HSM全称硬件安全模块,是数据安全领域的关键硬件设备,是公钥基础设施的一部分。本文从国密0054出发,概要分析了HSM也就是通常说的服务器密码机需要遵循的国密相关标准,以及与等保的关系。
一、信息系统密钥应用的基本要求
1、总体要求适用于所有级别的信息系统
2、不同安全保护等级的信息系统在国密0054中都有具体的指标要求。
3、密码算法一般采用我国公开的SM2/3/4/9算法。
4、密码产品依据GM/T 0028-2014确认安全技术等级,并依据GM/T 0039-2015通过检测。
5、密码服务通过国家密码管理部门许可。比如CA需要获得《电子认证服务使用密码许可证》后申请工信部《电子认证服务许可证》。
二、密码模块、密码产品的定义
密码模块:实现密码运算、密钥管理等功能的硬件、软件、固件或者其组合。是除了密码芯片和密码系统外所有密码产品类型,包括密码卡类、密码机类、智能密码钥匙类、智能卡类,以及软件或固件形态的密码产品可以进行认证。
密码产品:既包含GM/T 0028-2014《密码模块安全技术要求》定义的密码模块,还需满足包含安全芯片及密码服务系统(如CA系统、电子签章系统、动态口令认证系统)等的相关标准规范。
对于密码模块的供应商,在进行产品送检测评过程中,如果密码模块内部采用了其他子密码模块,且该子密码模块已作为独立的密码模块产品通过了检测认证,则测评机构在认证该密码模块时,对于子模块部分的安全评估和检测可以从简。反之,则需对该子密码模块进行详细的安全评估和检测,并且在此情况下,该子密码模块仅可以与送测的密码模块配套销售和使用,不可以作为独立的密码模块产品进入市场销售。
三、产品类别及遵循的安全等级标准
服务器密码机根据前述的定义,属于密码模块,主要遵循以下几个标准:
GM/T 0028-2014《密码模块安全技术要求》
GM/T 0039-2015《密码模块安全检测要求》
GM/T 0030-2014《服务器密码机技术规范》
GM/T 0059-2018《服务器密码机检测规范》
涉及到的关联标准还有以下几个:
GMT 0018-2012密码设备应用接口规范
GMT 0005-2012随机性检测规范
GMT 0050-2016密码设备管理设备管理技术规范
每个标准内还有其他关联标准,此处未一一列出。
四、等保2.0背景下产品设计原则
1,无论选用何种密码产品,其密码模块安全级别应与信息系统的安全等级相匹配。
2,无论选用哪个等级的密码产品,其功能、性能等特性应符合相应的密码行业标准或国家标准的要求。
3,无论选用何种密码产品,其用途应与信息系统的安全设计技术要求相匹配。
