要想轻松通过密评,必须先了解这9个问题
编辑:2023-05-19 10:12:26
1.什么是商用密码?
2.什么是密评?
3.为什么要做密评?
4.哪些系统需要做密评?
5.密评参考标准有哪些?
6.密评的总体要求是什么?
7.密评流程主要有哪些?
8.不做密评或测评结果不合格有什么影响?
9.取得密评报告后应向哪些部门和机构进行备案?
1.什么是商用密码?
商用密码,是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。其中,商用密码技术,是保障信息安全的核心技术。从功能上看,主要包括加密保护技术和安全认证技术;从内容上看,主要包括密码算法、密钥管理和密码协议。
商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品,即承载密码技术、实现密码功能的实体。按照形态划分,商用密码产品分为六类,即软件、芯片、模块、板卡、整机、系统;按照功能划分,商用密码产品分为七类,即密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。
2.什么是密评?
商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
01 密码应用合规性
使用的密码算法、密码技术符合法律法规和相关国家标准、行业标准的有关要求
使用的密码产品、密码模块通过国家密码管理部门核准
使用的密码服务符合国家密码管理要求
02 密码应用正确性
密码算法、密码协议、密钥管理、密码产品和服务使用正确
系统中采用的标准密码算法、协议和密钥管理机制按照密码国家和行业标准进行正确设计和实现
自定义密码协议、密钥管理机制的设计和实现正确,符合相关标准要求
密码保障系统建设或改造过程中密码产品和服务的部署和应用正确
03 密码应用有效性
信息系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制不仅设计合理,在系统运行过程中能够发挥密码效用,保障信息的机密性、完整性、真实性、不可否认性
3.为什么要做密评?
开展密评,是为了解决商用密码应用中存在的突出问题,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。开展密评,是国家网络安全和密码相关法律法规提出的明确要求,是法定责任和义务。
《中华人民共和国密码法》
第二十七条
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
《商用密码应用安全性评估管理办法(试行)》
第三条
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制 系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿开展商用密码应用安全性评估。
4.哪些系统需要做密评?
基础信息网络:电信网、广播电视网、互联网。
重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。
重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
5.密评参考标准有哪些?
6.密评的总体要求是什么?
01 总体要求
密码算法:使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,重点关注密码算法的合规性。
密码技术:使用的密码技术应遵循密码相关国家标准和行业标准。重点关注加密技术的合规性,密码技术应保证自身的安全性,可靠性,与信息系统的互联互通性。
密码产品:使用的密码产品与密码模块应通过国家密码管理部门核准。“密码模块”可包括密码卡、密码机、定制密码模块、密码软件等多种形态。重点关注密码产品的合规性和有效性,密码产品和密码模块需根据国家相关规定进行密码产品安全等级确定、检测。测评机构开展评估应当遵循商用密码管理政策和国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》《信息系统密码测评要求》(运行)等相关密码标准和指导性文件的要求,遵循独立、客观、公众的原则。
密码服务:使用的密码服务应通过国家密码管理部门许可。如CA认证机构应获得《电子认证服务使用密码许可证》以及《电子认证服务许可证》。
02 密码功能要求
密码功能要求是对密码技术在信息系统中的使用场景起到什么作用的阐述,密码功能要求包括机密性、完整性、真实性和不可否认性。
机密性:使用密码加密功能,保障信息系统重要数据在传输、存储过程中的保密性以及身份鉴别信息、密钥数据的机密性。
完整性:使用消息校验码(MAC)或数字签名实现完整性,保障信息系统重要数据在传输、存储过程中的完整性以及身份鉴别信息、密钥数据、日志记录、访问控制信息、资源敏感标记、重要程序、可信信任链、视频监控记录、电子门禁出入记录的完整性。
真实性:使用对称加密、动态口令、数字签名等实现真实性,保障信息系统中各类基础设施、软硬件设备以及业务应用系统的用户身份鉴别信息的真实性。
不可否认性:使用数字签名等密码技术实现实体行为的不可否认性,保障信息系统中无法否认的操作行为,如发送、接收、审批、创建、修改、删除、添加、配置等。
03 密码技术应用要求、密钥管理和安全管理
7.密评流程主要有哪些?
测评过程分为四项基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评双方之间的沟通与洽谈应贯穿整个测评过程。其中,测评对象包括安全人员、管理员、密码产品、网络设备、服务器、数据库、安全设备、操作系统、应用系统、业务系统、技术文档、管理制度文档等;测评工具涉及协议分析工具、端口扫描工具、渗透测试工具、算法和随机性检测工具、密码应用检测工具、密码安全协议检测工具等。
01 测评准备活动
项目启动
信息收集与分析
工具和表单准备
02 方案编制活动
测评对象确定、测评指标确认
测评工具检查点确定
测评内容确定
测评方案编制
03 现场测评活动
现场测评准备
现场测评和结果记录
结果确认和资料归还
04分析与报告编制活动
单项测评结果判定
单元测评结果判定
整体测评
风险分析
密码测评结论形成
密码测评报告编制
8.不做密评或测评结果不合格有什么影响?
《密码法》第三十七条第一款规定
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第二十八条第三款规定
对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
《商用密码应用安全性评估管理办法(试行)》第二章第十条规定
关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
9.取得密评报告后应向哪些部门和机构进行备案?
根据现有规定,责任单位取得报告后,被测单位自行上报主管部门及所在地区(部门)密码管理部门备案,测评机构上报国密局备案;等保三级及以上信息系统,评估报告还需由被测单位上报至所在地区公安部门备案。
咨询热线:0351-4073466
地址:(北区)山西省太原市迎泽区新建南路文源巷24号文源公务中心5层
(南区)太原市小店区南中环街529 号清控创新基地A座4层
