安盟信息参与制定的安全隔离与信息交换产品密码检测规范正式实施
前言
针对信息安全产品的各项政策及标准相继实施,为加强网络安全专用产品安全管理,推动安全认证和安全检测结果互认,避免重复认证、检测,网信办、工业和信息化部等众多相关部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》。
公告声明自2023年7月1日起,《计算机信息系统安全专用产品销售许可证》停止颁发,产品生产者无需申领。
列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
网信办有关负责人在接受采访时表示,安全认证合格或者安全检测符合要求,具有同等市场准入效力,产品生产者不必重复申请测试。
在安全隔离与信息交换产品密码检测领域,由国家密码管理局商用密码检测中心、北京安盟信息技术股份有限公司(简称“安盟信息”)等4家相关部门和单位参与制定,归口密码行业标准化技术委员会的《GM/T 0124-2022安全隔离与信息交换产品密码检测规范》(以下简称“标准”)于6月起正式实施。
标准的发布与实施主要影响到安全隔离与信息交换产品的检测,因为安全隔离与信息交换产品若要获得国家信息安全产品认证,前提是符合本标准要求并通过相关测试机构检测获得检测证书及报告,然后再由测试机构依据《GB/T20279-2015 信息技术 网络和终端隔离产品安全技术要求》检查通过后才可获得认证。
标准由原检测规范升级为行业标准,规定了安全隔离与信息交换产品密码的检测内容、检测要求、检测方法及文档要求,检测内容由原来的3项调整为12项,差异如下。
《GM/T 0124-2022安全隔离与信息交换产品密码检测规范》中涉及的其他标准主要:《GB/T 15843信息技术 安全技术 实体鉴别》《GB/T20279-2015 信息技术 网络和终端隔离产品安全技术要求》《GM/T 0062 密码产品随机数检测要求》《GB/T 32905 信息安全技术 SM3 密码杂凑算法》《GB/T 32907 信息安全技术 SM4分组密码算法》《GB/T 32918 信息安全技术 SM2 橢圆曲线公钥密码算法》《GB/T 32915 信息安全技术 二元序列随机性检测方法》《GB/T 20279-2015 信息安全技术 网络和终端隔离产品安全技术要求》。
新标准针对基本级和增强级进行了明确严格的规定,基本级要求只需符合功能定义即可,增强级则要求更加严格并引用已发布的相关国标。
如产品角色鉴别项,基本级要求“应设定有角色并具备响应的检测机制不同的访问或操作应有不同的权限,产品应拒绝任何不具备相应权限的访问或操作,防止未经授权的恶意人员登陆,破坏产品的安全性”,增强级要求“应采用经过国家商用密码认证机构认证的智能密码钥匙等表征身份的硬件装置,结合登录口令实现多因素的鉴别机制;其中口令长度应大于6 位,口令应至少包含数字、大小写字母,也可包含特殊字符。产品应实现 GB/T 15843 中规定的一种核准的鉴别机制”。
网络安全专用产品标准作为网络安全产品保障体系建设的重要组成部分,在提升网络安全保障能力、推动网络产品治理体系变革方面发挥着基础性、规范性、引领性作用。未来,安盟信息将始终秉持“让万物互联更简单、更安全”的愿景,坚持以国家标准规范为基准,不断加大关键核心技术攻关,加速网安技术与应用场景的深度融合,持续为用户提供更专业的安全产品、解决方案,护航国家数字经济高质量发展!