科学研究

当前位置:澳门威斯尼人平台登陆 > 科学研究 > 和每个人都有关,中国将对部分信息安全产品实

和每个人都有关,中国将对部分信息安全产品实

来源:http://www.tessiz.com 作者:澳门威斯尼人平台登陆 时间:2019-11-20 15:11

【据《中国高新技术产业导报》 2008年03月17日报道】国家质检总局、国家认监委日前联合下发公告,将对边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全、评估审计与监控、应用安全8类包括防火墙、安全路由器、反垃圾邮件产品在内的13种信息安全产品实施强制性认证。 公告指出,自2009年5月1日起,凡列入此次强制性认证目录内的信息安全产品,未获得强制性产品认证证书和未加施中国强制性认证标志的,不得出厂、销售、进口或在其他经营活动中使用。据了解,近年来,利用互联网实施诈骗事件屡见不鲜,计算机病毒层出不穷,信息系统漏洞、网络窃密、网络攻击、垃圾电子邮件、虚假有害信息内容和网络违法犯罪等问题日趋突出。信息安全产品强制性认证制度的建立和实施将在解决上述问题,维护国家安全、经济安全和社会稳定方面发挥重要作用。

【据《中国新闻网》 2008年03月05日报道】针对利用互联网实施诈骗事件频繁发生的情况,中国国家认监委今天表示,中国将对部分信息安全产品实施强制性认证。根据中国有关法律法规,中国国家质检总局、国家认监委联合下发公告,将对边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全、评估审计与监控、应用安全等八类包括防火墙、安全路由器、反垃圾邮件产品在内的十三种信息安全产品实施强制性认证。自二00九年五月一日起,凡列入本强制性认证目录内的信息安全产品,未获得强制性产品认证证书和未加施中国强制性认证标志的,不得出厂、销售、进口或在其他经营活动中使用。近年来,随着信息产业的快速发展,信息安全成为世界各国面临的共同挑战。利用互联网实施诈骗事件屡见不鲜,计算机病毒层出不穷,信息系统漏洞、网络窃密、网络攻击、垃圾电子邮件、虚假有害信息内容和网络违法犯罪等问题日趋突出。中国国家认监委有关人士表示,信息安全产品强制性认证制度的建立和实施将对解决上述问题,维护国家安全、经济安全和社会稳定方面,发挥重要作用。

发文单位:国家认证认可监督管理委员会 国家质量监督检验检疫总局

摘要 昨天(26日),《中华人民共和国密码法》经十三届全国人大常委会第十四次会议表决通过,自2020年1月1日起正式施行,标志着我国在密码的应用和管理等方面有了专门性的法律保障。

文  号:国家质量监督检验检疫总局、国家认证认可监督管理委员会公告2008年第7号

昨天(26日),《中华人民共和国密码法》经十三届全国人大常委会第十四次会议表决通过,自2020年1月1日起正式施行,标志着我国在密码的应用和管理等方面有了专门性的法律保障。

发布日期:2008-1-28

《中华人民共和国密码法》围绕“怎么用密码、谁来管密码、怎么管密码”,重点规范了5方面44条内容,明确立法目的是“为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益”,强调“坚持党对密码工作的领导”,规定“中央密码工作领导机构对全国密码工作实行统一领导”,国家密码管理部门也就是国家密码管理局负责管理全国的密码工作。

执行日期:2008-1-28

为什么要针对密码工作制定专门法律呢?国家密码管理局有关负责人介绍,在网络与信息时代,每天都有海量信息产生,社会公众使用密码保护网络与信息安全的意识还不够强,网络诈骗、个人隐私泄露等问题频发,特别是重要网络与信息系统密码应用的规范性、有效性不够等问题还比较突出,严重威胁国家网络与信息安全、企业商业秘密以及公民个人隐私保护。

生效日期:1900-1-1

国家密码管理局新闻发言人李国海:密码是保障网络与信息安全的核心技术和基础支撑,直接关系国家的政治安全、经济安全、信息安全。它对国家安全和网络安全有重要的意义,制定《密码法》就是为了适应我国网络安全的新形势,提升密码工作的科学化、法治化、规范化水平,保障网络与信息安全。

