GM国密及密评相关制度

已于 2022-09-07 20:43:12 修改
阅读量371 收藏
点赞数
文章标签: 密码学
于 2021-01-05 21:51:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq237696047/article/details/108126125
版权

国密及密评相关制度

欢迎学习密码知识

一、国密类型

在这里插入图片描述

二、密码相关政策标准总览

法律

相关法律发布日期
网络安全法2017年6月1日
密码法2020年1月1日
数据安全法2021年9月1日
个人信息保护法2021年11月1日

法规政策

相关法规政策发布日期
商用密码应用安全性评估管理办法(试行)2017年
商用密码管理条例2020年8月20日
商用密码应用安全性测评机构管理办法(试行)2017年9月27日
商用密码应用安全性测评机构能力评审实施细则(试行)2017年9月27日
促进商用密码产业高质量发展的若干措施2021年
信息安全等级保护商用密码管理办法2007年11月27日

国标

相关国标发布日期
信息安全技术信息系统密码应用基本要求GB/T 39786- -20212021年
信息系统密码应用设计技术要求征求意见稿2021年
信息系统密码应用测评要求征求意见稿2021年

行标

相关行标发布日期
信息系统密码应用基本要求GM/T 0054- 20182018年
信息系统密码应用测评要求GM/T 0115- -2021.2021年
信息系统密码应用测评过程指南.GM/T 0116- -20212021年

指导性文件

密评工作
相关指导性文件发布日期
商用密码应用安全性评估2018年
商用密码应用安全性评估行业自律公约2021年
商用密码应用安全性评估量化评估规则2021年12月17日
政务信息系统密码应用与安全性评估工作指南2020年9月24日
商用密码应用安全性评估报告模板(2021版)2021年12月17日
信息系统密码应用高风险判定指引2021年12月17日
密评机构
相关指导性文件发布日期
商用密码应用安全性评估机构能力要求和评价规范(报批稿)-
商用密码应用安全性评估监督检查规范(送审稿)-
密评行业
相关指导性文件发布日期
信息系统密码安全管理体系(送审稿)-
工业控制系统密码应用技术要求(送审稿)-
密评人员
相关指导性文件发布日期
密码技术应用员国家职业技能标准(征求意见稿)2021年9月23日
密评实施
相关指导性文件发布日期
信息安全等级保护商用密码技术实施要求2009年
信息系统密码应用实施指南(报批稿)-

三、为什么做密评

《密码法》第二十七条规定:运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
《密码法》第三十七条规定:关键信息基础设施的运营者未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

四、什么是商用密码应用安全性评估

商用密码应用安全性评估,指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

五、密评合规性、正确性、有效性的含义

合规性-密码算法、密码协议、密钥管理、密码产品和服务使用合规

1.按照《商用密码管理条例》等密码使用要求,使用符合国家密码法规和标准规定的商用密码算法,使用经过国家密码管理局审批的密码产品或服务
2.按照《信息系统密码应用基本要求》等标准,进行密码应用建设方案设计

正确性-密码算法、密码协议、密码管理、密码产品和服务使用正确

1.系统中采用的标准密码算法、协议和密钥管理机制按照密码国家和行业标准进行正确设计和实现
2.自定义密码协议、密钥管理机制的设计和实现正确,符合相关标准要求
3.密码保障系统建设或改造过程中密码产品和服务的部署和应用正确
4.密码应用安全立足系统安全、体系安全、动态安全

有效性-密码算法、密码协议、密码管理、密码产品和服务使用有效

1.信息系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制不仅设计合理,
2.在系统运行过程中能够发挥密码效用,保障信息的机密性、完整性、真实性、抗抵赖性

六、密评5个工作流程

1.测评准备

  • 系统信息收集
  • 应用方案调研

2.方案编制

测评对象与指标确定
测评内容确定
测评工具接入点确定
测评工具和表单准备

3.现场测评

现场测评准备
问题整改与回归测评
现场测评和结果记录
结果确认与资料归还

4.分析及报告编制

单项测评结果判定
整体测评与风险分析
单元测评结果判定
测评结论与报告编制

5.出具报告

密码应用安全性测评报告

七、密评原则及内容

1、评估原则:

遵循商用密码管理政策和GB/T39786-2021《信息系统密码应用基本要求》、《信息系统密码测评要求》等相关密码标准的要求,遵循独立客观、公正的原则。

2、评估内容:

