1、工控安全+安全工控商用密码法律法规及标准体系解读商用密码法律法规及标准体系解读商用密码安全专栏2工控安全+安全工控PART01PART01商用密码相关法律法规解读3商用密码法律标准已实现自上而下的体系化发展,尤其是密码法颁布以来,商用密码检测认证体系建立完善、商用密码应用安全性评估、商用密码进出口管理得以进一步规范和完善,为拓宽密码应用市场提供了有力保障。实施时间实施时间文件文件具体内容具体内容2020年1月1日中华人民共和国密码法第二十七条:运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估
2、应当与关键信息基础设施安全检测评估、网络安全等保测评制度相衔接,避免重复评估、测评。2020年7月22日贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见(公网安20201960号)第二部分第六点:落实密码安全防护要求。网络运营者应贯彻落实密码法等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估
3、管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。2021年9月1日关键信息基础设施安全保护条例第十二条:安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。第五十条:关键信息基础设施中的密码使用和管理,还应当遵守相关法律、行政法规的规定关键信息基础设施中的密码使用和管理,还应当遵守相关法律、行政法规的规定。2023年7月1日商用密码管理条例第二十条:涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的商用密码检测、认证机构检测认证合格后,方可销售或者提供由具
4、备资格的商用密码检测、认证机构检测认证合格后,方可销售或者提供。第二十一条:商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。第三十八条:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。2023年11月1日商用密码应用安全性评估管理办法第六条:法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统,其运营者应当使用商用密码进行保
5、护,制定商用密码应用方案其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估并定期开展商用密码应用安全性评估。商用密码法律体系日趋完善4密码法2020年1月1日起实施中华人民共和国密码法密码法以法律的形式明确了党管密码的根本原则,是密码领域的综合性、基础性法律,也是一部技术性、专业性较强的专门法律。密码分类核心密码、普通密码核心密码、普通密码用于保护国家秘密信息核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级商用密码商用密码用于保护不属于国家秘密的信息可依法使用商用
6、密码保护网络与信息安全密码管理体制国家密码管理部门负责管理全国的密码工作县级以上地方各级密码管理部门负责管理本行政区域的密码工作国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。5公安部1960号文2020年7月22日公安部印发贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础,保护关键信息基础设施、重要网络和数
7、据安全为重点,构建国家网络安全综合防控体系。深入贯彻实施网络安全等级保护制度深入贯彻实施网络安全等级保护制度网络安全等级保护制度是国家基本制度,定级备案是开展网络安全等级保护的首要工作,开展等级测评工作是落实网络安全等级保护制度的核心内容。实施关键信息基础设施安全保护制度实施关键信息基础设施安全保护制度在落实网络安全等级保护制度的基础上,应突出保护重点,强化保护措施。特别是关键信息基础设施的网络安全运营者,还需建立并落实重要数据和个人信息的安全保护制度。第二部分第六点:落实密码安全防护要求第二部分第六点:落实密码安全防护要求第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密
