Image
全國統一(yī)服務熱線
0351-4073466

商(shāng)用密碼應用安全性評估之七問


編輯:2023-04-25 16:07:16

一(yī)、爲什麽要做商(shāng)用密碼應用安全性評估?

商(shāng)用密碼應用安全性評估(簡稱“密評”)是指在采用商(shāng)用密碼技術、産品和服務集成建設的網絡和信息系統中(zhōng),對其密碼應用的合規性、正确性、有效性等進行評估。

當前,國際國内網絡空間安全形勢嚴峻,安全事件層出不窮,網絡空間正在加速演變爲各國争相搶奪的新疆域、戰略威懾與控制的新領域、意識形态鬥争的新平台、維護經濟社會穩定的新陣地、未來軍事角逐的新戰場。

對于我(wǒ)們國内來說,核心技術受制于人的局面沒有得到根本性改變,對于關鍵信息基礎設施的安全防護能力依然很弱,信息産品也存在巨大(dà)的安全隐患,基于以上,将商(shāng)用密碼應用與新技術深度融合,在維護國家安全、促進經濟發展、保護人民群衆利益中(zhōng)将發揮不可替代的作用。然而我(wǒ)國商(shāng)用密碼應用目前不廣泛,不規範,大(dà)量系統依舊(jiù)在使用已經被警示的密碼算法,極不安全。

基于目前的嚴重情況,《中(zhōng)華人民共和國密碼法》于202011日起實施,《密碼法》第二十七條規定,法律、行政法規和國家有關規定要求使用商(shāng)用密碼進行保護的關鍵基礎設施,其運營者應當使用商(shāng)用密碼進行保護,自行或者委托商(shāng)用密碼檢測機構開(kāi)展商(shāng)用密碼應用安全性評估。

《中(zhōng)華人民共和國網絡安全法》也指出,網絡運營者應當履行網絡安全保護義務,并明确在網絡安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護。采取技術措施和其他必要措施,維護網絡數據的完整性、保密性和可用性。

《商(shāng)用密碼應用安全性評估管理辦法(試行)》第三條和第二十條也分(fēn)别指出涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位(以下(xià)簡稱責任單位)應當健全密碼保障體(tǐ)系,實施商(shāng)用密碼應用安全性評估。

重要領域網絡和信息系統包括:基礎信息網絡、涉及國計民生(shēng)和基礎信息資(zī)源的重要信息系統、重要工(gōng)業控制系統、面向社會服務的政務信息系統,以及關鍵信息基礎設施,網絡安全等級保護第三級及以上信息系統。

二、哪些重要領域網絡和信息系統需要做密評?

基礎信息網絡:電(diàn)信網、廣播電(diàn)視網、互聯網;

重要信息系統:公共通信和信息服務、能源、交通、水利、金融、公共服務、教育、公安、住建、工(gōng)商(shāng)、社保、衛生(shēng)計生(shēng)、測繪地理信息等涉及國計民生(shēng)和基礎信息資(zī)源的重要信息系統;

重要工(gōng)業控制系統:核設施、航空航天、智能制造、石油石化、油氣管網、電(diàn)力系統、水利樞紐、城市設施等重要工(gōng)業控制系統。

面向社會服務的政務信息系統:黨政機關和使用财政性資(zī)金的事業單位、團體(tǐ)組織使用的面向社會服務的信息系統。


三、繼《密碼法》2020年1月施行以來,都有哪些地方出台了針對密碼應用的法規條例以指導各地相關部門執行?

  • 20191230日 國務院辦公廳印發《國家政務信息化項目建設管理辦法》 

  • 20204月 廣東省印發《廣東省政務信息化項目建設管理辦法》 

  • 2020412日 河北(běi)省印發《河北(běi)省省級政務信息化項目建設管理辦法》 

  • 2020826日 河南(nán)省印發《河南(nán)省政務雲管理辦法》 

  • 2020925日 江西省人民政府辦公廳印發《江西省政務信息化項目建設管理辦法》 

  • 20209月 吉林省印發《吉林省政務信息化項目建設管理辦法》 

  • 2020129日 中(zhōng)國密碼學會密評聯委會組織編制了《信息系統密碼應用測評要求》等5項指導性文件 

  • 2021317号 海南(nán)六部門聯合發布《關于進一(yī)步明确省政務信息化項目密碼應用有關要求的通知(zhī)》 

  • 2021330日 廣西省印發《廣西政務信息化項目建設管理辦法》 

  • 國家市場監管總局、國家标準化管理委員(yuán)會發布公告,正式發布國家标準GB/T39786-2021《信息安全技術信息系統密碼應用基本要求》,将于2021101日起實施。

