Image
全國統一(yī)服務熱線
0351-4073466

要想輕松通過密評,必須先了解這9個問題


編輯:2023-05-19 10:12:26

近年來,網絡空間安全一(yī)直是經濟社會關注的焦點。密碼爲保護信息安全而生(shēng),是網絡安全的核心要件,是數字經濟基礎支撐,也是網絡信任體(tǐ)系的重要基石,是目前******上公認的,保障網絡與信息安全***有效、***可靠、***經濟的關鍵核心技術。《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規均不同程度地提到要使用商(shāng)用密碼。下(xià)面,我(wǒ)們就來介紹一(yī)下(xià)日常工(gōng)作生(shēng)活中(zhōng)融入的商(shāng)用密碼應用及其安全性評估。

1.什麽是商(shāng)用密碼?

2.什麽是密評?

3.爲什麽要做密評?

4.哪些系統需要做密評?

5.密評參考标準有哪些?

6.密評的總體(tǐ)要求是什麽?

7.密評流程主要有哪些?

8.不做密評或測評結果不合格有什麽影響?

9.取得密評報告後應向哪些部門和機構進行備案?


1.什麽是商(shāng)用密碼?

商(shāng)用密碼,是指對不涉及國家秘密内容的信息進行加密保護或安全認證所使用的密碼技術和密碼産品。其中(zhōng),商(shāng)用密碼技術,是保障信息安全的核心技術。從功能上看,主要包括加密保護技術和安全認證技術;從内容上看,主要包括密碼算法、密鑰管理和密碼協議。


商(shāng)用密碼産品,是指采用密碼技術對不涉及國家秘密内容的信息進行加密保護或安全認證的産品,即承載密碼技術、實現密碼功能的實體(tǐ)。按照形态劃分(fēn),商(shāng)用密碼産品分(fēn)爲六類,即軟件、芯片、模塊、闆卡、整機、系統;按照功能劃分(fēn),商(shāng)用密碼産品分(fēn)爲七類,即密碼算法類、數據加解密類、認證鑒别類、證書(shū)管理類、密鑰管理類、密碼防僞類和綜合類。


2.什麽是密評?

商(shāng)用密碼應用安全性評估(簡稱“密評”),是指在采用商(shāng)用密碼技術、産品和服務集成建設的網絡和信息系統中(zhōng),對其密碼應用的合規性、正确性和有效性進行評估。

01 密碼應用合規性

  • 使用的密碼算法、密碼技術符合法律法規和相關國家标準、行業标準的有關要求

  • 使用的密碼産品、密碼模塊通過國家密碼管理部門核準

  • 使用的密碼服務符合國家密碼管理要求

02 密碼應用正确性

  • 密碼算法、密碼協議、密鑰管理、密碼産品和服務使用正确

  • 系統中(zhōng)采用的标準密碼算法、協議和密鑰管理機制按照密碼國家和行業标準進行正确設計和實現

  • 自定義密碼協議、密鑰管理機制的設計和實現正确,符合相關标準要求

  • 密碼保障系統建設或改造過程中(zhōng)密碼産品和服務的部署和應用正确

03 密碼應用有效性

  • 信息系統中(zhōng)采用的密碼協議、密鑰管理系統、密碼應用子系統和密碼安全防護機制不僅設計合理,在系統運行過程中(zhōng)能夠發揮密碼效用,保障信息的機密性、完整性、真實性、不可否認性


3.爲什麽要做密評?

開(kāi)展密評,是爲了解決商(shāng)用密碼應用中(zhōng)存在的突出問題,爲網絡和信息系統的安全提供科學評價方法,逐步規範商(shāng)用密碼的使用和管理。從根本上改變商(shāng)用密碼應用不廣泛、不規範、不安全的現狀,确保商(shāng)用密碼在網絡和信息系統中(zhōng)有效使用,切實構建起堅實可靠的網絡安全密碼屏障。開(kāi)展密評,是國家網絡安全和密碼相關法律法規提出的明确要求,是法定責任和義務。


《中(zhōng)華人民共和國密碼法》

第二十七條

法律、行政法規和國家有關規定要求使用商(shāng)用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商(shāng)用密碼進行保護,自行或者委托商(shāng)用密碼檢測機構開(kāi)展商(shāng)用密碼應用安全性評估。