8、码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。6关键信息基础设施安全保护条例2021年9月1日起施行关键信息基础设施安全保护条例关基保护条例对关键信息基础设施的范围、各监管部门职责、运营者的安全保护义务、重点保障与促进以及法律责任做了具体明确,为我国开展关键信息基础设施的安全保护工作提供了重要的法律支撑。重要行业和领域(如下),以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。关键信息基础设施统筹协调部门(国家网信部门)、指导
9、监督部门(国务院公安部门)、保护工作部门(重要行业和领域的主管、监管部门)。保护部门工作职责条例规定的责任方式,涵盖了行政责任、民事责任和刑事责任三大类别。运营者责任和义务国家网信部门统筹协调相关部门建立网络安全信息共享机制及网络安全检查检测等;国务院公安部门负责开展关基认定相关备案、打击相关违法犯罪活动等;各保护部门负责制定本行业、本领域关键信息基础设施安全规划等。第五十条:关键信息基础设施中的密码使用和管理,还应当遵守相关法律、行政法规的规定。健全责任机制:实行“一把手负责制”部门设置和人员审查:设置专门安全管理机构,对机构负责人和关键岗位人员进行安全背景审查运营检测:每年对关键信息基础设
10、施进行检测、评估,并及时整改网络安全审查:优先采购安全可信的网络产品和服务公共通信和信息服务能源交通水利金融公共服务电子政务国防科技工业运营者应落实“三同步”(安全保护措施与关键信息基础设施同步规划、同步建设、同步使用)。运营者责任和义务对于大部分运营者责任适用行政责任的追究方式,包括责令改正、警告和罚款等;对于监管人员的违法行为,主要适用行政或刑事责任;对于从事破坏行为的其他个人,除了适用相应的拘留、罚款等行政责任外,还对该人员的网络安全从业资格做出限制,与条例规定的相关岗位人员安全背景审查相衔接7商用密码管理条例2023年7月1日施行商用密码管理条例全面落实密码法立法精神,妥善处理条例与密
11、码法、网络安全法、出口管制法、电子签名法、认证认可条例、关键信息基础设施安全保护条例等的关系,做好相互衔接和支撑,构筑体系协调的商用密码管理法律规范体系。条例专设“检测认证”章节,与认证认可条例保持衔接。国家推进商用密码检测认证体系建设,建立统一的商用密码认证制度,制定并公布认证目录和技术规范、规则。认证认可制度方面认证认可制度方面 条例“电子认证”章节,与电子签名法保持衔接。条例明确了电子认证服务使用商用密码要求,规范了电子政务电子认证服务活动。网络信任体系建设方面网络信任体系建设方面 条例与网安法保持衔接,涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安
12、全专用产品目录,认证合格后,方可销售或者提供。网专强制检测/认证制度方面网专强制检测/认证制度方面 条例与网安法和关保条例保持衔接。要求使用商密进行保护的关基,运营者应当使用商用密码,制定商密应用方案,并做到“三同步”商用密码保障系统,自行或者委托机构开展商用密码应用安全性评估。关键信息基础安全保护制度方面关键信息基础安全保护制度方面 条例与网络安全法保持衔接。运营者应按照等保制度,使用商密保护网络安全。国家密码管理部门根据等保等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。网络安全等级保护制度方面网络安全等级保护制度方面 条例与国家安全法和网安法保持衔接
13、。关基运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。网络安全审查制度方面网络安全审查制度方面 国家密码管理部门负责管理全国的商密工作。县级以上地方各级密码管理部门负责本行政区域的商用密码工作。网信、商务、海关、市场监督等有关部门在各自职责范围内负责商用密码有关管理工作。监管单位监管单位 条例专设“进出口”章节,与出口管制法保持衔接。涉及国家安全、社会公共利益且具有加密保护功能的商用密码,列入商用密码进口许可清单,实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,列入商用密码出口管制清单