  根据《中华人民共和国产品质量法》、《中华人民共和国标准化法》、《中华人民共和国进出口商品检验法》、《中华人民共和国认证认可条例》、《强制性产品认证管理规定》和《关于建立国家信息安全产品认证认可体系的通知》,现决定对部分信息安全产品实施强制性认证。《第一批信息安全产品强制性认证目录》见附件。

《密码法》将密码分为核心密码、普通密码和商用密码三类,实行分类管理,其中核心密码、普通密码用于保护国家秘密信息,属于国家秘密;商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

  自2009年5月1日起,凡列入本强制性认证目录内的信息安全产品,未获得强制性产品认证证书和未加施中国强制性认证标志的,不得出厂、销售、进口或在其他经营活动中使用。

国家密码管理局新闻发言人李国海:因为三类密码保护信息的对象不同,对其进行明确划分,是我们密码科学管理的一个经验总结,这样有利于确保密码安全保密,也有利于密码管理部门根据保护对象的不同进行科学管理,充分发挥三类密码在保障网络与信息安全方面的重要作用。

  特此公告。

什么是密码?

  二〇〇八年一月二十八日

《密码法》中所说的密码是什么?和我们老百姓常用的手机密码、银行密码这些有什么区别呢?我们一起来了解一下。

  附件:第一批信息安全产品强制性认证目录

《密码法》中的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。举个例子,小张约小王去食堂吃饭,但是不想让别人知道,相互约定以“0”代表小张,“1”代表小王,“7”代表食堂,“9”代表吃饭,“0179”就代表了“小张约小王去食堂吃饭”这样的意思,这个过程中,数字和语义之间的替代就是最原始的一种“密码”。

产品类别 

当然,在如今的信息社会,密码的形式变得数字化,也更加复杂。一般来说,密码技术有加密保护和安全认证两个功能。加密保护就是通过加密算法将明文变成密文。安全认证则是采用特定变换的方法,确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实。

产品名称 

中国科学院院士清华大学教授王小云:安全认证,从简单理解就和你的身份证是差不多的,通过(密码技术)检测,它可以高安全地认证你的身份。

产品的定义和适用范围 

我们平时所说的手机密码、银行密码等等,实际上应该称为“口令”,是一种简单、初级的身份认证手段,属于最简易的密码。

1、边界安全 

中国科学院院士清华大学教授王小云:澳门威斯尼人平台登陆,口令安全级别比较低,有时候也可以称为密码,但是我们一般说的密码都是我们研究的数学密码技术,比如加密算法、签名算法,这类密码技术的安全性是非常高的。

1)防火墙 

部分商用密码需强制检测认证

防火墙产品是指一个或一组在不同安全策略的网络或安全域之间实施网络访问控制的系统。
适用的产品范围为:(1)以防火墙功能为主体的软件或软硬件组合;(2)其它网络产品中的防火墙模块;不适用个人防火墙产品。 

商用密码覆盖了我们生活的方方面面,《密码法》秉持开放的态度,鼓励建设统一、开放、竞争、有序的商用密码市场体系,那么如何能保障商用密码在各领域使用的安全性呢?

2)网络安全隔离卡与线路选择器 

《密码法》中对部分商用密码产品规定了强制检测认证机制,强调“商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益”,规定“涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供”。同时,“对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制”。

网络安全隔离卡是指安装在计算机内部,能够使连接该计算机的多个独立的网络之间仍然保持物理隔离的设备。安全隔离线路选择器是与配套的安全隔离卡一起使用,适用于单网布线环境下,使同一计算机能够访问多个独立的网络,并且各网络仍然保持物理隔离的设备。
适用的产品范围为:(1)安全隔离计算机;(2)安全隔离卡;(3)安全隔离线路选择器。 

国家密码管理局新闻发言人李国海:(这些规定)主要考虑是维护国家安全、社会公共利益和人民群众的合法权益,这些也符合党中央、国务院放管服改革的有关精神,和相关的法律法规,也是国际上的通行做法。