主要对物理和环境、网络和通信、设备和计算、应用和数据、密钥管理以及安全管理等六个方面进行测评。

Me4神秘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Wireshark-win32-2.9.0(国密版密评抓包工具)
10-21
国密版密评抓包工具Wireshark-win32-2.9.0,用于软件系统商密测评抓包时使用。Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
密评经验分享(将近75分高分通过)
hoaxxcj的博客
02-20 1775
附录3 选取政务信息系统中常见的电子公文处理系统,选择最小业务场景,提炼基本密码应用需求,设计了一个精简版的密码应用方案示例,在密码应用流程、密钥管理、安全管理、实施保障等方面较为简略,可为各单位编写密码应用方案提供思路参考,实际工作请结合附录 1,依据项目实际设计编制密码应用方案。”全称“密码应用安全性评估”,是指在采用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。简单地说,就是对使用了商业密码的系统进行评估,从而确保其密码应用的合规、正确、有效。
探索 GM 加密:一种高效安全的数据保护方案
gitblog_00014的博客
04-23 376
探索 GM 加密:一种高效安全的数据保护方案 项目地址:https://gitcode.com/wcnwyx/gm-encryption 在数字时代,数据安全成为至关重要的问题。GM 加密是一个开源项目,旨在提供强大的加密能力,以保护用户的隐私和信息安全。本文将深入探讨这个项目的背景、技术原理、应用实例及其独特特点。 项目简介 GM 加密是由开发者 wcnwyx 创建的一个轻量级加密库,它实现了国...
什么是密评密评有哪些流程?
weixin_53018687的博客
04-10 1497
被测评单位编制项目计划书,提供基本资料,如管理架构、技术体系、运行情况、各种密码安全管理制度相关管理记录等,填写系统调查表,调查被测系统的基本信息、行业特征、密码管理策略、网络及设备部署情况,以供测评人员和机构初步了解被测信息系统的实际情况。根据政策基本要求,确定测评对象和测评指标,合理选择测试接入点,分析系统内部算法、密码协议应用的合规性和正确性,整理测评准备阶段中获取的信息系统相关资料,为现场测评提供基本的文档和指导方案,并最终绘制成密码测评方案。密码服务:用的密码服务应通过国家密码管理部门许可。
GMSM —— 国密简介、概念(SM1-9)、ZUC祖冲之算法
热门推荐
The_Reader的博客
11-12 1万+
国密算法介绍 国密算法是国家商用密码管理办公室指定的一系列的密码标准,即已经被国家密码局认定的国产密码算法,又称商用密码(是指能够实现商用密码算法的加密,解密和认证等功能的技术),保障在金融,医疗等领域的信息传输安全。 国密算法可分为对称算法和非对称算法,对称算法包括了SM1,SM4,SM7,祖冲之密码(zuc),非对称算法包括SM2,SM9。还有SM3是哈希算法,SM1和SM7对外是不公开的...
密码法和密评工作资料整理
u011893782的博客
10-29 4180
法文链接 一、重点解读 1、为什么要制定密码法? 密码是国家重要战略资源,直接关系国家政治安全、经济安全、国防安全和信息安全,制定一部密码领域综合性、基础性法律,十分必要。 核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构及其工作人员开展密码工作的保障措施等,都需要通过国家立法予以明确。 近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥越来越重要的作用,...
《商用密码应用与安全性评估》第二章 商用密码应用与安全性评估政策法规-删减版小结
Hyacinth12138的博客
08-14 1万+
前言:为了这篇博文能够合规的发布,删减该章节中法律法规部分 深化商用密码管理改革,强化商用密码自主创新,推进商用密码合规、正确、有效应用,是新时期商用密码发展面临的重要任务 密码是国家重要战略资源,是保障网络和信息安全的核心技术和基础支撑,是保护国家安全的战略性资源 国际网络空间安全形势: 网络空间安全纳入国家战略 网络攻击在国家对抗中深度应用 网络攻击已逐步深入网络底层固件 国内网络空间安全形势: 核心技术受制于人的局面没有的到根本改变 信息产品存在巨大安全隐患 关键信息基础设施安全防护
密码学习记录-任务一
weixin_44113469的博客
02-18 626
