搜索
0网络安全监管密码服务技术——作用为密码的有效应用提供技术支持一般密码服务系统由密码芯片、密码模块、密码机或软件、密码服务接口构成密码服务系统以独立的形式,提供各种安全服务,并具备完善的安全机制以及规范的编程接口1网络安全监管密码服务技术——要求安全要求采用可信计算机具备设别安全和敏感信息保护机制关键设备的真实性鉴别具备完善的密钥管理机制符合工业标准提供日志审计及统计服务支持检测响应系统的统一检测支持安全管理系统的统一管理2网络安全监管密码服务技术——要求功能要求密钥管理服务数字证书管理服务数字证书运算:提供证书签发和验证等基本的证书运算服务功能数据加解密运算数字签名运算数字信封消息摘要和完整性验证3网络安全监管密码服务技术——组成密码芯片密码运算单元,通常支持单一或组合的密码运算及密钥输入,具有专有的通信接口协议或口令等安全保护措施,并具备基本的自身防护机制。密码模块具备完整安全功能及服务的加密卡、高度集成的安全芯片等,通常集成了密码运算单元、噪声源、密码协议、密钥管理等功能,能够提供一种或多种安全中间件下层密码服务接口接入。通常用于VPN、链路密码机、客户端密码服务设备等各种密码服务设备。4网络安全监管密码服务技术——组成客户端密码服务设备提供终端密码服务。具有便携式、功能齐全、成本低等特点,便于大规模使用和移动办公。通常具备通用的密码运算单元、密钥管理、用户证书管理、安全管理等部件,能够支持应用系统客户端的各项安全应用服务器端密码服务设备为密钥管理基础设施(KMI)、公开密钥基础设施(PKI)、安全管理设备、安全防护设备等提供性能稳定、功能强大的安全服务设备。具备完善的自身防护、密钥管理、证书管理以及安全管理机制。5网络安全监管密码服务技术——使用密码服务系统所使用的安全模块和密码设备,均应严格按照国家相关主管部门的有关规定,采用经国家相关部门批准的密码产品各种密码服务系统提供不同的算法和协议支持,策略库根据国家密码主管部门要求设置,用户可以在策略库的规定范围内,灵活地选择并配置合适的密码算法及其协议。对关键的密码服务系统,必须采用统一的安全管理策略6网络安全监管密码服务技术——使用一般地,一个实际的应用系统会涉及以下几个方面的密码应用:数字证书运算:提供对数字证书的产生、签发和验证运算密钥加密运算:提供密钥的安全传输和存储的加解密运算数据传输加密运算:提供数据安全传输加密和解密运算数据存储:提供数据安全存储的加密和解密运算数字签名:提供对数据的签名和签名验证等运算消息摘要与验证:提供对消息进行摘要运算及完整性验证运算数字信封:提供对数据的数字信封封装和解封装等运算7网络安全监管密码服务技术——密钥的配用与管理所有的密钥都要遵循严格的配用原则,包括最小特权原则、特权分散原则、最小设备原则、不影响系统正常工作的原则密钥管理涉及密钥生命周期的全过程,对不同的密钥类型采用不同的管理办法。8网络安全监管密码服务技术——密码服务系统接口CPI为密码服务相关的应用开发提供标准化的安全接口平台,根据不同密码载体,其提供形式多种多样。CPI主要以标准C/C++/C#提供9网络安全监管一、商用密码的涵义商用密码是指对不涉及国家秘密的信息进行加密保护或者安全认证所使用的密码技术和密码产品,是为确保商用信息安全而使用的一种技术措施。商用密码概述10网络安全监管二、商用密码的特征(一)商用密码的标准化特征商用密码作为实现网络安全的重要技术措施,广泛使用于商业和个人信息领域,考虑到商用密码的广泛适用性,要求加以标准化。标准化的商用密码具有以下特征:(1)信息的加密(置乱)能力。(2)密码算法和密码协议需经过严格论证和科学设计,具备抗攻击、抗破解能力。商用密码概述11网络安全监管(二)商用密码的专利保护一般意义上,商用密码的研发和生产需要通过申请专利加以保护。DES建立在IBM开发并拥有专利(Lucifer)的密码基础上。