3)安全隔离与信息交换产品 

强调保密义务维护信息安全

安全隔离与信息交换产品是指能够保证不同网络之间在网络协议终止的基础上,通过安全通道在实现网络隔离的同时进行安全数据交换的软硬件组合。
适用的产品范围为:(1)安全隔离与信息交换产品;(2)安全隔离与文件单向传输产品。 

此外,《密码法》还强调了保密义务,规定:“商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务”;“密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。” 同时对违反相关规定应当承担的法律后果等内容也进行了规定。

2、  通信安全 

相关报道

4)安全路由器            

习近平签署第三十五号、三十六号主席令

安全路由器是指为保障所传输数据完整性、机密性、可用性,应用于重要信息系统的,具备IKE密钥协商能力,端口IPSec硬件线速加密能力的路由器。 
适用的产品范围为分:集成了IPSec/SSL,以及防火墙、入侵检测、安全审计等一种或多种安全模块的路由器,仅接入公用电信网的路由器除外。 

3、身份鉴别与访问控制 

5)智能卡COS 

智能卡芯片操作系统(COS-Chip  Operating  System)是指在智能卡芯片中存储和运行的、以保护存储在非易失性存储器中的应用数据或程序的机密性和完整性、控制智能卡芯片与外界信息交换为目的的嵌入式软件。
适用的产品范围为:(1)采用接触或/和非接触工作方式的智能卡的COS;(2)其它被集成或内置了的COS。 

4、数据安全 

6)数据备份与恢复产品 

数据备份与恢复产品是指实现和管理信息系统数据的备份和恢复过程的软件。
适用的产品范围为:独立的数据备份与恢复管理软件产品,不包括数据复制产品和持续数据保护产品。 

5、基础平台   

7)安全操作系统 

安全操作系统是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略,并实现了GB  17859-1999 《计算机信息系统等级保护划分准则》所确定的安全等级三级(含)以上的操作系统。
适用的产品范围为:(1)独立的安全操作系统软件产品;(2)集成或内置了安全操作系统的产品。 

8)安全数据库系统 

安全数据库系统是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略,并实现GB  17859-1999  《计算机信息系统等级保护划分准则》所确定的安全等级三级(含)以上的数据库系统。
适用的产品范围为:(1)独立的安全数据库系统软件产品;(2)集成或内置了安全数据库系统的产品。 

6、内容安全 

9)反垃圾邮件产品 

反垃圾邮件产品是指对按照电子邮件标准协议实现的电子邮件系统中传递的垃圾邮件进行识别、过滤的软件或软硬件组合。
适用的产品范围为:(1)透明的反垃圾邮件网关;(2)基于转发的反垃圾邮件系统;(3)与邮件服务器一体的反垃圾邮件的邮件服务器;(4)  安装于已有邮件服务器上反垃圾邮件软件。 

7、评估审计与监控 

10)入侵检测系统(IDS)       

入侵检测系统指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,发现违反安全策略的行为和被攻击迹象的软件或软硬件组合。
适用的产品范围为:(1)网络型入侵检测系统;(2)主机型入侵检测系统。 

11)网络脆弱性扫描产品         

网络脆弱性扫描产品指利用扫描手段检测目标网络系统中可能被入侵者利用的脆弱性的软件或软硬件组合。
适用的产品范围为:网络型脆弱性扫描产品;不适用:主机型脆弱性扫描产品;数据库的脆弱性扫描产品;WEB应用的脆弱性扫描产品。 

12)安全审计产品           

安全审计产品指能够对网络应用行为或信息系统的各种日志实行采集、分析,形成审计记录的软件或软硬件组合。
适用的产品范围为:将主机、服务器、网络、数据库及其它应用系统等一类或多类作为审计对象的产品。 

8、应用安全 

13)网站恢复产品 

网站恢复产品是对受保护的静态网页文件、动态脚本文件及目录的未授权更改及时地进行自动恢复的软件或软硬件组合。
适用的产品范围为:针对静态网页文件、动态脚本文件及目录进行自动恢复的产品。 

本文由澳门威斯尼人平台登陆发布于科学研究,转载请注明出处:和每个人都有关,中国将对部分信息安全产品实

关键词: