密码行业标准体系由四类标准组成,这四类标准既能支撑密码产品研制、应用和管理,也能支撑其他行业用户建立此行业密码应用标准。
1.基础类标准
基础类标准向密码应用、服务、检测与管理给出了底层支撑。基础类标准不仅含密码算法、术语、协议等用来构建商用密码标准体系的基本元素,也包括密码模块、设备等密码基础产品的规范要求。基础类标准在密码行业内可直接应用,也可为其他行业密码应用、标准制定提供依据,有普遍的指导意义。基础类标准含四个子类标准:密码术语/密码标识子类标准、密码算法及使用子类标准、密码协议子类标准、密码产品子类标准。
2.应用类标准
应用类标准用来规范在不一样的安全目标、应用场景、业务应用系统下的密码应用与服务,确保完成特定密码功能以及功能实现的合规性。为保证信息交换安全,大部分信息系统都需密码应用标准的支持。应用类标准包括两个子类标准:密码服务子类标准、行业密码应用子类标准。
3.检测类标准
检测类标准是评估与检测密码算法、产品与系统的合规性、可操作性、安全性、可用性、可靠性的标准。检测类标准主要使密码算法功能、服务、产品等满足正确性、合规性。检测类标准包括三个子类标准:密码算法检测子类标准、密码产品检测子类标准、密码系统测评子类标准。
4.管理类标准
管理类标准是使密码算法、产品、系统、服务和应用安全的非技术标准,即对密码行业中需协调统一的管理事项制定的标准。管理类标准包括四个子类标准:密码产品管理子类标准、密码检测机构能力与质量管理子类标准、密码服务机构能力和质量管理子类标准、运维管理子类标准。
(二)四类标准之间的关系
基础类标准、应用类标准、检测类标准和管理类标准相互间联系紧密。其中,基础类标准给其余三类标准给出底层、共性支撑;检测类标准给基础类标准与应用类标准提供合规性检测功能,保障密码使用的合规性;管理类标准对基础类、应用类及检测类3类标准给出管理功能;应用类标准向上层具体密码应用与服务给出支撑。