任务一 1.古典密码 1.1编码方法种类 置换和代(替)换 把明文中的字母重新排列,字母本身不变,但其位置改变了,这样编成的密码称为置换密码。最简单的置换密码是把明文中的字母顺序倒过来,然后截成固定长度的字母组作为密文。 代换密码则是将明文中的字符替代成其他字符。 1.2置换密码 列置换 加密:将明文按固定长m分组,即每行m个字母,在密钥控制下按某一顺序交换列,最后按列优先的顺序依次读出,即产生了密文。解密:逆过程。 周期置换 同列置换,不同是加、解密时,在列交换后是按行优先的顺序向下进行。 举例: 列置换
国密简介
jiangwei0512的博客
11-06 1万+
关于国密的一些信息介绍。
iOS国密sm2加密、签名
02-25
最近公司要求使用国密sm2加密、签名,在网上找了好多,要么加密好用,要么签名好用,搞了半个月,很难受,终于完成了
《国密算法》--国密算法加密.zip
03-06
个人实战积累的成果,基于国密算法的总结,希望可以帮到您 亲们下载我任何一个付费资源后,即可私信联系我免费下载其他相关资源哦~ 个人实战积累的成果,基于国密算法的总结,希望可以帮到您 亲们下载我任何一个...
C#实现SM2国密加密
06-09
C#实现SM2国密加密
国密加密解密工具
12-10
支持各种国密算法,例如:SM2,SM3,SM4, 还支持其它算法比如:3DES,MAC,AES,RSA; 还包含数据转换比如:ASCII和十六进制的互相转化, 非常值得分享的一个软件。
密码学基础-Hash、MAC、HMAC 的区别与联系
最新发布
wangyx1234的博客
07-21 579
本文主要介绍 Hash、MAC、HMAC 的联系与区别,层层递进地描述了如何增加数据的安全性。本文还介绍了长度扩展攻击的基本实现原理,HMAC 算法通过执行两轮 Hash 运算对抗这种攻击。hash只能验证数据完整性,无法保证数据防篡改,计算过程无密钥参与。MAC既可以验证数据完整性,也可以验证数据是由原始发送方发出的,计算过程有密钥参与,使用对称加密算法构造。
密码学——Hash函数
CCC_B的博客
07-19 347
哈希函数的输入和输出并不是一一对应的,如果两个哈希值相同,那么对应哈希值的输入可能是相同的,也可能是不同的。但是一个好的哈希函数应当是难以找到碰撞的(找到两个不同输入,使得输出的哈希值相同)假设一组随机数的位数是q,哈希函数的输出具有b位,且随机数中有一个是我们要寻找的值。① hash函数的一个基本特性是,如果两个哈希值不同,那么这两个哈希值的输入是不同的。而相同的输入,得到的hash值夜应该是相同的。根据公式,我们可知,找到原像的概率随着尝试的次数增加,而找到碰撞的概率随着尝试次数的平方而增加。
密码学原理精解【8】
应用数学
07-17 849
信息学中的熵,特别是在信息论中,用于量化信息的不确定性或随机性。熵的计算是基于随机变量的概率分布来进行的。HX−∑i1nPxilog⁡2PxiHX−i1∑n​Pxi​log2​Pxi​))]其中,X 表示随机变量,n 是 X可能取值的总数,PxiP(x_i)Pxi​是 X取值为xix_ixi​的概率,log⁡2\log_2log2​表示以2为底的对数。
ASP窗帘销售网站平台设计(源代码+论文).rar
07-21
ASP窗帘销售网站平台设计(源代码+论文)
python《全国大学生数学建模竞赛2019年C题-机场的出租车问题》+源代码+论文+爬虫数据
07-21
<项目介绍> - 关键词:排队论 动态规划 网络爬虫 循环遍历算法 收益差值模型 时间消耗评估 模型 - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
国密四加密解密 jar
10-19
国密四加密解密 jar 是指用于进行国产密码算法的加密和解密操作的 Java 可执行文件(.jar)。 国密四是指国家密码局发布的国家商用密码算法标准,也称为 SM4。该算法是对称加密算法,使用相同的密钥进行加密和解密。 国密四加密解密 jar 提供了对 SM4 算法的封装和实现,使得开发者可以方便地在 Java 环境中进行 SM4 加密和解密操作。通过引入这个 jar 文件,开发者可以在自己的应用程序中调用相关的方法来实现数据的保护和解密。 使用国密四加密解密 jar,可以实现对敏感数据的保护。开发者可以将需要进行加密的数据传递给对应的加密方法,并提供密钥作为参数,jar 文件会根据 SM4 算法对数据进行加密处理。同样,解密方法也需要提供正确的密钥,jar 文件会对加密后的数据进行解密,还原出原始的明文数据。 国密四加密解密 jar 提供了一种方便且高效的加密解密解决方案,被广泛应用于各种信息安全领域。它可以用于保护用户密码、敏感个人信息、网络通信数据等,并且在数据传输、存储和处理过程中保持数据的机密性和完整性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值