14、,实施出口管制。出口管制制度方面出口管制制度方面8商用密码应用安全性评估管理办法2023年11月1日施行商用密码应用安全性评估管理办法办法的制定细化密码法、条例关于商用密码应用安全性评估工作主体、方式、程序、备案等方面要求,有效贯彻落实上位法。【第六条】法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统(以下简称重要网络与信息系统)(以下简称重要网络与信息系统),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。对依法应当使用商用密码进行保护的重要网络与信息系统,明
15、确要求同步规划、同步建设、同步运行商用密码保障系统,并定期进行商用密码应用安全性评估。细化落实“三同步一评估”将商用密码应用方案评估、系统运行前评估、系统运行后定期评估统一纳入密评工作体系,“按照同一套标准、遵循同一套程序、囊括同一套活动”,确保全生命周期落实密评要求。体现密评系统性原则明确了运营者自行或者委托商用密码应用安全性评估机构开展评估的规定相关要求、明确了商用密码应用安全性评估活动的实施依据。明确密评实施依据密评定义第二条本办法所称商用密码应用安全性评估,是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。
16、密评管理体制国家密码管理局负责管理全国的商评工作。商评工作。县级以上地方各级密码管理部门负责管理本行政区域的密评工作。密评工作。国家机关和涉及商用密码工作的单位在其职责范围内负责指导、监督本机关、本单位或者本系统的商用密码应用安全性评估工作。9工控安全+安全工控PART02PART02商用密码相关标准体系解读10我国自主设计的SM4、ZUC、SM2、SM3及SM9算法已成为商用密码国家标准或行业标准,标志着我国商用密码算法体系已经基本形成。截至2022年12月,我国已经颁布密码国家标准为43项,密码行业标准为142项。商用密码算法/标准体系已经基本形成11我国密码标准体系架构技术维各大类关系技
17、术维各大类关系密码标准体系框架密码标准体系框架密码基础类密码基础类密码术语与标识密码算法算法使用密钥管理密码协议体系框架基础设施类基础设施类公钥基础设施标识密码基础设施密码产品类密码产品类安全性产品接口产品管理产品技术规范密码测评类密码测评类随机性检测算法与协议检测产品检测应用系统测评密码应用类密码应用类应用要求应用指南应用规范密码服务应用支撑类应用支撑类通用支撑典型支撑密码管理类密码管理类标准管理算法管理产业管理应用管理服务管理监察管理测评管理n我国密码标准体系研究经历了不断发展的历程,最新的密码标准体系从技术维、管理维和应用维三个维度对密码标准进行组织和刻画。n技术维分为:密码基础类标准、
18、密码产品类标准、基础设施类标准、应用支撑类标准、密码应用类标准、密码管理类标准、密码测评类标准,共七类。技术维分类技术维是从密码技术自身的体系层次出发,对密码标准从技术角度进行归类,从而形成密码标准的技术体系框架。12密码基础类标准主要对通用性、基础性密码技术进行规范,包括密码术语与标识、密码算法、算法使用、密钥管理、密码协议和体系框架六个子类,其中体系框架包含特定密码技术的体系框架规范,如公钥密码应用技术体系框架。01-密码基础类标准一级子类一级子类二级子类二级子类标准名称标准名称主要内容主要内容密码术语与标识密码术语与标识GM/Z 4001-2013密码术语该标准适用于统一信息安全技术领域
19、中对密码基本概念的理解,规范技术交流和研究的表达。GB/T 33560-2017信息安全技术 密码应用标识规范该标准定义了密码应用中所使用的标识,用于规范算法标识、密钥标识、设备标识、数据标识、协议标识、角色标识等的表示和使用。密码算法密码算法对称密码算法GB/T 33133 信息安全技术 祖冲之序列密码算法该标准描述了祖冲之序列密码算法(ZUC)、以及基于祖冲之序列密码算法的机密性算法和完整性算法,适用于采用祖冲之序列密码算法的相关产品的研制、检测和使用。该标准共 3 个部分。GB/T 32907-2016信息安全技术 SM4 分组密码算法该标准描述了 SM4 分组密码算法,是一种密钥长度
