安全芯片密码检测、密码模块安全检测、与等保2.0

前面我们知道GM/T 0008-2012《安全芯片密码检测准则》将安全芯片密码等级分为3个等级！

而在GM/T 0028-2015《密码模块安全技术要求》和GM/T 0039-2015《密码模块安全检测要求》，将密码模块安全等级分为4个等级!

这两个检测规范之间有什么关系？

简而言之就是芯片与模块之间的区别！

规范上定义：密码模块是指一系列包含于密码边界之中的硬件、软件、固件或它们之间的组合的集合，该集合至少使用一个核准的密码算法、安全功能或进程，实现一项或多项已定义的密码服务。

密码模块标准适用于除密码芯片和系统软件外的各种密码产品类型，如智能IC卡、智能密码钥匙、密码机、密码卡、V**网关、支付终端等，并且涵盖密码产品设计、实现、测评和维护的各个领域，对密码行业相关产品的开发、测试和应用提供了指导，是今后密码行业产品安全性要求、测评和应用的指导性文件。

所以我们会看到如下类似新闻：

那前面讲到的等保级别与密码模块安全等级有什么关系？

在等保2.0的大背景下应遵照以下原则！

1，无论选用何种密码产品，其密码模块安全级别应与信息系统的安全等级相匹配。

2，无论选用哪个等级的密码产品，其功能、性能等特性应符合相应的密码行业标准或国家标准的要求。

3，无论选用何种密码产品，其用途应与信息系统的安全设计技术要求相匹配。

如果使用密码产品的组合来满足信息系统的安全设计技术要求（例如密码键盘与动态令牌组合满足等保三级关于身份鉴别的要求），组合中所包含的各个密码产品均应符合上述三点原则。

密码芯片和密码系统不适用密码模块安全等级。如果信息系统直接使用密码芯片，密码芯片的安全等级应与信息系统的安全等级相匹配；如果信息系统使用密码系统，密码系统除了符合适用的密码标准之外，还应符合相关的密码规章（例如电子认证系统除了符合GM/T 0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》的要求之外，还应符合国家密码管理局《电子认证服务密码管理办法》的规定），且密码系统所包含的各密码产品（例如证书认证系统中包含的智能密码钥匙）均应符合上述三点原则。

注：本文大量参考公开的标准规范。