要想輕松通過密評,必須先了解這9個問題
編輯:2023-05-19 10:12:26
1.什么是商用密碼?
2.什么是密評?
3.為什么要做密評?
4.哪些系統需要做密評?
5.密評參考標準有哪些?
6.密評的總體要求是什么?
7.密評流程主要有哪些?
8.不做密評或測評結果不合格有什么影響?
9.取得密評報告后應向哪些部門和機構進行備案?
1.什么是商用密碼?
商用密碼,是指對不涉及國家秘密內容的信息進行加密保護或安全認證所使用的密碼技術和密碼產品。其中,商用密碼技術,是保障信息安全的核心技術。從功能上看,主要包括加密保護技術和安全認證技術;從內容上看,主要包括密碼算法、密鑰管理和密碼協議。
商用密碼產品,是指采用密碼技術對不涉及國家秘密內容的信息進行加密保護或安全認證的產品,即承載密碼技術、實現密碼功能的實體。按照形態劃分,商用密碼產品分為六類,即軟件、芯片、模塊、板卡、整機、系統;按照功能劃分,商用密碼產品分為七類,即密碼算法類、數據加解密類、認證鑒別類、證書管理類、密鑰管理類、密碼防偽類和綜合類。
2.什么是密評?
商用密碼應用安全性評估(簡稱“密評”),是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中,對其密碼應用的合規性、正確性和有效性進行評估。
01 密碼應用合規性
使用的密碼算法、密碼技術符合法律法規和相關國家標準、行業標準的有關要求
使用的密碼產品、密碼模塊通過國家密碼管理部門核準
使用的密碼服務符合國家密碼管理要求
02 密碼應用正確性
密碼算法、密碼協議、密鑰管理、密碼產品和服務使用正確
系統中采用的標準密碼算法、協議和密鑰管理機制按照密碼國家和行業標準進行正確設計和實現
自定義密碼協議、密鑰管理機制的設計和實現正確,符合相關標準要求
密碼保障系統建設或改造過程中密碼產品和服務的部署和應用正確
03 密碼應用有效性
信息系統中采用的密碼協議、密鑰管理系統、密碼應用子系統和密碼安全防護機制不僅設計合理,在系統運行過程中能夠發揮密碼效用,保障信息的機密性、完整性、真實性、不可否認性
3.為什么要做密評?
開展密評,是為了解決商用密碼應用中存在的突出問題,為網絡和信息系統的安全提供科學評價方法,逐步規范商用密碼的使用和管理。從根本上改變商用密碼應用不廣泛、不規范、不安全的現狀,確保商用密碼在網絡和信息系統中有效使用,切實構建起堅實可靠的網絡安全密碼屏障。開展密評,是國家網絡安全和密碼相關法律法規提出的明確要求,是法定責任和義務。
《中華人民共和國密碼法》
第二十七條
法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。
《商用密碼應用安全性評估管理辦法(試行)》
第三條
涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位(以下簡稱責任單位)應當健全密碼保障體系,實施商用密碼應用安全性評估。重要領域網絡和信息系統包括:基礎信息網絡、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制 系統、面向社會服務的政務信息系統,以及關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統。第三條規定范圍之外的其他網絡和信息系統,其責任單位可以參考本辦法自愿開展商用密碼應用安全性評估。
4.哪些系統需要做密評?
基礎信息網絡:電信網、廣播電視網、互聯網。
重要信息系統:能源、教育、公安、測繪地理信息、社保、交通、衛生計生、金融等涉及國計民生和基礎信息資源的重要信息系統。
重要工業控制系統:核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要工業控制系統。
面向社會服務的政務信息系統:黨政機關和使用財政性資金的事業單位和團體組織使用的面向社會服務的信息系統。
5.密評參考標準有哪些?
6.密評的總體要求是什么?