20、128 比特,分组长度也是 128 比特的密码算法。公钥密码算法GB/T 32918信息安全技术 SM2 椭圆曲线公钥密码算法该标准适用于 SM2 椭圆曲线公钥密码算法相关技术研究、系统和产品的研制及算法正确性验证。GB/T 38635-2020 信息安全技术 SM9 标识密码算法该标准描述了基于双线性对的 SM9 标识密码算法,可用于数字签名、数据加密、密钥协商等杂凑密码算法GB/T 32905-2016信息安全技术 SM3 密码杂凑算法该标准可用于消息摘要的计算、数字签名和验证、消息鉴别码的生成与验证,以及随机数的生成。GB/T 18238 信息技术 安全技术 散列函数该标准包含三个部分,
21、为散列函数的系列标准,都是等同采用了ISO/IEC 10118 系列标准的早期版本。该标准无对应的密码行业标准。1301-密码基础类标准一级子类一级子类 二级子类二级子类标准名称标准名称主要内容主要内容算法使用算法使用GB/T 17964-2021信息安全技术 分组密码算法的工作模式该标准描述了 9 种分组密码算法的工作模式,给出了参数和方法,适用于指导分组密码算法在加解密数据时的使用。GB/T 31503-2015信息安全技术 电子文档加密与签名消息语法该标准主要参考 IETF(互联网工程特别工作组)的 RFC 5652 文件制定。该标准规定了用于电子文档密码保护的封装语法,支持数字签名和加
22、密。当前普遍采用 GB/T 35275-2017 替代该标准。GB/T 35276-2017信息安全技术 SM2 密码算法使用规范该标准规定了 SM2 密码算法的使用方法,密钥、加密与签名的数据格式,以及相关计算过程,此外还提供了用户身份标识的标准默认值。GB/T 35275-2017信息安全技术 SM2 密码算法加密签名消息语法规范该标准定义了使用 SM2 密码算法的加密签名消息语法,适用于使用 SM2 密码算法进行加密和签名操作时对操作结果的标准化封装。GB/T 41389-2022信息安全技术 SM9 密码算法使用规范本标准规定了 SM9 密码算法的使用要求,描述了密钥、加密与签名的数据
23、格式,适用于 SM9 密码算法的正确和规范使用,以及指导SM9 密码算法的设备和系统的研发和检测。GM/T 0081-2020SM9 密码算法加密签名消息语法规范该标准定义了使用 SM9 密码算法的加密签名消息语法。该标准适用于使用 SM9 算法进行加密和签名操作时对操作结果的标准化封装。GM/T 0125-2022JSON Web 密码应用语法规范该标准适用于 JSON Web 密码应用产品的研发与检测,其他使用JSON 数据交换格式的安全产品,可参考使用。密钥管理密钥管理GB/T 17901信息技术 安全技术 密钥管理该标准第 1 部分适用于建立密钥管理模型和设计密钥管理方法。第三部分适用
24、于采用非对称技术实现密钥管理的系统的研制,也可指导该类系统的检测。GM/T 0091-2020基于口令的密钥派生规范该标准为基于口令的密钥派生提供技术规范,包括基于口令的密钥派生函数、基于口令的加密方案、基于口令的消息鉴别码,为利用口令派生密钥来保护迁移密钥的实现方和检测方提供依据和指导。密钥协议密钥协议GB/T 38636-2020信息安全技术 传输层密码协议(TLCP)该标准规定了传输层密码协议,包括记录层协议、握手协议族和密钥计算。GM/T 0110-2021密钥管理互操作协议规范该标准旨在为密钥客户端和密钥管理服务端之间通信制定统一的密钥管理协议,通过该协议完成密钥管理服务端中对象的生
25、成、存储和状态转换等操作体系框架体系框架GM/T 0094-2020公钥密码应用框架规范该标准规定了公钥密码应用技术体系框架,给出该框架内各组成部分及其逻辑关系。14基础设施类标准主要对密码基础设施进行规范,包括公钥基础设施和标识密码基础设施两个子类。02-基础设施类标准一级子类一级子类标准名称标准名称主要内容主要内容公钥基础设施公钥基础设施GM/T 0014-2012数字证书认证系统密码协议规范该标准规定了数字证书认证系统中各部分的关系、安全协议流程和数据格式定义等内容,以保障数字证书认证系统在使用、运行中的真实性、机密性、完整性,实现可认证和不可否认等安全需求。GB/T 20518-201
