网络安全监管第三讲信息安全技术与产品课件.ppt

密码服务技术——作用,为密码的有效应用提供技术支持 一般密码服务系统由密码芯片、密码模块、密码机或软件、密码服务接口构成 密码服务系统以独立的形式，提供各种安全服务，并具备完善的安全机制以及规范的编程接口,密码服务技术——要求,安全要求 采用可信计算机 具备设别安全和敏感信息保护机制 关键设备的真实性鉴别 具备完善的密钥管理机制 符合工业标准 提供日志审计及统计服务 支持检测响应系统的统一检测 支持安全管理系统的统一管理,密码服务技术——要求,功能要求 密钥管理服务 数字证书管理服务 数字证书运算：提供证书签发和验证等基本的证书运算服务功能 数据加解密运算 数字签名运算 数字信封 消息摘要和完整性验证,密码服务技术——组成,密码芯片 密码运算单元，通常支持单一或组合的密码运算及密钥输入，具有专有的通信接口协议或口令等安全保护措施，并具备基本的自身防护机制 密码模块 具备完整安全功能及服务的加密卡、高度集成的安全芯片等，通常集成了密码运算单元、噪声源、密码协议、密钥管理等功能，能够提供一种或多种安全中间件下层密码服务接口接入通常用于VPN、链路密码机、客户端密码服务设备等各种密码服务设备。

密码服务技术——组成,客户端密码服务设备 提供终端密码服务具有便携式、功能齐全、成本低等特点，便于大规模使用和移动办公通常具备通用的密码运算单元、密钥管理、用户证书管理、安全管理等部件，能够支持应用系统客户端的各项安全应用 服务器端密码服务设备 为密钥管理基础设施（KMI）、公开密钥基础设施（PKI）、安全管理设备、安全防护设备等提供性能稳定、功能强大的安全服务设备具备完善的自身防护、密钥管理、证书管理以及安全管理机制密码服务技术——使用,,密码服务系统所使用的安全模块和密码设备，均应严格按照国家相关主管部门的有关规定，采用经国家相关部门批准的密码产品 各种密码服务系统提供不同的算法和协议支持，策略库根据国家密码主管部门要求设置，用户可以在策略库的规定范围内，灵活地选择并配置合适的密码算法及其协议 对关键的密码服务系统，必须采用统一的安全管理策略,密码服务技术——使用,,一般地，一个实际的应用系统会涉及以下几个方面的密码应用： 数字证书运算：提供对数字证书的产生、签发和验证运算 密钥加密运算：提供密钥的安全传输和存储的加解密运算 数据传输加密运算：提供数据安全传输加密和解密运算 数据存储：提供数据安全存储的加密和解密运算 数字签名：提供对数据的签名和签名验证等运算 消息摘要与验证：提供对消息进行摘要运算及完整性验证运算 数字信封：提供对数据的数字信封封装和解封装等运算,密码服务技术——密钥的配用与管理,,所有的密钥都要遵循严格的配用原则，包括最小特权原则、特权分散原则、最小设备原则、不影响系统正常工作的原则 密钥管理涉及密钥生命周期的全过程，对不同的密钥类型采用不同的管理办法。

密码服务技术——密码服务系统接口,CPI为密码服务相关的应用开发提供标准化的安全接口平台，根据不同密码载体，其提供形式多种多样 CPI主要以标准C/C++/C#提供,一、商用密码的涵义 商用密码是指对不涉及国家秘密的信息进行加密保护或者安全认证所使用的密码技术和密码产品，是为确保商用信息安全而使用的一种技术措施商用密码概述,二、商用密码的特征 (一)商用密码的标准化特征 商用密码作为实现网络安全的重要技术措施，广泛使用于商业和个人信息领域，考虑到商用密码的广泛适用性，要求加以标准化标准化的商用密码具有以下特征： (1)信息的加密(置乱)能力 (2)密码算法和密码协议需经过严格论证和科学设计，具备抗攻击、抗破解能力商用密码概述,(二)商用密码的专利保护 一般意义上，商用密码的研发和生产需要通过申请专利加以保护DES建立在IBM开发并拥有专利(Lucifer)的密码基础上同样，在数字签名领域广泛使用的RSA箅法也是通过专利保护的，这一算法的专利保护已于2000年9月20日到期商用密码概述,(3)商用密码和国家秘密内容的密码有不同的设计要求，商用密码要求具有互通性 (4）考虑到商用密码的可控性，商用密码算法设计和实现的商用应用应当公示，采用登记制度。

