注册

国家标准计划《信息安全技术 信息系统密码应用测评要求》由 TC260(全国信息安全标准化技术委员会)归口 ,主管部门为国家标准化管理委员会

主要起草单位 国家密码管理局商用密码检测中心中国科学院数据与通信保护研究教育中心公安部第三研究所等

目录

基础信息

计划号
20210987-T-469
制修订
制订
项目周期
24个月
下达日期
2021-04-30
申报日期
2020-08-16
公示开始日期
2021-01-15
公示截止日期
2021-01-29
标准类别
安全
国际标准分类号
35.040
35 信息技术、办公机械
35.040 字符集和信息编码
归口单位
全国信息安全标准化技术委员会
执行单位
全国信息安全标准化技术委员会
主管部门
国家标准化管理委员会

起草单位

目的意义

《密码法》第二十七条明确要求:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。

”这为开展密评提供了明确的法律依据,同时也赋予了严格的法定责任。

做好密评工作,是推动《密码法》贯彻落实,构建网络空间密码保障体系的重要举措。

密评作为一种法定职责工作,同时也是一项严谨的技术活动,需要符合国家法律法规及政策标准的要求。

为保证整个密评工作的科学性、公正性、有效性,必须建立一套完备的标准体系。

但是现有的标准体系并不能很好地满足密评工作的实际需求,目前仅有密码行业标准GM/T 0054《信息系统密码应用基本要求》于2018年发布,但是它无法具体指导密评工作的具体开展,迫切需要测评相关标准,确保密评工作的科学性、公正性和客观性,避免由于技术人员的水平差距对密评工作造成不良影响。

范围和主要技术内容

本标准规定了信息系统第一级到第四级的密码应用的测评要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术测评要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用管理测评要求。本标准适用于指导、规范信息系统密码应用在规划、建设、运行环节的商用密码应用安全性评估工作。 主要技术内容包括以下四方面: 技术测评部分:(1)密码基本技术要求,包括密码功能要求、密钥管理要求、密码配置策略要求、密码实现机制和密码安全防护要求;(2)公安等级保护中涉及的密码应用技术要求,包括物理环境、通信网络、区域边界、计算环境、安全管理中心等层面涉及的密码技术要求。 管理测评部分:主要考虑针对各级信息系统密码应用安全管理目标、管理要求、管理一致性验证等进行研究。 测评方法研究:针对信息系统涉及的常用密码技术加以分类研究,包括且不限于加密、消息鉴别码、密码校验函数、散列函数、数字签名、动态口令、数字证书、可信时间戳等。该研究可为制定不同要求项的测评方法提供基础和思路。 测评结果的判定:不仅需要研究单项测评的结果判定,还需考虑将多层次化的单项测评结论推演出一个全局性的测评结论的原则。本项目拟就国内外各种主流判断方法进行反复研究比较,结合商用密码技术的特点,形成能够完全反映密码技术是否满足相关要求的判断方法。