《商(shāng)用密碼應用安全性評估管理辦法(試行)》

第三條  

涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位(以下(xià)簡稱責任單位)應當健全密碼保障體(tǐ)系,實施商(shāng)用密碼應用安全性評估。重要領域網絡和信息系統包括:基礎信息網絡、涉及國計民生(shēng)和基礎信息資(zī)源的重要信息系統、重要工(gōng)業控制 系統、面向社會服務的政務信息系統,以及關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統。第三條規定範圍之外(wài)的其他網絡和信息系統,其責任單位可以參考本辦法自願開(kāi)展商(shāng)用密碼應用安全性評估。


4.哪些系統需要做密評?

基礎信息網絡:電(diàn)信網、廣播電(diàn)視網、互聯網。

重要信息系統:能源、教育、公安、測繪地理信息、社保、交通、衛生(shēng)計生(shēng)、金融等涉及國計民生(shēng)和基礎信息資(zī)源的重要信息系統。

重要工(gōng)業控制系統:核設施、航空航天、先進制造、石油石化、油氣管網、電(diàn)力系統、交通運輸、水利樞紐、城市設施等重要工(gōng)業控制系統。

面向社會服務的政務信息系統:黨政機關和使用财政性資(zī)金的事業單位和團體(tǐ)組織使用的面向社會服務的信息系統。


5.密評參考标準有哪些?

《中(zhōng)華人民共和國密碼法》
《商(shāng)用密碼應用安全性評估管理辦法(試行)》
《信息安全等級保護商(shāng)用密碼管理辦法》
GM/T 0115-2021《信息系統密碼應用測評要求》
GM/T 0116-2021《信息系統密碼應用測評過程指南(nán)》
GB/T 39786-2021《信息安全技術信息系統密碼應用基本要求》
《政務信息系統密碼應用與安全性評估工(gōng)作指南(nán)》
《信息系統密碼應用高風險判定指引》
《商(shāng)用密碼應用安全性評估量化評估規則》
《商(shāng)用密碼應用安全性評估FAQ》


6.密評的總體(tǐ)要求是什麽?

總體(tǐ)要求是所有信息系統都需遵循的基本要求,包括密碼算法、密碼技術、密碼産品、密碼服務4個層面的相關要求,具體(tǐ)要求如下(xià):


01 總體(tǐ)要求


密碼算法:使用的密碼算法應當符合法律、法規的規定和密碼相關國家标準、行業标準的有關要求,重點關注密碼算法的合規性。

密碼技術:使用的密碼技術應遵循密碼相關國家标準和行業标準。重點關注加密技術的合規性,密碼技術應保證自身的安全性,可靠性,與信息系統的互聯互通性。

密碼産品:使用的密碼産品與密碼模塊應通過國家密碼管理部門核準。“密碼模塊”可包括密碼卡、密碼機、定制密碼模塊、密碼軟件等多種形态。重點關注密碼産品的合規性和有效性,密碼産品和密碼模塊需根據國家相關規定進行密碼産品安全等級确定、檢測。測評機構開(kāi)展評估應當遵循商(shāng)用密碼管理政策和國家标準GB/T39786-2021《信息安全技術信息系統密碼應用基本要求》《信息系統密碼測評要求》(運行)等相關密碼标準和指導性文件的要求,遵循獨立、客觀、公衆的原則。

密碼服務:使用的密碼服務應通過國家密碼管理部門許可。如CA認證機構應獲得《電(diàn)子認證服務使用密碼許可證》以及《電(diàn)子認證服務許可證》。


02 密碼功能要求


密碼功能要求是對密碼技術在信息系統中(zhōng)的使用場景起到什麽作用的闡述,密碼功能要求包括機密性、完整性、真實性和不可否認性。

機密性:使用密碼加密功能,保障信息系統重要數據在傳輸、存儲過程中(zhōng)的保密性以及身份鑒别信息、密鑰數據的機密性。

完整性:使用消息校驗碼(MAC)或數字簽名實現完整性,保障信息系統重要數據在傳輸、存儲過程中(zhōng)的完整性以及身份鑒别信息、密鑰數據、日志(zhì)記錄、訪問控制信息、資(zī)源敏感标記、重要程序、可信信任鏈、視頻(pín)監控記錄、電(diàn)子門禁出入記錄的完整性。