(5)在某些必要或特定情形下，要求商用密码的解密 (6)现存商用密码的兼容性和扩充性主要是考虑密码升级后，以前用户的继续使用和密钥长度及算法强化的需要商用密码概述,(三)商用密码的广泛用途 商用密码是用于信息加密保护和安全认证的密码技术和密码产品，其主要用途在于： 1. 信息加密保护 2. 安全认证：数字签名,商用密码概述,一、商用密码的研发 商用密码产品是保护不涉及国家秘密的信息安全又为国家专控的特殊产品这个特殊产品要求由指定单位按照统一的技术规范研制，以确保商用密码产品的安全性、可靠性和互通性 商用密码的研制开发体现国家密码管理部门与商用密码科研单位之间的“指定”关系所谓“指定”关系，是指商用密码的研究开发项目只能由国家密码管理部门所认可的单位承担，未经国家密码管理部门指定，任何单位不能从事商用密杩的研究开发商用密码的研发管理,根据《商用密码管理条例》第五条的规定，被指定的商用密码科研单位必须具备以下条件： (1)具有相应的技术力量和设备； (2)具有先进的编码理论和技术； (3)编制的商用密码算法具有较高的保密强度和抗攻击能力商用密码的研发管理,商用密码科研定点单位 1、 信息产业部数据通信科学技术研究所 2、 北京数安科技有限公司 3、 北京电子科技学院 4、 中国科学院数据与通信保护研究教育中心 5、 江南计算技术研究所 6、 成都卫士通信息产业股份有限公司 7、 济南得安计算机技术有限公司 ……,商用密码的研发管理,二、商用密码成果的审核、鉴定 商用密码的科研成果，必须经过由国家密码管理部门组织专家按照商业密码技术标准和技术规范进行的审查、鉴定。

未经审核、鉴定的商用密码科研成果不得进行生产和销售(《商用密码管理条例》第六条)商用密码的研发管理,二、商用密码成果的审核、鉴定 (一)鉴定组织者 国家密码管理部门组织商用密码的审核鉴定审核鉴定的组织者应当负责聘请国家信息安全专家，制定商用密码审核鉴定的技术标准、明确审核鉴定的法律依据、制定鉴定的程序和原则 商用密码的组织者对于鉴定结果应当作出明确的审核决定商用密码的研发管理,二、商用密码成果的审核、鉴定 (二)鉴定人员 鉴定人员由国家信息安全专家，特别是密码专家组成 信息安全专家参加商用密码鉴定应当取得国家密码管理部门的相应资格 鉴定资格表明鉴定人的信息安全技术能力，反映鉴定人的权利、义务和责任商用密码的研发管理,二、商用密码成果的审核、鉴定 (二)鉴定人员 信息安全专家参加商用密码的鉴定活动，与一般意义的“技术咨询”不同 咨询者就具体技术所提出的咨询意见仅供委托人决策参考，委托人是否采纳咨询建议，由委托人自主决定，技术咨询者对委托人采纳咨询建议的法律后果，一般不承担任何责任 而商用密码的鉴定人取得鉴定资格，接受密码管理部门的委托，应当坚持诚实信用，积极、谨慎、忠实地对商用密码作出正确的鉴定。

因鉴定人的过错，对“缺陷”商用密码作出肯定的结论，应当承担相应的法律责任商用密码的研发管理,二、商用密码成果的审核、鉴定 (三)鉴定原则 商用密码的鉴定结论关系到国家安全和社会公共安全，也关系到信息系统使用单位的合法利益，因此国家密码管理部门组织商用密码的审核鉴定，必须遵循一定的“鉴定原则”商用密码的研发管理,二、商用密码成果的审核、鉴定 (三)鉴定原则 1 法制原则 法制原则是商用密码审核鉴定的基本原则审核鉴定必须严格依照法律的规定，对商用密码的科技成果进行审核鉴定法制原则既包括审核鉴定程序的台法性，也包括审核鉴定人员资格的合法性，还包括商用密码审核鉴定组织活动的合法性商用密码的研发管理,二、商用密码成果的审核、鉴定 (三)鉴定原则 2 不公开原则 不公开原则是商用密码审核鉴定的基本要求商用密码由国家专控，属于国家秘密，商用密码审核鉴定过程中必然要了解商用密码的技术细节审核鉴定过程的不公开原则，符合国家秘密保护的基本要求商用密码的研发管理,二、商用密码成果的审核、鉴定 (三)鉴定原则 3 利益规避的原则 商用密码不仅属于国家秘密，商用密码还涉级到商用密码科研单位的商业利益因此，鉴定成员不能为担任其他商用密码科研单位的主要技术人员和主要领导人。

