《商用密码管理条例》第五十三条规定,“销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得10万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足10万元的,可以并处3万元以上10万元以下罚款”。
简单来说,商用密码产品认证证书就是商用密码产品检测认证合格的证明。商用密码产品认证证书的样式如下所示:
其中,
“委托人”是委托产品认证的组织,是产品认证结果在法律意义上的持有者。商用密码产品认证证书载明的委托人名称与地址,与委托人的营业执照一致。通过核验密码产品供应商的营业执照,可以明确该供应商是否为这张商用密码产品认证证书的拥有者。
“生产者(制造商)”是对产品的设计、制造、评定、处置和存储等各阶段承担全部责任的组织,对产品持续地符合认证要求负责。密码行业标准GM/T 0065《商用密码产品生产和保障能力建设规范》要求,“产密码核心技术应具有自主知识产权,禁止核心技术外包或产品贴牌”。相应地,生产者通常与委托人一致,或者是委托人的分支机构。“生产企业”是对产品进行最终装配和/或实验及加施认证标志的组织。类似地,生产企业通常与委托人及生产者一致,或者是其分支机构(如下所示)。
“产品名称和型号、版本”由委托人在申请(委托)进行商用密码产品认证时自行声明。在密评过程中,通常通过核验购销合同中载明的产品名与商用密码产品认证证书的名称是否一致来确定是否使用了合规的商用密码产品。
产品名称应当表明产品的真实属性,不符合要求的产品名称(例如无法体现产品所属的产品类别,或者与产品真正的所属类别不符)可能被拒绝受理。产品类别的范围和名称以国家密码管理局会同市场监管总局发布的《商用密码产品目录》为准。
截至目前,《商用密码产品目录》已先后发布三批,涵盖32类产品。特别是其中的第22类“其他密码模块”,如果归为该类,产品名称中必须包含“密码模块”。
“产品标准和技术要求”体现了对该产品进行商用密码产品认证时所依据的标准,由此也限定了商用密码产品认证的适用范围。具体所依据的标准以产品所属类别在《商用密码产品目录》中规定的认证依据为准。例如,飞天诚信动态令牌OTP归类为14类“动态令牌”,所获得的商用密码产品认证证书中载明的产品标准包括GM/T 0021《动态口令密码应用技术规范》以及GM/T 0028《密码模块安全技术要求》,与《商用密码产品目录》相符。
值得注意的是,个别商用密码产品认证证书的产品名称包含“动态令牌”,但“产品标准和技术要求”中载明的标准并不像飞天诚信动态令牌OTP那样包含GM/T 0021
这意味着该产品归类为第22类“其他密码模块”。相应地,认证范围可能并不包括该产品是否符合GM/T 0021的要求。参照《商用密码应用安全性评估FAQ(第三版)》的指导意见,在密评中如果遇到这种情况,仅靠商用密码产品认证证书是不够的,需结合认证证书对应的检测报告,确认被测系统密码应用方案中所描述的拟使用的产品密码功能(或被测系统实际使用时所调用的产品密码功能)与送检产品所提供的密码功能的一致性。
——THE END——
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...