26、8信息安全技术 公钥基础设施 数字证书格式该标准规定了数字证书和证书撤销列表的具体结构定义,并对数字证书和证书撤销列表中的各数据项内容进行了详细描述。GB/T 25056-2018信息安全技术 证书认证系统密码及其相关安全技术规范该标准规定了数字证书认证系统的设计、建设、检测、运行及管理规范,以及数字证书认证系统的密码及相关安全的技术要求。GM/T 0089-2021简单证书注册协议规范该标准描述了使用 SM2 算法进行证书注册的简单协议(SCEP),具体内容包括 SCEP 的功能、SCEP 消息对象的基本结构、SCEP 消息的基本格式以及 SCEP 消息通过 HTTP 传输的协议报文。GM/
27、T 0092-2020基于 SM2 算法的证书申请语法规范该标准为使用 SM2 密码算法的数字证书认证系统相关方在进行证书申请时,提供申请语法、证书申请信息的扩展属性和证书响应格式的技术规范。GM/T 0093-2020证书与密钥交换格式规范该标准为数字证书与密钥等信息的安全导入/导出提供了技术规范,包括私钥、证书、证书撤销列表、各种形式的秘密值及其扩展的标准化封装。标识密码基础设施标识密码基础设施GM/T 0085-2020基于 SM9 标识密码算法的技术体系框架该标准描述了基于 SM9 算法的 IBC 技术应用框架、标识密码密钥管理系统的框架以及基于 SM9 算法应用所涉及的标准规范。GM
28、/T 0086-2020基于 SM9 标识密码算法的密钥管理系统技术规范该标准规定了基于 SM9 密码算法的密钥管理系统架构及其建设要求。该架构可作为基于标识密码应用的普适性基础标准,为其提供密钥生成、管理以及公开参数查询等服务。GM/T 0090-2020标识密码应用标识格式规范该标准定义了一种通用标识信息标识数据结构。该标准适用于标识密码技术的应用,使不同标识密码技术体系之间标识信息能相互辨识和解析。15密码产品类标准主要对密码产品进行规范,包括安全性、产品接口、产品管理和产品技术规范四个子类。安全性包括通用要求和设计指南,产品接口包括应用编程接口和接口数据格式。03-密码产品类标准一级子
29、类一级子类二级子类二级子类标准名称标准名称主要内容主要内容安全性通用要求GB/T 37092-2018信息安全技术 密码模块安全要求该标准规定对密码模块采用分级管理,明确密码模块分为四个递增的、定性的安全等级,针对不同安全等级明确相应的安全要求以满足密码模块在不同应用和工作环境中的要求设计指南GM/T 0078-2020密码随机数生成模块设计指南该标准规定了密码随机数生成模块的设计要求。该标准适用于密码随机数生成模块的研制、开发和检测的指导。GM/T 0082-2020 可信密码模块保护轮廓该标准规定了可信计算中的密码模块的安全环境、安全目的、安全要求,可用于安全芯片研制、TCM 产品的开发、
30、TCM 产品评估等的指导。GM/T 0083-2020密码模块非入侵式攻击缓解技术指南该标准给出了密码模块非入侵式攻击方法、缓解技术以及测试方法GM/T 0084-2020密码模块物理攻击缓解技术指南该标准规定了密码模块的物理安全机制、物理攻击方法、用于防止或检测这些攻击的缓解技术、以及在开发、配送、运行等生命周期不同阶段的缓解措施。GM/T 0103-2021随机数发生器总体框架该标准是随机数发生器设计的总体标准,规定了随机数发生器设计总体框架,在附录中给出了随机数发生器标准体系框架。GM/T 0105-2021软件随机数发生器设计指南该标准给出了软件随机数发生器设计的基本模型、基本部件的设
31、计指南以及安全分级方法,并在附录中给出了基于 SM3 算法和基于SM4 算法的设计实例。产品接口应用编程接口GM/T 0012-2020可信计算 可信密码模块接口规范该标准描述了可信密码模块的功能,详细定义了可信密码模块的命令接口。GB/T 35291-2017信息安全技术 智能密码钥匙应用接口规范该标准用于规范智能密码钥匙的应用接口。智能密码钥匙中间件通过实现该标准,向应用提供统一的、与具体产品无关的调用接口。1603-密码产品类标准一级子类一级子类 二级子类二级子类标准名称标准名称主要内容主要内容产品接口应用编程接口GB/T 36322-2018信息安全技术 密码设备应用接口规范该标准是服
32、务端密码设备的接口规范,通过该接口调用密码设备,向上层多用户、多应用提供统一的基本密码服务。GM/T 0056-2018多应用载体密码应用接口规范该标准中的多应用载体是指具备独立、开放的片上操作系统、提供多应用运行环境、能够实现载体上多个应用的下载、安装、重用、共存的安全载体,通常由硬件、驱动、COS 和应用构成。GM/T 0058-2018可信计算 TCM 服务模块接口规范该标准定义了 TCM 服务模块组成和接口规范,适用于基于 TCM 的应用开发、使用及检测。GM/T 0079-2020可信计算平台直接匿名证明规范该标准规定了可信计算密码支撑平台框架体系下可信计算平台的直接匿名证明协议的功
