有密码产品。对于已有技术标准和测试标准的密码产品,除按照现有标准对产品进行功能性测试Z外,其安全性需按照GM/T0028-2014«密码模块安全技术要求》和GM/T0039-2015《密码模块安全检测要求》进行更全面、系统的评估和测试。现行产品在型号证书有效期满后,重新进行安全评估时,需在原有测评内容基础上增加密码模块安全检测内容。6.关于密码模块选用的建议6.1应用环境的防护能力与密码模块选择密码模块及其运行环境共同构成了密码安全防护系统。可以认为:在低安全防护能力的运行环境中选用高安全等级的密码模块,与在高安全防护能力的运行环境中使用较低安全等级的密码模块,能达到类似的安全防护效果。因此,应综合考虑密码模块的运行环境自身的安全防护能力、被保护系统和被保护资产的价值等各方而因素,选择合适安全等级的密码模块。例如,在金融支付领域,同样需要获得10000元的支付权限。在通用PC等无保户的低安全运行环境下,应使用较高安全级别的密码模块(如可视按键型智能密码钥匙等);而在具有一定安全保护能力的支付终端上,则可选用低一个级别的密码模块(如普通的智能密码钥匙等)。6.2信息资产重要程度与密码模块选择信息资产包括数据、系统提供的服务以及相关的各类资源,其重要程度与所在的行业、业务场景以及影响范圉有很大关系。信息资产重要程度的界定由用户机构或其主管机构负责,可参考标准GB/T22240-2008《信息安全技术信息系统安全保护等级定级指南》和GB/T20984-2007《信息安全技术信息安全分险评估规范》。重要信息系统中密码模块的选用还要符合其业务主管部门的相关要求。不同系统的重要程度不同,一个系统中的不同功能模块其重要程度也不尽相同。以电子银行系统为例,系统与银行账户资金直接相关,重要程度非常高。架构上分为用户使用的个体终端和整个系统的后台两部分。其中,某个用户的终端岀现安全问题影响到自
全文预览