真實性:使用對稱加密、動态口令、數字簽名等實現真實性,保障信息系統中(zhōng)各類基礎設施、軟硬件設備以及業務應用系統的用戶身份鑒别信息的真實性。

不可否認性:使用數字簽名等密碼技術實現實體(tǐ)行爲的不可否認性,保障信息系統中(zhōng)無法否認的操作行爲,如發送、接收、審批、創建、修改、删除、添加、配置等。


03 密碼技術應用要求、密鑰管理和安全管理


密碼技術應用要求包括物(wù)理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全。
密鑰管理主要從密鑰的生(shēng)成、存儲、分(fēn)發、導入、導出的安全性和正确性;使用的正确性;備份和恢複的可靠性;歸檔的安全性與正确性;緊急情況下(xià)的銷毀等環節提出相應的要求。
安全管理包括制度、人員(yuán)、實施和應用四個維度。


7.密評流程主要有哪些?

測評過程分(fēn)爲四項基本測評活動:測評準備活動、方案編制活動、現場測評活動、分(fēn)析與報告編制活動。測評雙方之間的溝通與洽談應貫穿整個測評過程。其中(zhōng),測評對象包括安全人員(yuán)、管理員(yuán)、密碼産品、網絡設備、服務器、數據庫、安全設備、操作系統、應用系統、業務系統、技術文檔、管理制度文檔等;測評工(gōng)具涉及協議分(fēn)析工(gōng)具、端口掃描工(gōng)具、滲透測試工(gōng)具、算法和随機性檢測工(gōng)具、密碼應用檢測工(gōng)具、密碼安全協議檢測工(gōng)具等。

01 測評準備活動

項目啓動

信息收集與分(fēn)析

工(gōng)具和表單準備

02 方案編制活動

測評對象确定、測評指标确認

測評工(gōng)具檢查點确定

測評内容确定

測評方案編制

03 現場測評活動

現場測評準備

現場測評和結果記錄

結果确認和資(zī)料歸還

04分(fēn)析與報告編制活動

單項測評結果判定

單元測評結果判定

整體(tǐ)測評

風險分(fēn)析

密碼測評結論形成

密碼測評報告編制


8.不做密評或測評結果不合格有什麽影響?

《密碼法》第三十七條******款規定

關鍵信息基礎設施的運營者違反本法第二十七條******款規定,未按照要求使用商(shāng)用密碼,或者未按照要求開(kāi)展商(shāng)用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,處十萬元以上一(yī)百萬元以下(xià)罰款,對直接負責的主管人員(yuán)處一(yī)萬元以上十萬元以下(xià)罰款。


《國家政務信息化項目建設管理辦法》第二十八條第三款規定

對于不符合密碼應用和網絡安全要求,或者存在重大(dà)安全隐患的政務信息系統,不安排運行維護經費(fèi),項目建設單位不得新建、改建、擴建政務信息系統。


《商(shāng)用密碼應用安全性評估管理辦法(試行)》第二章第十條規定

關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,每年至少評估一(yī)次。


9.取得密評報告後應向哪些部門和機構進行備案?

根據現有規定,責任單位取得報告後,被測單位自行上報主管部門及所在地區(部門)密碼管理部門備案,測評機構上報國密局備案;等保三級及以上信息系統,評估報告還需由被測單位上報至所在地區公安部門備案。





文章來源:彼得研究院
Image
Image
版權所有:山西朋友你好科技有限公司  
咨詢熱線:0351-4073466 
地址:(北(běi)區)山西省太原市迎澤區新建南(nán)路文源巷24号文源公務中(zhōng)心5層
           (南(nán)區)太原市小(xiǎo)店(diàn)區南(nán)中(zhōng)環街529 号清控創新基地A座4層
Image
©2021 山西朋友你好科技有限公司 晉ICP備15000945号 技術支持 - 資(zī)海科技集團