安盟信息參與制定的安全隔離與信息交換產(chǎn)品密碼檢測(cè)規(guī)范正式實(shí)施
前言
針對(duì)信息安全產(chǎn)品的各項(xiàng)政策及標(biāo)準(zhǔn)相繼實(shí)施,為加強(qiáng)網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品安全管理,推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn),避免重復(fù)認(rèn)證、檢測(cè),網(wǎng)信辦、工業(yè)和信息化部等眾多相關(guān)部門(mén)聯(lián)合發(fā)布《關(guān)于調(diào)整網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品安全管理有關(guān)事項(xiàng)的公告》。
公告聲明自2023年7月1日起,《計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證》停止頒發(fā),產(chǎn)品生產(chǎn)者無(wú)需申領(lǐng)。
列入《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄》的網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品應(yīng)當(dāng)按照《信息安全技術(shù) 網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品安全技術(shù)要求》等相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后,方可銷(xiāo)售或者提供。
網(wǎng)信辦有關(guān)負(fù)責(zé)人在接受采訪時(shí)表示,安全認(rèn)證合格或者安全檢測(cè)符合要求,具有同等市場(chǎng)準(zhǔn)入效力,產(chǎn)品生產(chǎn)者不必重復(fù)申請(qǐng)測(cè)試。
在安全隔離與信息交換產(chǎn)品密碼檢測(cè)領(lǐng)域,由國(guó)家密碼管理局商用密碼檢測(cè)中心、北京安盟信息技術(shù)股份有限公司(簡(jiǎn)稱(chēng)“安盟信息”)等4家相關(guān)部門(mén)和單位參與制定,歸口密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)的《GM/T 0124-2022安全隔離與信息交換產(chǎn)品密碼檢測(cè)規(guī)范》(以下簡(jiǎn)稱(chēng)“標(biāo)準(zhǔn)”)于6月起正式實(shí)施。
標(biāo)準(zhǔn)的發(fā)布與實(shí)施主要影響到安全隔離與信息交換產(chǎn)品的檢測(cè),因?yàn)榘踩綦x與信息交換產(chǎn)品若要獲得國(guó)家信息安全產(chǎn)品認(rèn)證,前提是符合本標(biāo)準(zhǔn)要求并通過(guò)相關(guān)測(cè)試機(jī)構(gòu)檢測(cè)獲得檢測(cè)證書(shū)及報(bào)告,然后再由測(cè)試機(jī)構(gòu)依據(jù)《GB/T20279-2015 信息技術(shù) 網(wǎng)絡(luò)和終端隔離產(chǎn)品安全技術(shù)要求》檢查通過(guò)后才可獲得認(rèn)證。
標(biāo)準(zhǔn)由原檢測(cè)規(guī)范升級(jí)為行業(yè)標(biāo)準(zhǔn),規(guī)定了安全隔離與信息交換產(chǎn)品密碼的檢測(cè)內(nèi)容、檢測(cè)要求、檢測(cè)方法及文檔要求,檢測(cè)內(nèi)容由原來(lái)的3項(xiàng)調(diào)整為12項(xiàng),差異如下。
《GM/T 0124-2022安全隔離與信息交換產(chǎn)品密碼檢測(cè)規(guī)范》中涉及的其他標(biāo)準(zhǔn)主要:《GB/T 15843信息技術(shù) 安全技術(shù) 實(shí)體鑒別》《GB/T20279-2015 信息技術(shù) 網(wǎng)絡(luò)和終端隔離產(chǎn)品安全技術(shù)要求》《GM/T 0062 密碼產(chǎn)品隨機(jī)數(shù)檢測(cè)要求》《GB/T 32905 信息安全技術(shù) SM3 密碼雜湊算法》《GB/T 32907 信息安全技術(shù) SM4分組密碼算法》《GB/T 32918 信息安全技術(shù) SM2 橢圓曲線公鑰密碼算法》《GB/T 32915 信息安全技術(shù) 二元序列隨機(jī)性檢測(cè)方法》《GB/T 20279-2015 信息安全技術(shù) 網(wǎng)絡(luò)和終端隔離產(chǎn)品安全技術(shù)要求》。
新標(biāo)準(zhǔn)針對(duì)基本級(jí)和增強(qiáng)級(jí)進(jìn)行了明確嚴(yán)格的規(guī)定,基本級(jí)要求只需符合功能定義即可,增強(qiáng)級(jí)則要求更加嚴(yán)格并引用已發(fā)布的相關(guān)國(guó)標(biāo)。
如產(chǎn)品角色鑒別項(xiàng),基本級(jí)要求“應(yīng)設(shè)定有角色并具備響應(yīng)的檢測(cè)機(jī)制不同的訪問(wèn)或操作應(yīng)有不同的權(quán)限,產(chǎn)品應(yīng)拒絕任何不具備相應(yīng)權(quán)限的訪問(wèn)或操作,防止未經(jīng)授權(quán)的惡意人員登陸,破壞產(chǎn)品的安全性”,增強(qiáng)級(jí)要求“應(yīng)采用經(jīng)過(guò)國(guó)家商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證的智能密碼鑰匙等表征身份的硬件裝置,結(jié)合登錄口令實(shí)現(xiàn)多因素的鑒別機(jī)制;其中口令長(zhǎng)度應(yīng)大于6 位,口令應(yīng)至少包含數(shù)字、大小寫(xiě)字母,也可包含特殊字符。產(chǎn)品應(yīng)實(shí)現(xiàn) GB/T 15843 中規(guī)定的一種核準(zhǔn)的鑒別機(jī)制”。
網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品標(biāo)準(zhǔn)作為網(wǎng)絡(luò)安全產(chǎn)品保障體系建設(shè)的重要組成部分,在提升網(wǎng)絡(luò)安全保障能力、推動(dòng)網(wǎng)絡(luò)產(chǎn)品治理體系變革方面發(fā)揮著基礎(chǔ)性、規(guī)范性、引領(lǐng)性作用。未來(lái),安盟信息將始終秉持“讓萬(wàn)物互聯(lián)更簡(jiǎn)單、更安全”的愿景,堅(jiān)持以國(guó)家標(biāo)準(zhǔn)規(guī)范為基準(zhǔn),不斷加大關(guān)鍵核心技術(shù)攻關(guān),加速網(wǎng)安技術(shù)與應(yīng)用場(chǎng)景的深度融合,持續(xù)為用戶(hù)提供更專(zhuān)業(yè)的安全產(chǎn)品、解決方案,護(hù)航國(guó)家數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展!
提交
一站式全覆蓋|安盟信息助力建設(shè)云密碼服務(wù)運(yùn)營(yíng)體系
商用密碼產(chǎn)品|服務(wù)器密碼機(jī)的前世今生
創(chuàng)新商用密碼應(yīng)用|火力發(fā)電廠信息系統(tǒng)密碼應(yīng)用方案
攜手共赴未來(lái) 護(hù)航數(shù)智發(fā)展 新奧集團(tuán)與安盟信息簽署戰(zhàn)略合作
智慧礦山無(wú)人礦車(chē)密碼應(yīng)用解決方案