前言

針對信息安全產(chǎn)品的各項政策及標準相繼實施，為加強網(wǎng)絡安全專用產(chǎn)品安全管理，推動安全認證和安全檢測結果互認，避免重復認證、檢測，網(wǎng)信辦、工業(yè)和信息化部等眾多相關部門聯(lián)合發(fā)布《關于調(diào)整網(wǎng)絡安全專用產(chǎn)品安全管理有關事項的公告》。

公告聲明自2023年7月1日起，《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》停止頒發(fā)，產(chǎn)品生產(chǎn)者無需申領。

列入《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》的網(wǎng)絡安全專用產(chǎn)品應當按照《信息安全技術 網(wǎng)絡安全專用產(chǎn)品安全技術要求》等相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。

網(wǎng)信辦有關負責人在接受采訪時表示，安全認證合格或者安全檢測符合要求，具有同等市場準入效力，產(chǎn)品生產(chǎn)者不必重復申請測試。

在安全隔離與信息交換產(chǎn)品密碼檢測領域，由國家密碼管理局商用密碼檢測中心、北京安盟信息技術股份有限公司（簡稱“安盟信息”）等4家相關部門和單位參與制定，歸口密碼行業(yè)標準化技術委員會的《GM/T 0124-2022安全隔離與信息交換產(chǎn)品密碼檢測規(guī)范》（以下簡稱“標準”）于6月起正式實施。

標準的發(fā)布與實施主要影響到安全隔離與信息交換產(chǎn)品的檢測，因為安全隔離與信息交換產(chǎn)品若要獲得國家信息安全產(chǎn)品認證，前提是符合本標準要求并通過相關測試機構檢測獲得檢測證書及報告，然后再由測試機構依據(jù)《GB/T20279-2015 信息技術 網(wǎng)絡和終端隔離產(chǎn)品安全技術要求》檢查通過后才可獲得認證。

標準由原檢測規(guī)范升級為行業(yè)標準，規(guī)定了安全隔離與信息交換產(chǎn)品密碼的檢測內(nèi)容、檢測要求、檢測方法及文檔要求，檢測內(nèi)容由原來的3項調(diào)整為12項，差異如下。

《GM/T 0124-2022安全隔離與信息交換產(chǎn)品密碼檢測規(guī)范》中涉及的其他標準主要：《GB/T 15843信息技術 安全技術 實體鑒別》《GB/T20279-2015 信息技術 網(wǎng)絡和終端隔離產(chǎn)品安全技術要求》《GM/T 0062 密碼產(chǎn)品隨機數(shù)檢測要求》《GB/T 32905 信息安全技術 SM3 密碼雜湊算法》《GB/T 32907 信息安全技術 SM4分組密碼算法》《GB/T 32918 信息安全技術 SM2 橢圓曲線公鑰密碼算法》《GB/T 32915 信息安全技術 二元序列隨機性檢測方法》《GB/T 20279-2015 信息安全技術 網(wǎng)絡和終端隔離產(chǎn)品安全技術要求》。

新標準針對基本級和增強級進行了明確嚴格的規(guī)定，基本級要求只需符合功能定義即可，增強級則要求更加嚴格并引用已發(fā)布的相關國標。

如產(chǎn)品角色鑒別項，基本級要求“應設定有角色并具備響應的檢測機制不同的訪問或操作應有不同的權限，產(chǎn)品應拒絕任何不具備相應權限的訪問或操作，防止未經(jīng)授權的惡意人員登陸，破壞產(chǎn)品的安全性”，增強級要求“應采用經(jīng)過國家商用密碼認證機構認證的智能密碼鑰匙等表征身份的硬件裝置,結合登錄口令實現(xiàn)多因素的鑒別機制；其中口令長度應大于6 位,口令應至少包含數(shù)字、大小寫字母，也可包含特殊字符。產(chǎn)品應實現(xiàn) GB/T 15843 中規(guī)定的一種核準的鑒別機制”。

網(wǎng)絡安全專用產(chǎn)品標準作為網(wǎng)絡安全產(chǎn)品保障體系建設的重要組成部分，在提升網(wǎng)絡安全保障能力、推動網(wǎng)絡產(chǎn)品治理體系變革方面發(fā)揮著基礎性、規(guī)范性、引領性作用。未來，安盟信息將始終秉持“讓萬物互聯(lián)更簡單、更安全”的愿景，堅持以國家標準規(guī)范為基準，不斷加大關鍵核心技術攻關，加速網(wǎng)安技術與應用場景的深度融合，持續(xù)為用戶提供更專業(yè)的安全產(chǎn)品、解決方案，護航國家數(shù)字經(jīng)濟高質(zhì)量發(fā)展！