(四)审核决定 国家密码管理部门根据鉴定的结论，应当及时作出“批准生产”和“不许生产”的决定,商用密码的研发管理,一、商用密码的生产 国家对商用密码的生产实行专控管理商用密码产品由国家密码管理机构指定的单位生产，未经指定，任何单位或者个人不得生产商用密码产品(《商用密码管理条例》第七条),商用密码的生产管理,被指定的商用密码生产单位应当具备下列条件： (一)商用密码生产单位必须取得生产商用密码的资格 商用密码的生产单位为国家密码管理部门的指定单位，只有经过国家密码管理部门的指定，才能从事商用密码的生产 指定生产单位生产的商用密码产品的品种和型号，必须经国家密码管理机构批准．并不得超过批准范围生产商用密码产品(《商用密码管理条例》第八条) (二)商用密码生产单位必须具有相应技术力量,商用密码的生产管理,二、商用密码的检测 检测是商用密码产品进入流通销售之前的关键环节检测是对商用密码产品质量的认可，是商用密码产品质量控制的法律要求 根据我国《商用密码管理条例》第九条的规定，商用密码产品必须经国家密码管理机构指定的产品质量检测机构检测合格，未经检测合格，不得销售商用密码的生产管理,二、商用密码的检测 (一)商用密码检测机构 商用密码检测机构必须取得国家密码管理部门的检测资格。

检测机构应当具备下列条件： (1)具有商用密码产品的检测接术设备； (2)具有商用密码产品的检测技术人员商用密码的生产管理,二、商用密码的检测 (二)检测报告 商用密码检测机构对于所检测分析的商用密码必须出具检测报告检测报告应当作出所检测商用密码产品是否“合格”的结论商用密码的生产管理,二、商用密码的检测 (三)商用密码产品检测机构的义务 商用密码产品检测机构应当以诚实信用为原则，积极、谨慎、忠实地履行职责对于检测申请人的商用密码技术秘密负有保密的义务商用密码的生产管理,一、商用密码销售许可证制度概述 销售许可证制度是我国互联网络信息系统安全的重要保障制度商用密码作为特殊的安全专用产品，国家对商用密码的管理实行专控管理商用密码产品由国家密码管理机构许可的单位销售未经许可，任何单他或者个人不得销售商用密码产品(《商用密码管理条例》第十条) 进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须报经国家密码管理机构批准，任何单位或者个人不得销售境外的密码产品(《商用密码管理条例》第十三条)商用密码的销售管理,二、商用密码销售许可证的申请 商用密码销售单位取得销售许可证，必须向国家密码管理机构进行申请。

申请人应当递交下列文件： (1)申请人有独立的法人资格，并提交法人营业执照副本； (2)商用密码产品的检测结果报告； (3)申请人具有熟悉商用密码产品知识和承担售后服务人员的资质证明； (4)申请人有完善地销售服务和安全管理规章制度(《商用密码管理条例》第十一条)商用密码的销售管理,三、商用密码销售许可证的审核、颁发 密码管理机构对于申请人递交的文件进行审核经审查合格的单位，由密码管理机构发给商用密码产品销售许可证商用密码的销售管理,四、商用密码产品的销售 商用密码产品销售者必须履行以下义务： (1)用户登记如实登记直接使用商用密码产品的用户名称(姓名)、地址(住址)、组织机构代码(居民身份证号码)以及该商用密码产品的用途 (2)备案将登记情况报国家密码管理机构备案(《商用密码管理条例》第十二条,商用密码的销售管理,一、商用密码使用者范畴 发展商用密码的目的是为了满足交易安全和私密信息安全的需要，。