Image
全國統一(yī)服務熱線
0351-4073466

關于密評,你需要知(zhī)道的!


編輯:2023-04-25 16:03:14

一(yī)、什麽是商(shāng)用密碼,爲什麽要使用商(shāng)用密碼?

密碼分(fēn)爲核心密碼、普通密碼和商(shāng)用密碼,我(wǒ)們日常工(gōng)作生(shēng)活中(zhōng)接觸到的多是商(shāng)用密碼。工(gōng)作中(zhōng),網上辦公、繳稅納稅等過程都有商(shāng)用密碼在起作用。生(shēng)活中(zhōng),第二代居民身份證就通過商(shāng)用密碼技術保證認證一(yī)緻,購買火(huǒ)車(chē)票(piào)、網絡購物(wù)等在線支付全過程都有商(shāng)用密碼的保護。

商(shāng)用密碼,是指對不涉及國家秘密内容的信息進行加密保護或安全認證所使用的密碼技術和密碼産品。其中(zhōng),商(shāng)用密碼技術,是保障信息安全的核心技術。從功能上看,主要包括加密保護技術和安全認證技術;從内容上看,主要包括密碼算法、密鑰管理和密碼協議。商(shāng)用密碼産品,是指采用密碼技術對不涉及國家秘密内容的信息進行加密保護或安全認證的産品,即承載密碼技術、實現密碼功能的實體(tǐ)。按照形态劃分(fēn),商(shāng)用密碼産品分(fēn)爲六類,即軟件、芯片、模塊、闆卡、整機、系統;按照功能劃分(fēn),商(shāng)用密碼産品分(fēn)爲七類,即密碼算法類、數據加解密類、認證鑒别類、證書(shū)管理類、密鑰管理類、密碼防僞類和綜合類。

密碼是網絡信任體(tǐ)系的重要基石,是目前******上公認的,保障網絡與信息安全***有效、***可靠、***經濟的關鍵核心技術。《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規均不同程度地提到要使用商(shāng)用密碼。在信息互聯時代,密碼除傳統加密外(wài),主要體(tǐ)現在身份認證、權限管理、訪問控制等。數字經濟時代,密碼的作用不斷擴展到數據流通、數據共享等新維度,密碼技術自身也需要持續革新。

二、商(shāng)用密碼應用安全性評估(簡稱“密評”)是什麽,哪些單位需要開(kāi)展密評工(gōng)作?

“密評”是指在采用商(shāng)用密碼技術、産品和服務集成建設的網絡和信息系統中(zhōng),對其密碼應用的合規性、正确性和有效性進行評估。

34970

國家網絡安全和密碼相關法律法規明确要求非涉密的關鍵信息基礎設施、等保三級及以上系統、國家政務等重要信息系統要開(kāi)展密評工(gōng)作。并且,密評管理辦法也明确規定:關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,需要每年至少評估一(yī)次。


三、不做密評或測試結果不合格會有哪些影響呢?

● 首先,是《密碼法》第三十七條******款指出:關鍵信息基礎設施的運營者未按照要求使用商(shāng)用密碼,或者未按照要求開(kāi)展密評的,由密碼管理部門責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,将處十萬元以上一(yī)百萬元以下(xià)罰款。

● 《國家政務信息化項目建設管理辦法》第二十八條第三款也有提到:對于不符合密碼應用和網絡安全要求,或者存在重大(dà)安全隐患的政務信息系統,不安排運行維護經費(fèi),項目建設單位不得新建、改建、擴建政務信息系統。


四、密評在密碼應用部署過程中(zhōng)所處的位置,全過程涉及的參與方有哪些?

項目建設單位應當落實國家密碼管理有關法律法規和标準規範的要求,同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。



五、密評主要由哪些機構開(kāi)展?

從事密評活動的機構,應當經國家密碼管理部門認定,依法取得商(shāng)用密碼檢測機構資(zī)質。


六、開(kāi)展密評工(gōng)作主要參考哪些标準規範?

參考的标準主要分(fēn)爲兩類:

******類是基本要求

65503

● 第二類是評估方法

目前主要參考的文件是2021年發布的GM/T 0115-2021《信息系統密碼應用測評要求》、GM/T 0116-2021《信息系統密碼應用測評過程指南(nán)》,中(zhōng)國密碼學會密評聯委會修訂形成的《信息系統密碼應用高風險判定指引》《商(shāng)用密碼應用安全性評估量化評估規則》。

密評量化評估滿分(fēn)100分(fēn),得分(fēn)大(dà)于等于60分(fēn)且沒有高風險項爲基本合格。

七、密評的服務内容主要有哪些?

密評工(gōng)作主要包括兩部分(fēn)内容:一(yī)是信息系統規劃階段的密碼應用方案評估,這一(yī)環節主要用于保證建設方案的安全性;二是信息系統建設完成後針對該系統開(kāi)展現場測試。

● 方案評估階段

主要針對新建或改造信息系統,密碼應用改造方案一(yī)般由用戶單位組織編寫,用戶單位編寫密碼應用建設方案/改造方案後,應委托專家對方案進行評估或委托密評機構出具方案密評報告。

● 系統評估階段

111201

注:密評系統的定級參照網絡安全等級保護的系統定級。

八、密評過程主要包括哪些環節?

密評過程(見下(xià)圖)分(fēn)爲四個基本測評活動:測評準備活動、方案編制活動、現場測評活動、分(fēn)析與報告編制活動;測評雙方之間的溝通與洽談貫穿整個密碼應用安全性評估過程。其中(zhōng),測評對象包括安全人員(yuán)、管理員(yuán)、密碼産品、網絡設備、服務器、數據庫、安全設備、操作系統、應用系統、業務系統、技術文檔、管理制度文檔等;測評工(gōng)具涉及協議分(fēn)析工(gōng)具、端口掃描工(gōng)具、滲透測試工(gōng)具、算法和随機性檢測工(gōng)具、密碼應用檢測工(gōng)具、密碼安全協議檢測工(gōng)具等。

49486


九、取得密評報告後應如何去(qù)管理部門備案?

按照《密碼法》确定的屬地管理原則,應由運營者所在地的密碼管理部門作爲備案部門,由省級密碼管理部門作爲一(yī)般備案部門,國家密碼管理局作爲特殊備案部門。自密評報告出具之日起30日内,填寫《網絡與信息系統密評備案信息表》,并按備案表要求,附上密評合同和密評報告,郵寄到所屬地密碼管理局。

45944


Image
Image
版權所有:山西朋友你好科技有限公司  
咨詢熱線:0351-4073466 
地址:(北(běi)區)山西省太原市迎澤區新建南(nán)路文源巷24号文源公務中(zhōng)心5層
           (南(nán)區)太原市小(xiǎo)店(diàn)區南(nán)中(zhōng)環街529 号清控創新基地A座4層
Image
©2021 山西朋友你好科技有限公司 晉ICP備15000945号 技術支持 - 資(zī)海科技集團