33、能、接口和数据结构。GM/T 0087-2020浏览器密码应用接口规范该标准定义了浏览器脚本语言 JavaScript 的密码应用接口、密码功能流程,可为浏览器脚本程序提供基于商用密码算法的编程接口;GM/T 0118-2022浏览器数字证书应用接口规范该标准规定了浏览器 SM2 数字证书应用接口,描述了在支持商用密码算法应用的浏览器中,数字证书应用接口的函数、数据类型和参数的定义。该标准适用于浏览器产品、浏览器应用和浏览器密码模块的开发、应用和检测。数据格式接口GM/T 0017-2012智能密码钥匙密码应用接口数据格式规范该标准规范了智能密码钥匙应用数据接口的 APDU 报文、接口函数的编
34、码和设备协议等内容,适用于智能密码钥匙的研制和检测。GM/T 0053-2016密码设备管理 远程监控和合规性检验接口数据规范该标准规定了对密码设备进行远程监控、设备合规性检验等管理应用的接口数据,定义了管理应用与密码设备间的消息传递格式。产品管理GM/T 0050-2016密码设备管理 设备管理技术规范该标准规定了密码设备管理的体系结构、管理流程、安全通道协议、管理信息结构、应用接口和标准管理消息格式。GM/T 0051-2016密码设备管理 对称密钥管理技术规范该标准为密码设备制定了对称密钥管理及相关安全技术要求,包括对称密钥管理安全要求、系统体系结构及功能要求、密钥管理安全协议及接口设计
35、要求、管理中心建设、运行及管理要求等。GM/T 0052-2016密码设备管理 VPN 设备监察管理规范该标准规定了重要信息系统与网络中的 VPN 设备的监察管理,以发现和定位网络中的非法 VPN 设备,并检测合法设备在使用过程中的违规操作。GM/T 0088-2020云服务器密码机管理接口规范该标准规定了云平台管理系统与云服务器密码机之间的设备管理接口和协议1703-密码产品类标准一级子类一级子类二级子类二级子类标准名称标准名称主要内容主要内容产品技术规范GB/T 38556-2020信息安全技术 动态口令密码应用技术规范动态口令是一种一次性口令机制,口令通过用户持有的客户端器件生成,并基于
36、一定的算法与服务端形成同步,从而作为证明用户身份的依据。动态口令机制可广泛应用于身份鉴别场合。GB/T 36968-2018信息安全技术 IPSec VPN 技术规范该标准规定了 IPSec VPN 的技术协议、产品研制要求以及产品检测要求及判定标准。GM/T 0023-2014IPSec VPN 网关产品规范该标准规定了 IPSec VPN 网关产品研制要求和检测要求,可用于指导 IPSec VPN 网关产品的研制、检测、使用和管理。GM/T 0024-2014SSL VPN 技术规范该标准规定了 SSL VPN 的技术协议、产品研制要求以及产品检测要求及判定标准。GM/T 0025-201
37、4SSL VPN 网关产品规范该标准规定了 SSL VPN 网关产品的功能、性能、安全性、管理等要求以及产品检测方法,适用于 SSL VPN 网关产品研制、检测、使用和管理。GM/T 0026-2014安全认证网关产品规范该标准规定了安全认证网关产品的密码算法和密钥种类、功能要求、硬件要求、软件要求、安全性要求、管理要求和检测要求,适用于安全认证网关产品的研制、检测、使用和管理。GM/T 0027-2014智能密码钥匙技术规范该标准定义了智能密码钥匙的相关术语,描述了智能密码钥匙的功能要求、硬件要求、软件要求、性能要求、安全要求、环境适应性要求和可靠性要求等有关内容。GB/T 38629-20
38、20信息安全技术 签名验签服务器技术规范 该标准规定了签名验签服务器的功能要求、安全要求和消息协议语法规则等内容。GM/T 0030-2014服务器密码机技术规范该标准规定了服务器密码机需提供的功能、服务接口、密码算法和密钥管理等方面的要求。GB/T 38540-2020信息安全技术 安全电子签章密码技术规范该标准规定了采用密码技术实现电子印章和电子签章的数据结构定义,以及相应的生成与验证流程。GM/T 0045-2016金融数据密码机技术规范该标准规定了金融数据密码机的功能要求、硬件要求、业务要求、安全性要求和检测要求,可用于指导金融数据密码机的研制、检测、使用和管理。GM/T 0104-2
39、021云服务器密码机技术规范该标准规定了云服务器密码机的该标准规定了云服务器密码机的总体结构、功能要求、安全要求、硬件要求、软件要求、安全性要求和检测要求等。GM/T 0106-2021银行卡终端产品密码应用技术要求该标准规定了银行卡终端产品密码应用相关的技术要求,包括终端基本安全要求、终端密钥管理要求、终端数据安全要求以及密码算法正确性和性能要求。GM/T 0107-2021智能 IC 卡密钥管理系统基本技术要求该标准规定了智能 IC 卡密钥管理系统的应用架构及密钥体系、功能要求、密钥安全机制、系统安全要求等内容。该标准适用于指导智能 IC 卡密钥管理系统的设计、开发、检测和使用。GM/T
40、0108-2021诱骗态 BB84 量子密钥分配产品技术规范该标准基于采用弱相干态光源的诱骗态 BB84 协议,对协议各阶段的技术实现进行了规范,并对采用该协议的产品的设计提出了基本要求。18应用支撑类标准包括通用支撑和典型支撑两个子类。通用支撑类标准通过统一的接口为密码应用提供加解密、签名验签等通用密码功能,典型支撑类标准是基于密码技术实现的与应用无关的安全机制、安全协议和服务接口。04-应用支撑类标准一级子类一级子类标准名称标准名称主要内容主要内容通用支撑GM/T 0019-2012通用密码服务接口规范该标准主要为典型密码服务层和应用层规定了统一的、与密码协议无关、与密钥管理无关、与密码设
41、备管理无关的通用密码服务接口。GM/T 0020-2012证书应用综合服务接口规范该标准定义了证书应用综合服务接口,分为客户端接口和服务器端接口两类。典型支撑GB/T 29829-2013信息安全技术 可信计算密码支撑平台功能与接口规范该标准描述了可信计算密码支撑平台功能原理与要求,定义了可信计算密码支撑平台的密码算法、密钥管理、证书管理、密码协议、密码服务等应用接口规范。GM/T 0032-2014基于角色的授权管理与访问控制技术规范该标准规定了基于角色的授权与访问控制框架结构及框架内各组成部分的逻辑关系;定义了各组成部分的功能、操作流程及操作协议。GM/T 0033-2014时间戳接口规范
42、该标准规定了时间戳服务的标准接口,用以实现和具体时间戳系统无关以及和证书认证系统无关的时间认证服务,保证时间戳服务对用户、对应用的透明性和无关性。GM/T 0057-2018基于 IBC 技术的身份鉴别规范该标准规定了基于 SM9 密码算法的身份鉴别协议,给出了标识具体定义、鉴别过程中的参数定义和具体流程。GM/T 0067-2019基于数字证书的身份鉴别接口规范 该标准规定了公钥密码基础设施体系上层应用中基于数字证书的身份鉴别接口。GM/T 0068-2019开放的第三方资源授权协议框架该标准规定了第三方资源授权协议的流程、不同类型的授权许可、协议各端点的功能要求以及系统实体之间传递消息的格
43、式和参数要求等。GM/T 0069-2019开放的身份鉴别框架该标准规定了依赖方(网络应用或服务)使用身份服务提供方提供的鉴别功能、对终端用户进行身份鉴别的协议框架,定义了协议参与实体的要求、协议消息的加密和签名要求等。GM/T 0113-2021在线快捷身份鉴别协议该标准规定了在线快捷身份鉴别协议,包括通用在线快捷身份鉴别协议、双因素在线快捷身份鉴别协议等内容。19密码应用类包括应用要求、应用指南、应用规范和密码服务四个子类。应用要求规范各行业应用系统对密码技术的使用;应用指南指导各行业信息系统中密码子系统的设计符合密码应用要求;应用规范给出了具体的密码应用技术标准。密码服务则规范面向公众或
44、特定领域的各类密码服务技术要求或指南。05-密码应用类标准一级子类一级子类标准名称标准名称主要内容主要内容应用要求GB/T 37033-2018信息安全技术 射频识别系统密码应用技术要求分为三个部分,第一部分适用于射频识别系统密码安全。第二部分适用于采用密码安全技术的电子标签芯片和读写器。第三部分适用于射频识别系统中密钥管理系统的设计、实现与应用。GB/T 39786-2021信息安全技术 信息系统密码应用基本要求该标准适用于指导和规范关键信息基础设施、政务信息系统、网络安全等级保护对象以及其他领域网络与信息系统中,密码应用的规划、建设、运行及测评。GM/T 0070-2019电子保单密码应用
