网络安全监管第三讲_信息安全技术与产品.pptVIP

密码服务技术——作用;密码服务技术——要求;密码服务技术——要求;密码服务技术——组成;密码服务技术——组成;密码服务技术——使用;密码服务技术——使用;密码服务技术——密钥的配用与管理;密码服务技术——密码服务系统接口; 一、商用密码的涵义 商用密码是指对不涉及国家秘密的信息进行加密保护或者安全认证所使用的密码技术和密码产品，是为确保商用信息安全而使用的一种技术措施。 ; 二、商用密码的特征 (一)商用密码的标准化特征 商用密码作为实现网络安全的重要技术措施，广泛使用于商业和个人信息领域，考虑到商用密码的广泛适用性，要求加以标准化。标准化的商用密码具有以下特征： (1)信息的加密(置乱)能力。 (2)密码算法和密码协议需经过严格论证和科学设计，具备抗攻击、抗破解能力。; (二)商用密码的专利保护 一般意义上，商用密码的研发和???产需要通过申请专利加以保护。DES建立在IBM开发并拥有专利(Lucifer)的密码基础上。同样，在数字签名领域广泛使用的RSA箅法也是通过专利保护的，这一算法的专利保护已于2000年9月20日到期。; (3)商用密码和国家秘密内容的密码有不同的设计要求，商用密码要求具有互通性。 (4）考虑到商用密码的可控性，商用密码算法设计和实现的商用应用应当公示，采用登记制度。 (5)在某些必要或特定情形下，要求商用密码的解密 (6)现存商用密码的兼容性和扩充性。主要是考虑密码升级后，以前用户的继续使用和密钥长度及算法强化的需要。; (三)商用密码的广泛用途 商用密码是用于信息加密保护和安全认证的密码技术和密码产品，其主要用途在于： 1. 信息加密保护 2. 安全认证：数字签名; 一、商用密码的研发 商用密码产品是保护不涉及国家秘密的信息安全又为国家专控的特殊产品。这个特殊产品要求由指定单位按照统一的技术规范研制，以确保商用密码产品的安全性、可靠性和互通性。 商用密码的研制开发体现国家密码管理部门与商用密码科研单位之间的“指定”关系。所谓“指定”关系，是指商用密码的研究开发项目只能由国家密码管理部门所认可的单位承担，未经国家密码管理部门指定，任何单位不能从事商用密杩的研究开发。; 根据《商用密码管理条例》第五条的规定，被指定的商用密码科研单位必须具备以下条件： (1)具有相应的技术力量和设备； (2)具有先进的编码理论和技术； (3)编制的商用密码算法具有较高的保密强度和抗攻击能力。 ;商用密码科研定点单位 1、 信息产业部数据通信科学技术研究所 2、 北京数安科技有限公司 3、 北京电子科技学院 4、 中国科学院数据与通信保护研究教育中心 5、 江南计算技术研究所 6、 成都卫士通信息产业股份有限公司 7、 济南得安计算机技术有限公司 ……; 二、商用密码成果的审核、鉴定 商用密码的科研成果，必须经过由国家密码管理部门组织专家按照商业密码技术标准和技术规范进行的审查、鉴定。未经审核、鉴定的商用密码科研成果不得进行生产和销售(《商用密码管理条例》第六条)。 ; 二、商用密码成果的审核、鉴定 (一)鉴定组织者 国家密码管理部门组织商用密码的审核鉴定。审核鉴定的组织者应当负责聘请国家信息安全专家，制定商用密码审核鉴定的技术标准、明确审核鉴定的法律依据、制定鉴定的程序和原则。 商用密码的组织者对于鉴定结果应当作出明确的审核决定。; 二、商用密码成果的审核、鉴定 (二)鉴定人员 鉴定人员由国家信息安全专家，特别是密码专家组成 信息安全专家参加商用密码鉴定应当取得国家密码管理部门的相应资格。 鉴定资格表明鉴定人的信息安全技术能力，反映鉴定人的权利、义务和责任。; 二、商用密码成果的审核、鉴定 (二)鉴定人员 信息安全专家参加商用密码的鉴定活动，与一般意义的“技术咨询”不同。 咨询者就具体技术所提出的咨询意见仅供委托人决策参考，委托人是否采纳咨询建议，由委托人自主决定，技术咨询者对委托人采纳咨询建议的法律后果，一般不承担任何责任。 而商用密码的鉴定人取得鉴定资格，接受密码管理部门的委托，应当坚持诚实信用，积极、谨慎、忠实地对商用密码作出正确的鉴定。因鉴定人的过错，对“缺陷”商用密码作出肯定的结论，应当承担相应的法律责任。; 二、商用密码成果的审核、鉴定 (三)鉴定原则 商用密码的鉴定结论关系到国家安全和社会公共安全，也关系到信息系统使用单位的合法利益，因此国家密码管理部门组织商用密码的审核鉴定，必须遵循一定的“鉴定原则”。; 二、商用密码成果的审核、鉴定 (三)鉴定原则 1 法制原则 法制原则是商用密码审核鉴定的基本原则。审核鉴定必须严格依照法律的规定，对商用密码的