同样,在数字签名领域广泛使用的RSA箅法也是通过专利保护的,这一算法的专利保护已于2000年9月20日到期。商用密码概述12网络安全监管(3)商用密码和国家秘密内容的密码有不同的设计要求,商用密码要求具有互通性。(4)考虑到商用密码的可控性,商用密码算法设计和实现的商用应用应当公示,采用登记制度。(5)在某些必要或特定情形下,要求商用密码的解密(6)现存商用密码的兼容性和扩充性。主要是考虑密码升级后,以前用户的继续使用和密钥长度及算法强化的需要。商用密码概述13网络安全监管(三)商用密码的广泛用途商用密码是用于信息加密保护和安全认证的密码技术和密码产品,其主要用途在于:1.信息加密保护2.安全认证:数字签名商用密码概述14网络安全监管一、商用密码的研发商用密码产品是保护不涉及国家秘密的信息安全又为国家专控的特殊产品。这个特殊产品要求由指定单位按照统一的技术规范研制,以确保商用密码产品的安全性、可靠性和互通性。商用密码的研制开发体现国家密码管理部门与商用密码科研单位之间的“指定”关系。所谓“指定”关系,是指商用密码的研究开发项目只能由国家密码管理部门所认可的单位承担,未经国家密码管理部门指定,任何单位不能从事商用密杩的研究开发。商用密码的研发管理15网络安全监管根据《商用密码管理条例》第五条的规定,被指定的商用密码科研单位必须具备以下条件:(1)具有相应的技术力量和设备;(2)具有先进的编码理论和技术;(3)编制的商用密码算法具有较高的保密强度和抗攻击能力。商用密码的研发管理16网络安全监管商用密码科研定点单位1、信息产业部数据通信科学技术研究所2、北京数安科技有限公司3、北京电子科技学院4、中国科学院数据与通信保护研究教育中心5、江南计算技术研究所6、成都卫士通信息产业股份有限公司7、济南得安计算机技术有限公司……商用密码的研发管理17网络安全监管二、商用密码成果的审核、鉴定商用密码的科研成果,必须经过由国家密码管理部门组织专家按照商业密码技术标准和技术规范进行的审查、鉴定。未经审核、鉴定的商用密码科研成果不得进行生产和销售(《商用密码管理条例》第六条)。商用密码的研发管理18网络安全监管二、商用密码成果的审核、鉴定(一)鉴定组织者国家密码管理部门组织商用密码的审核鉴定。审核鉴定的组织者应当负责聘请国家信息安全专家,制定商用密码审核鉴定的技术标准、明确审核鉴定的法律依据、制定鉴定的程序和原则。商用密码的组织者对于鉴定结果应当作出明确的审核决定。商用密码的研发管理19网络安全监管二、商用密码成果的审核、鉴定(二)鉴定人员鉴定人员由国家信息安全专家,特别是密码专家组成信息安全专家参加商用密码鉴定应当取得国家密码管理部门的相应资格。鉴定资格表明鉴定人的信息安全技术能力,反映鉴定人的权利、义务和责任。商用密码的研发管理20网络安全监管二、商用密码成果的审核、鉴定(二)鉴定人员信息安全专家参加商用密码的鉴定活动,与一般意义的“技术咨询”不同。咨询者就具体技术所提出的咨询意见仅供委托人决策参考,委托人是否采纳咨询建议,由委托人自主决定,技术咨询者对委托人采纳咨询建议的法律后果,一般不承担任何责任。而商用密码的鉴定人取得鉴定资格,接受密码管理部门的委托,应当坚持诚实信用,积极、谨慎、忠实地对商用密码作出正确的鉴定。因鉴定人的过错,对“缺陷”商用密码作出肯定的结论,应当承担相应的法律责任。商用密码的研发管理21网络安全监管二、商用密码成果的审核、鉴定(三)鉴定原则商用密码的鉴定结论关系到国家安全和社会公共安全,也关系到信息系统使用单位的合法利益,因此国家密码管理部门组织商用密码的审核鉴定,必须遵循一定的“鉴定原则”。商用密码的研发管理22网络安全监管二、商用密码成果的审核、鉴定(三)鉴定原则1法制原则法制原则是商用密码审核鉴定的基本原则。审核鉴定必须严格依照法律的规定,对商用密码的科技成果进行审核鉴定。法制原则既包括审核鉴定程序的台法性,也包括审核鉴定人员资格的合法性,还包括商用密码审核鉴定组织活动的合法性。商用密码的研发管理23网络安全监管二、商用密码成果的审核、鉴定(三)鉴定原则2不公开原则不公开原则是商用密码审核鉴定的基本要求。商用密码由国家专控,属于国家秘密,商用密码审核鉴定过程中必然要了解商用密码的技术细节。审核鉴定过程的不公开原则,符合国家秘密保护的基本要求。商用密码的研发管理24网络安全监管二、商用密码成果的审核、鉴定(三)鉴定原则3利益规避的原则商用密码不仅属于国家秘密,商用密码还涉级到商用密码科研单位的商业利益。因此,鉴定成员不能为担任其他商用密码科研单位的主要技术人员和主要领导人。(四)审核决定国家密码管理部门根据鉴定的结论,应当及时作出“批准生产”和“不许生产”的决定商用密码的研发管理25网络安全监管一、商用密码的生产国家对商用密码的生产实行专控管理。商用密码产品由国家密码管理机构指定的单位生产,未经指定,任何单位或者个人不得生产商用密码产品(《商用密码管理条例》第七条)商用密码的生产管理26网络安全监管被指定的商用密码生产单位应当具备下列条件:(一)商用密码生产单位必须取得生产商用密码的资格商用密码的生产单位为国家密码管理部门的指定单位,只有经过国家密码管理部门的指定,才能从事商用密码的生产指定生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准.并不得超过批准范围生产商用密码产品(《商用密码管理条例》第八条)。(二)商用密码生产单位必须具有相应技术力量商用密码的生产管理27网络安全监管二、商用密码的检测检测是商用密码产品进入流通销售之前的关键环节。检测是对商用密码产品质量的认可,是商用密码产品质量控制的法律要求。根据我国《商用密码管理条例》第九条的规定,商用密码产品必须经国家密码管理机构指定的产品质量检测机构检测合格,未经检测合格,不得销售。商用密码的生产管理28网络安全监管二、商用密码的检测(一)商用密码检测机构商用密码检测机构必须取得国家密码管理部门的检测资格。检测机构应当具备下列条件:(1)具有商用密码产品的检测接术设备;(2)具有商用密码产品的检测技术人员。商用密码的生产管理29网络安全监管二、商用密码的检测(二)检测报告商用密码检测机构对于所检测分析的商用密码必须出具检测报告。检测报告应当作出所检测商用密码产品是否“合格”的结论。商用密码的生产管理30网络安全监管二、商用密码的检测(三)商用密码产品检测机构的义务商用密码产品检测机构应当以诚实信用为原则,积极、谨慎、忠实地履行职责。对于检测申请人的商用密码技术秘密负有保密的义务。商用密码的生产管理31网络安全监管一、商用密码销售许可证制度概述销售许可证制度是我国互联网络信息系统安全的重要保障制度。商用密码作为特殊的安全专用产品,国家对商用密码的管理实行专控管理。商用密码产品由国家密码管理机构许可的单位销售。未经许可,任何单他或者个人不得销售商用密码产品(《商用密码管理条例》第十条)。进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准,任何单位或者个人不得销售境外的密码产品(《商用密码管理条例》第十三条)。商用密码的销售管理32网络安全监管二、商用密码销售许可证的申请商用密码销售单位取得销售许可证,必须向国家密码管理机构进行申请。申请人应当递交下列文件:(1)申请人有独立的法人资格,并提交法人营业执照副本;(2)商用密码产品的检测结果报告;(3)申请人具有熟悉商用密码产品知识和承担售后服务人员的资质证明;(4)申请人有完善地销售服务和安全管理规章制度(《商用密码管理条例》第十一条)。商用密码的销售管理33网络安全监管三、商用密码销售许可证的审核、颁发密码管理机构对于申请人递交的文件进行审核。经审查合格的单位,由密码管理机构发给商用密码产品销售许可证。商用密码的销售管理34