45、技术要求该标准描述了保险行业电子保单业务的密码应用需求,针对投保、签发、存储、验证、递送等主要环节提出了密码应用技术要求。GM/T 0072-2019远程移动支付密码应用技术要求该标准描述了基于密码模块的远程移动支付密码应用架构,规定了远程移动支付的密码安全要素以及密码应用的技术要求。GM/T 0073-2019手机银行信息系统密码应用技术要求该标准适用于指导、规范、评估手机银行信息系统的商用密码应用。GM/T 0074-2019网上银行密码应用技术要求该标准规定了密码技术在网上银行业务中应用的相关要求,包括密码算法、密钥管理、证书管理、安全通道、密码设备及数字签名六个方面。GM/T 0075
46、-2019银行信贷信息系统密码应用技术要求该标准适用于指导、规范和评估信贷信息系统的商用密码应用。GM/T 0076-2019银行卡信息系统密码应用技术要求该标准适用于指导、规范和评估银行卡信息系统中的商用密码应用。GM/T 0077-2019银行核心信息系统密码应用技术要求该标准适用于指导、规范和评估银行核心信息系统中的的商用密码应用。GM/T 0095-2020电子招投标密码应用技术要求该标准根据电子招投标业务特点及密码应用功能需求,制定了电子招投标业务密码应用技术要求,以保障电子招投标的业务安全。GM/T 0100-2020人工确权型数字签名密码应用技术要求该标准规定了人工确权型数字签名
47、的总体要求、应用接口以及使用专用签名密钥对的人工确权型数字签名相关要求。GM/T 0111-2021区块链密码应用技术要求该标准规定了联盟区块链的密码安全要素以及密码应用的技术要求。GM/T 0112-2021PDF 格式文档的密码应用技术要求该标准规定了采用密码算法对 PDF 格式文档进行数字签名、电子签章以及加解密应用的技术要求。2005-密码应用类标准一级子类一级子类标准名称标准名称主要内容主要内容应用指南GM/T 0036-2014采用非接触卡的门禁系统密码应用技术指南该标准规定了采用非接触式 IC 卡的门禁系统中使用的密码算法、密码设备、密码协议和密钥管理等的技术要求。GB/T 32
48、922-2016信息安全技术 IPSec VPN 安全接入基本要求与实施指南该标准明确了采用 IPSec VPN 技术实现安全接入的场景,提出了IPSec VPN 安全接入应用场景有关网关、客户端以及安全管理等方面的要求,同时给出了 IPSec VPN 安全接入的实施过程指导。GB/T 38541-2020信息安全技术 电子文件密码应用指南该标准提出了电子文件的密码技术框架和安全目标,描述了对电子文件进行密码操作的方法和电子文件应用系统使用密码技术的方法。GM/T 0096-2020射频识别防伪系统密码应用指南该标准适用于射频识别防伪应用中密码安全方案设计、密码产品选用与系统实施。应用规范GM
49、/T 0055-2018电子文件密码应用技术规范该标准描述了电子文件保护所涉及的密码技术,不限制具体的文件类型,也不规定特定的应用系统。GM/T 0097-2020射频识别电子标签统一名称解析服务安全技术规范该标准规定了射频识别电子标签统一名称解析服务(ONS)的系统架构、关键业务流程和安全性要求,定义了名称解析服务器的注册流程、产品电子代码的安全查询流程及相应消息报文格式。GM/T 0098-2020基于 IP 网络的加密语音通信密码技术规范该标准适用于指导基于 IP 网络的加密语音通信系统应用中密码安全方案设计、产品研制,也可用于指导基于 IP 网络的加密语音通信系统产品的检测。GM/T
50、0099-2020开放式版式文档密码应用技术规范该标准规范了开放式版式文档(OFD)密码应用的基本要求。该标准适用于指导开放式版式文档(OFD)密码应用相关产品和系统的研发、使用和检测。GB/T 40650-2021信息安全技术 可信计算规范 可信平台控制模块本标准描述了可信平台控制模块在可信计算节点中的位置和作用,规定了可信平台控制模块的功能组成、功能接口、安全防护和运行维护要求。GM/T 0119-2022PLC 控制系统及 PLC 控制器密码应用技术规范该标准规定了 PLC 控制系统及 PLC 控制器应用密码技术的要求、流程和具体环节,并给出了参考接口。密码服务GM/T 0109-202