01 總體要求
密碼算法:使用的密碼算法應當符合法律、法規的規定和密碼相關國家標準、行業標準的有關要求,重點關注密碼算法的合規性。
密碼技術:使用的密碼技術應遵循密碼相關國家標準和行業標準。重點關注加密技術的合規性,密碼技術應保證自身的安全性,可靠性,與信息系統的互聯互通性。
密碼產品:使用的密碼產品與密碼模塊應通過國家密碼管理部門核準。“密碼模塊”可包括密碼卡、密碼機、定制密碼模塊、密碼軟件等多種形態。重點關注密碼產品的合規性和有效性,密碼產品和密碼模塊需根據國家相關規定進行密碼產品安全等級確定、檢測。測評機構開展評估應當遵循商用密碼管理政策和國家標準GB/T39786-2021《信息安全技術信息系統密碼應用基本要求》《信息系統密碼測評要求》(運行)等相關密碼標準和指導性文件的要求,遵循獨立、客觀、公眾的原則。
密碼服務:使用的密碼服務應通過國家密碼管理部門許可。如CA認證機構應獲得《電子認證服務使用密碼許可證》以及《電子認證服務許可證》。
02 密碼功能要求
密碼功能要求是對密碼技術在信息系統中的使用場景起到什么作用的闡述,密碼功能要求包括機密性、完整性、真實性和不可否認性。
機密性:使用密碼加密功能,保障信息系統重要數據在傳輸、存儲過程中的保密性以及身份鑒別信息、密鑰數據的機密性。
完整性:使用消息校驗碼(MAC)或數字簽名實現完整性,保障信息系統重要數據在傳輸、存儲過程中的完整性以及身份鑒別信息、密鑰數據、日志記錄、訪問控制信息、資源敏感標記、重要程序、可信信任鏈、視頻監控記錄、電子門禁出入記錄的完整性。
真實性:使用對稱加密、動態口令、數字簽名等實現真實性,保障信息系統中各類基礎設施、軟硬件設備以及業務應用系統的用戶身份鑒別信息的真實性。
不可否認性:使用數字簽名等密碼技術實現實體行為的不可否認性,保障信息系統中無法否認的操作行為,如發送、接收、審批、創建、修改、刪除、添加、配置等。
03 密碼技術應用要求、密鑰管理和安全管理
7.密評流程主要有哪些?
測評過程分為四項基本測評活動:測評準備活動、方案編制活動、現場測評活動、分析與報告編制活動。測評雙方之間的溝通與洽談應貫穿整個測評過程。其中,測評對象包括安全人員、管理員、密碼產品、網絡設備、服務器、數據庫、安全設備、操作系統、應用系統、業務系統、技術文檔、管理制度文檔等;測評工具涉及協議分析工具、端口掃描工具、滲透測試工具、算法和隨機性檢測工具、密碼應用檢測工具、密碼安全協議檢測工具等。
01 測評準備活動
項目啟動
信息收集與分析
工具和表單準備
02 方案編制活動
測評對象確定、測評指標確認
測評工具檢查點確定
測評內容確定
測評方案編制
03 現場測評活動
現場測評準備
現場測評和結果記錄
結果確認和資料歸還
04分析與報告編制活動
單項測評結果判定
單元測評結果判定
整體測評
風險分析
密碼測評結論形成
密碼測評報告編制
8.不做密評或測評結果不合格有什么影響?
《密碼法》第三十七條第一款規定
關鍵信息基礎設施的運營者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
《國家政務信息化項目建設管理辦法》第二十八條第三款規定
對于不符合密碼應用和網絡安全要求,或者存在重大安全隱患的政務信息系統,不安排運行維護經費,項目建設單位不得新建、改建、擴建政務信息系統。
《商用密碼應用安全性評估管理辦法(試行)》第二章第十條規定
關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,每年至少評估一次。
9.取得密評報告后應向哪些部門和機構進行備案?
根據現有規定,責任單位取得報告后,被測單位自行上報主管部門及所在地區(部門)密碼管理部門備案,測評機構上報國密局備案;等保三級及以上信息系統,評估報告還需由被測單位上報至所在地區公安部門備案。
咨詢熱線:0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務中心5層
? ? ? ? ? ?(南區)太原市小店區南中環街529 號清控創新基地A座4層
