、重点突出、描述清晰、内容全面、附件齐全;
(2)采用A4幅面,上边距2.5厘米,下、左、右边距均为2厘米;正文内容宋体四号字,1.5倍行距,标题加黑并可适当增加字号;各部分应单独编排目录和页码;
(3)涉及到的外文缩写要注明全称,采用的商用密码产品应给出准确完整的型号;
(4)材料内容不得涉及国家秘密;
(5)材料中有关描述应与产品最新状态保持一致;
(6)安全性设计报告“安全性设计”中如产品不涉及相关内容,可不予描述。
3.提交要求:
(1)简易胶装并使用彩色纸张隔开各部分,加盖单位公章,同时提交电子版光盘;
(2)一式2份,国家密码管理局和研制单位所在省(区、市)密码管理部门各一份。
(3)涉及落款日期应以材料最后提交时间为准。
目录
1、商用密码产品品种和型号申请书
2、技术工作总结报告
3、安全性设计报告
4、用户手册
5、密码检测材料
商用密码产品品种和型号申请书
一、抬头:XX省(区、市)密码管理局并报国家密码管理局
二、申请事由
三、联系人、联系电话
四、单位落款及日期(加盖公章)
技术工作总结报告
目录
1.项目概述..............................................1 2.研制背景和意义........................................1 3.主要研制过程..........................................1 4.设计原则..............................................1 5.组成框图..............................................1 5.1 硬件组成.........................................1 5.2 软件组成.........................................1 6.工作原理..............................................2 6.1 主要功能实现原理..................................2 6.2 主要组成部分工作原理..............................2 7.工作流程..............................................2 7.1 主要工程流程......................................2 7.2 工作状态转换......................................2 8.关键技术及创新点......................................2 9.国内外同类产品比较....................................2 10.逻辑框图和电路原理图...............................3 11.主要器件及说明.....................................3 12.主要技术指标.......................................3 13.主要开发人员名单...................................3 附件1印制版图及实物图...................................4
I 附件2软件流程图.........................................5 附件3程序清单...........................................7 附件4第三方出具的例行试验和环境适应性等报告.............8 附件5安全性审查阶段意见及处理情况说明...................9 附件6产品一致性承诺书..................................11
II 1.项目概述
简述产品的基本组成、主要功能、遵循标准、采用的密码算法和已经审批的商用密码产品及型号等,以拓扑图等形式展现应用领域或典型应用场景,并附有产品清晰照片和软硬件版本号截图。
2.研制背景和意义
简明扼要、实事求是的对产品进行需求分析,及其在信息安全领域中所处的地位、所起的作用、目标市场和预期经济效益分析等。
3.主要研制过程
研制工作组织实施情况,如采取的质量、进度管理措施;硬件开发、软件开发、硬件组装和测试环境;分阶段描述工作进度并细化到年月,以及各阶段遇到的主要困难和解决办法。
4.设计原则
阐述产品设计、研制过程中在标准化、创新性、可靠性、可操作性、兼容性、适用性、易用性、经济效益等方面的主要考虑和遵循的原则。
5.组成框图
5.1 硬件组成
以逻辑框图形式给出产品的硬件组成,并简要描述每个功能模块或部件的功能、作用及其相互之间的关系。
列出产品每个硬件组成部分的技术研发情况,如自主研发、直接购买、购买后定制等,以及产品硬件组成部分的国产化率。如为自主研发,应明确其功能作用;如为直接购买,应给出生产厂家和型号;如为购买后定制,应给出对原产品的改动之处。
5.2 软件组成
以逻辑框图形式给出产品的软件组成,并简要描述每个功能模块
从技术指标、运维管理、应用功能、标准化等方面与主流产品进行比较,可采取表格形式。
10.逻辑框图和电路原理图
给出产品详细的软件架构图,电路设计原理图,应保证提供图片的完整清晰,主要元器件或部件应清晰可辨。
11.主要器件及说明
以表格形式列出产品所采用的主要元器件、软硬件模块、IP核、产品设备的名称、型号、数量、生产商(含国别)和主要技术参数。
12.主要技术指标
主要包括性能指标(如加解密速率、签名/验证速率、存储容量、响应时间等)、可靠性参数(如MTBF、使用寿命等)、物理特性(如外形尺寸、重量等)、电气特性(如总线形式、工作电源、功耗、电磁屏蔽效能等)、环境参数(如温度、湿度、大气压等)。
13.主要开发人员名单
以表格形式给出产品主要开发人员基本情况,如姓名、毕业院校、学历、专业、工作年限、职称/职务及在本产品研发过程中的职责,至少应包括项目经理、架构设计、软件开发、硬件开发、测试等人员。
附件:1.印制版图及实物图
2.软件流程图
3.程序清单
4.第三方出具的例行试验和环境适应性等报告
5.安全性审查阶段意见及处理情况说明
6.产品一致性承诺书
附件2
软件流程图
产品主要功能和主控程序的软件流程图。
附件4
第三方出具的例行试验和环境适应性等报告
根据产品对应技术规范对环境适应性检测的要求,以及研制单位声称的关键环境参数,提供由第三方检验检测机构出具的产品环境适应性、可靠性等指标的检测报告复印件,并加盖研制单位公章。
附件6
产品一致性承诺书
国家密码管理局:
我单位保证所提交材料的真实性和准确性,并郑重承诺:
1.本申报材料描述的所有内容与实际产品是一致的,且在产品测试/检测、资料审查、安全性审查等环节始终保持本申报材料以及其他送检相关材料与实际产品的一致性。
2.产品使用了XXX等商用密码产品,含有XXX等密码算法,支持XXX等密码算法,遵循XXX等密码行业标准,与将来实际生产销售的产品是一致的。
3.提供的密码源程序编制是正确的,与产品中实际运行的程序是一致的。
4.本申报材料及其对应产品不包含其他任何组织或单位的知识产权或已通过合法方式取得。
如违反上述承诺,我单位自愿承担包括法律责任在内的一切后果。
XXX单位(盖章)
****年**月**日
1源、版本号和安全增强措施。
(6)硬件安全
针对常见的各类物理攻击手段,实现的各类静态安全保护和运行时动态防护措施,包括上电、复位和运行中的硬件、密码算法、随机数自检方式和检查内容,掉电保护及电磁兼容性措施,以及防窥探、防拆卸、防解剖等物理防护措施。
(7)应用安全
描述针对产品主要业务安全需求进行的硬件、业务流程、数据格式、使用方式等方面的安全性设计。
(8)运行安全
描述数据备份及恢复、服务连续性保障措施,本地或远程管理的安全措施;以及产品运行环境的安全防护设计;描述日志审计的设计策略,记录信息的主要类型和主要内容等。
(9)研发生产管理安全
描述产品的软硬件开发、测试、生产、制造环境,人员管理,制度建设、质量和服务保障等安全性相关措施。
(10)其他安全性设计
3.安全性分析与评估
针对安全性需求分析,结合产品采取的安全性设计,分析产品达到的实际目标,并与预期的安全性设计总体目标进行评估。
密码检测材料
密码检测所需材料请访问国家密码管理局商用密码检测中心网站(http://www.xiexiebang.com)下载填写。
如有下载、填报等问题,请咨询010-83298576。