  • 安徽省密碼管理局、安徽省财政廳印發《關于重要領域信息系統密碼應用工(gōng)作的通知(zhī)》

  • 北(běi)京市明确将密碼應用建設過程中(zhōng)的新建項目所需經費(fèi)列入同級政府固定資(zī)産投資(zī),升級改造和運行維護經費(fèi)列入同級财政預算,并對密碼應用情況進行事前審查。

  • 江蘇省财政廳、省密碼管理局聯合印發通知(zhī)并頒布《江蘇省密碼産品采購管理目錄》

  • 天津市委辦公廳、市政府辦公廳聯合印發《關于重要領域網絡與信息系統規範使用密碼的通知(zhī)》

  • 貴州省委辦公廳、省政府辦公廳印發《貴州省重要領域網絡與信息系統密碼應用審核實施意見》

  • 20217月,山東省濟南(nán)市密碼管理局聯合各主要單位印發《關于加強政務信息系統密碼應用與安全性評估工(gōng)作的通知(zhī)》

  • 2021610日,第十三屆全國人民代表大(dà)會常務委員(yuán)會第二十九次會議通過《中(zhōng)華人民共和國數據安全法》,于202191日起施行。

  • 202173日,《關鍵信息基礎設施安全保護條例》公布,于202191日起實施。

  • 2021820日,第十三屆全國人民代表大(dà)會常務委員(yuán)會第三十次會議通過《中(zhōng)華人民共和國個人信息保護法》,于2021111日起施行。

  • 2021年11月10日,重慶市人民政府辦公廳印發《重慶市人民政府辦公廳關于印發重慶市市級政務信息化項目管理辦法的通知(zhī)》。


四、如果不做密評或者密評結果不合格會有什麽影響?

《密碼法》第三十七條******款規定:關鍵信息基礎設施的運營者違反本法第二十七條******款規定,未按照要求使用商(shāng)用密碼,或者未按照要求開(kāi)展商(shāng)用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,處十萬元以上一(yī)百萬元以下(xià)罰款,對直接負責的主管人員(yuán)處一(yī)萬元以上十萬元以下(xià)罰款。

《國家政務信息化項目建設管理辦法》第二十八條第三款規定:對于不符合密碼應用和網絡安全要求,或者存在重大(dà)安全隐患的政務信息系統,不安排運行維護經費(fèi),項目建設單位不得新建、改建、擴建政務信息系統。

《商(shāng)用密碼應用安全性評估管理辦法(試行)》第二章第十條規定:關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,每年至少評估一(yī)次。


五、如何進行信息系統密評及密改?

密碼應用安全性評估包括兩部分(fēn)重要内容:一(yī)是信息系統規劃階段對密碼應用方案的評審和評估;二是信息系統建設完成後開(kāi)展的實際測評。可參考GM/T 0054-2018《信息系統密碼應用基本要求》中(zhōng)的條款爲主線,主要從總體(tǐ)要求、物(wù)理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、密鑰管理和安全管理等方面進行評測。由國家密碼管理局批準的專業測評機構進行評測,如剛接觸商(shāng)密并不熟悉,可委托第三方進行方案設計,方案完成後需經過專家讨論或者測評機構評審後進行密改。


六、密碼應用安全性評估的具體(tǐ)流程是什麽?

1、測評準備階段,主要是責任單位信息收集和系統自查,使測評機構******掌握被測系統密碼使用的詳細情況,爲測評工(gōng)作的開(kāi)展打下(xià)基礎。

2、方案編制階段,正确合理确定測評對象、測評邊界、測評指标等内容,并依據技術标準、規範編制測評方案、測評結果記錄表格,測評方案應通過技術評審并有相關記錄。

3、現場測評階段,嚴格執行測評方案中(zhōng)的内容和要求。

4、報告編制階段,給出測評結論,形成測評報告。


七、取得了密評報告後應向哪些部門和機構進行備案?

根據現有規定,責任單位取得報告後,被測單位自行上報主管部門及所在地區(部門)密碼管理部門備案,測評機構上報國家密碼管理局備案,等保三級及以上信息系統,評估報告還需由被測單位上報至所在地區公安部門備案。


Image
Image
版權所有:山西朋友你好科技有限公司  
咨詢熱線:0351-4073466 
地址:(北(běi)區)山西省太原市迎澤區新建南(nán)路文源巷24号文源公務中(zhōng)心5層
           (南(nán)區)太原市小(xiǎo)店(diàn)區南(nán)中(zhōng)環街529 号清控創新基地A座4層
Image
©2021 山西朋友你好科技有限公司 晉ICP備15000945号 技術支持 - 資(zī)海科技集團