学习&&转载文章:「密码产品二级与三级的区别」
随着数据要素市场化,密码产业也将长期保持稳定增长,密评也是密码产业增长重要的合规工作,政企、金融等信息系统也加大密码建设,以满足评分要求。密评当前覆盖范围包括等保三级及以上信息系统、关键信息基础设施等。根据密评相关产品需求,在各种密码应用中,均需要密码板卡、整机等基础产品;也包括数字证书、VPN等应用产品。
那么在密评技术要求物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全中都提到“以上采用的密码产品,应达到 GB/T 37092 一级/二级/三级及以上安全要求”,在此肯定有人问,这个等级由谁来定?指的是哪些密码产品等等,今天就带大家剖析商用密码产品的安全等级。
GB/T 0028-2014规定了从安全一级到安全四级四个安全要求递增的安全等级。
安全一级是基础级,提供了最低等级的安全要求。
安全二级是在安全一级的基础上增加了拆卸证据、基于角色的鉴别等功能要求,可以抵抗使用简单工具的主动攻击,但其安全应当由操作员负责,只能用于保护价值一般的数据。
安全三级是在安全二级的基础上,增强了物理安全、身份鉴别、环境保护、非入侵式攻击缓解、敏感参数管理等安全机制,可以抵抗使用简单工具的中等强度攻击,在无保护运行环境下,安全三级密码模块可用于保护价值较高的数据。
安全四级是标准中的最高安全等级,包括安全一级、安全二级、安全三级中的所有的安全特性,并增加了一些扩展特性,可以抵抗使用特制工具的高强度长时间攻击。
在GM/T 0028-2014《密码模块安全技术要求》、GB/T 37092-2018 《信息安全技术 密码模块安全检测要求》标准中,规定了从安全一级到安全四级四个安全要求递增的安全等级。
GM/T 0008-2012《安全芯片密码检测准则》将安全芯片分为从一级到三级安全性逐次增强的3个等级
从密码模块规格、密码模块接口、角色、服务和鉴别、运行环境等11个安全方面进行安全分级。
市场监管总局和国家密码管理局发布的《商用密码产品认证目录》明确规定了密码模块标准适用的密码产品类型,其他产品(如安全芯片,密码系统类产品等)则不依据密码模块标准进行检测和认证。需要注意的是,虽然密码系统类产品(如电子门禁系统、CA/KM系统、电子签章系统等) 不适用于密码模块标准,但作为系统组件的密码产品(如密码机、密码卡等) 则适用于密码模块标准,也需要在密评时依据这些密码产品的密码模块安全等级进行判定。
截止目前,全国有安全二级密码产品的有727家单位,产品涉及1193款,安全三级密码产品的有9家单位,产品涉及10歀,因产品数量较多,以下只列出TOP10,仅供参考。
三未信安科技股份有限公司是国内拿到了首款安全三级密码卡厂商,作为国内首款安全三级密码模块,具备SR-IOV虚拟化功能,为云中加密场景提供更多选择;SM4加密可提供高达22Gbps的运算能力。
江南天安依据国密局、工信部、公安部等主管单位的相关标准规范,自主研发的符合GM/T 0028-2014 《密码模块安全技术要求》第三级要求的新一代密码设备产品,具有完全独立知识产权并获得多项专利证书。
合规性:获得商用密码产品认证证书。
安全性:符合GM/T 0028-2014 《密码模块安全技术要求》第三级要求。支持开盖自毁;支持防非入侵安全;提供环境失效保护。
可靠性:密码芯片、随机数发生器、电源等主要器件采用多路硬件冗余设计,保障系统的稳定性和连续性。
标准化:开发接口支持所有主流标准规范,为与应用的对接提供保障。
定制化:根据用户的应用需求,灵活定制接口类型。
信大捷安IPSec VPN安全网关基于国密硬件密码模块实现了身份认证、安全通道建立和数据安全传输的核心功能,采用传统IPSec会话密钥和量子密钥技术。
VPN安全接入:使用密码技术和VPN技术,保障接入网中传输数据的安全,防止信息泄密或被非法篡改。采用商用分组密码SM4算法对应用数据包加密,采用HMAC算法对传输内容进行完整性保护。
身份认证:支持VPN远程接入认证和主机登录认证。VPN远程接入认证提供客户端网关和服务端网关之间的双向身份认证功能;主机登录认证采用双因子认证,支持三权分立模式。
访问控制:支持对远程接入的用户实施基于安全策略的安全防护,提供允许、拒绝、隧道三种访问控制策略,可根据需要自行配置访问控制策略和处理行为,保障内部网络的安全。
安全审计:支持日志生成与日志管理功能,提供安全审计能力,以备事后追溯。
安全管理:实时监控网络状态、流量、通道接入状态,支持对设备、数据、角色、量子密钥的安全管理,为管理员提供便捷的运维服务,保障运维安全。