前面我们知道GM/T 0008-2012《安全芯片密码检测准则》将安全芯片密码等级分为3个等级!
而在GM/T 0028-2015《密码模块安全技术要求》和GM/T 0039-2015《密码模块安全检测要求》,将密码模块安全等级分为4个等级!
这两个检测规范之间有什么关系?
简而言之就是芯片与模块之间的区别!
规范上定义:密码模块是指一系列包含于密码边界之中的硬件、软件、固件或它们之间的组合的集合,该集合至少使用一个核准的密码算法、安全功能或进程,实现一项或多项已定义的密码服务。
密码模块标准适用于除密码芯片和系统软件外的各种密码产品类型,如智能IC卡、智能密码钥匙、密码机、密码卡、V**网关、支付终端等,并且涵盖密码产品设计、实现、测评和维护的各个领域,对密码行业相关产品的开发、测试和应用提供了指导,是今后密码行业产品安全性要求、测评和应用的指导性文件。
所以我们会看到如下类似新闻:
那前面讲到的等保级别与密码模块安全等级有什么关系?
在等保2.0的大背景下应遵照以下原则!
1,无论选用何种密码产品,其密码模块安全级别应与信息系统的安全等级相匹配。
2,无论选用哪个等级的密码产品,其功能、性能等特性应符合相应的密码行业标准或国家标准的要求。
3,无论选用何种密码产品,其用途应与信息系统的安全设计技术要求相匹配。
如果使用密码产品的组合来满足信息系统的安全设计技术要求(例如密码键盘与动态令牌组合满足等保三级关于身份鉴别的要求),组合中所包含的各个密码产品均应符合上述三点原则。
密码芯片和密码系统不适用密码模块安全等级。如果信息系统直接使用密码芯片,密码芯片的安全等级应与信息系统的安全等级相匹配;如果信息系统使用密码系统,密码系统除了符合适用的密码标准之外,还应符合相关的密码规章(例如电子认证系统除了符合GM/T 0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》的要求之外,还应符合国家密码管理局《电子认证服务密码管理办法》的规定),且密码系统所包含的各密码产品(例如证书认证系统中包含的智能密码钥匙)均应符合上述三点原则。
注:本文大量参考公开的标准规范。