要想輕松通過密評(píng),必須先了解這9個(gè)問題
編輯:2023-05-19 10:12:26
1.什么是商用密碼?
2.什么是密評(píng)?
3.為什么要做密評(píng)?
4.哪些系統(tǒng)需要做密評(píng)?
5.密評(píng)參考標(biāo)準(zhǔn)有哪些?
6.密評(píng)的總體要求是什么?
7.密評(píng)流程主要有哪些?
8.不做密評(píng)或測評(píng)結(jié)果不合格有什么影響?
9.取得密評(píng)報(bào)告后應(yīng)向哪些部門和機(jī)構(gòu)進(jìn)行備案?
1.什么是商用密碼?
商用密碼,是指對(duì)不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。其中,商用密碼技術(shù),是保障信息安全的核心技術(shù)。從功能上看,主要包括加密保護(hù)技術(shù)和安全認(rèn)證技術(shù);從內(nèi)容上看,主要包括密碼算法、密鑰管理和密碼協(xié)議。
商用密碼產(chǎn)品,是指采用密碼技術(shù)對(duì)不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或安全認(rèn)證的產(chǎn)品,即承載密碼技術(shù)、實(shí)現(xiàn)密碼功能的實(shí)體。按照形態(tài)劃分,商用密碼產(chǎn)品分為六類,即軟件、芯片、模塊、板卡、整機(jī)、系統(tǒng);按照功能劃分,商用密碼產(chǎn)品分為七類,即密碼算法類、數(shù)據(jù)加解密類、認(rèn)證鑒別類、證書管理類、密鑰管理類、密碼防偽類和綜合類。
2.什么是密評(píng)?
商用密碼應(yīng)用安全性評(píng)估(簡稱“密評(píng)”),是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中,對(duì)其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估。
01 密碼應(yīng)用合規(guī)性
使用的密碼算法、密碼技術(shù)符合法律法規(guī)和相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求
使用的密碼產(chǎn)品、密碼模塊通過國家密碼管理部門核準(zhǔn)
使用的密碼服務(wù)符合國家密碼管理要求
02 密碼應(yīng)用正確性
密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)使用正確
系統(tǒng)中采用的標(biāo)準(zhǔn)密碼算法、協(xié)議和密鑰管理機(jī)制按照密碼國家和行業(yè)標(biāo)準(zhǔn)進(jìn)行正確設(shè)計(jì)和實(shí)現(xiàn)
自定義密碼協(xié)議、密鑰管理機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)正確,符合相關(guān)標(biāo)準(zhǔn)要求
密碼保障系統(tǒng)建設(shè)或改造過程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用正確
03 密碼應(yīng)用有效性
信息系統(tǒng)中采用的密碼協(xié)議、密鑰管理系統(tǒng)、密碼應(yīng)用子系統(tǒng)和密碼安全防護(hù)機(jī)制不僅設(shè)計(jì)合理,在系統(tǒng)運(yùn)行過程中能夠發(fā)揮密碼效用,保障信息的機(jī)密性、完整性、真實(shí)性、不可否認(rèn)性
3.為什么要做密評(píng)?
開展密評(píng),是為了解決商用密碼應(yīng)用中存在的突出問題,為網(wǎng)絡(luò)和信息系統(tǒng)的安全提供科學(xué)評(píng)價(jià)方法,逐步規(guī)范商用密碼的使用和管理。從根本上改變商用密碼應(yīng)用不廣泛、不規(guī)范、不安全的現(xiàn)狀,確保商用密碼在網(wǎng)絡(luò)和信息系統(tǒng)中有效使用,切實(shí)構(gòu)建起堅(jiān)實(shí)可靠的網(wǎng)絡(luò)安全密碼屏障。開展密評(píng),是國家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)提出的明確要求,是法定責(zé)任和義務(wù)。
《中華人民共和國密碼法》
第二十七條
法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估。
《商用密碼應(yīng)用安全性評(píng)估管理辦法(試行)》
第三條
涉及國家安全和社會(huì)公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位(以下簡稱責(zé)任單位)應(yīng)當(dāng)健全密碼保障體系,實(shí)施商用密碼應(yīng)用安全性評(píng)估。重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括:基礎(chǔ)信息網(wǎng)絡(luò)、涉及國計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制 系統(tǒng)、面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng),以及關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)。第三條規(guī)定范圍之外的其他網(wǎng)絡(luò)和信息系統(tǒng),其責(zé)任單位可以參考本辦法自愿開展商用密碼應(yīng)用安全性評(píng)估。
4.哪些系統(tǒng)需要做密評(píng)?
基礎(chǔ)信息網(wǎng)絡(luò):電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)。
重要信息系統(tǒng):能源、教育、公安、測繪地理信息、社保、交通、衛(wèi)生計(jì)生、金融等涉及國計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)。
重要工業(yè)控制系統(tǒng):核設(shè)施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸、水利樞紐、城市設(shè)施等重要工業(yè)控制系統(tǒng)。
面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng):黨政機(jī)關(guān)和使用財(cái)政性資金的事業(yè)單位和團(tuán)體組織使用的面向社會(huì)服務(wù)的信息系統(tǒng)。
5.密評(píng)參考標(biāo)準(zhǔn)有哪些?
6.密評(píng)的總體要求是什么?
01 總體要求
密碼算法:使用的密碼算法應(yīng)當(dāng)符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求,重點(diǎn)關(guān)注密碼算法的合規(guī)性。
密碼技術(shù):使用的密碼技術(shù)應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。重點(diǎn)關(guān)注加密技術(shù)的合規(guī)性,密碼技術(shù)應(yīng)保證自身的安全性,可靠性,與信息系統(tǒng)的互聯(lián)互通性。
密碼產(chǎn)品:使用的密碼產(chǎn)品與密碼模塊應(yīng)通過國家密碼管理部門核準(zhǔn)?!懊艽a模塊”可包括密碼卡、密碼機(jī)、定制密碼模塊、密碼軟件等多種形態(tài)。重點(diǎn)關(guān)注密碼產(chǎn)品的合規(guī)性和有效性,密碼產(chǎn)品和密碼模塊需根據(jù)國家相關(guān)規(guī)定進(jìn)行密碼產(chǎn)品安全等級(jí)確定、檢測。測評(píng)機(jī)構(gòu)開展評(píng)估應(yīng)當(dāng)遵循商用密碼管理政策和國家標(biāo)準(zhǔn)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》《信息系統(tǒng)密碼測評(píng)要求》(運(yùn)行)等相關(guān)密碼標(biāo)準(zhǔn)和指導(dǎo)性文件的要求,遵循獨(dú)立、客觀、公眾的原則。
密碼服務(wù):使用的密碼服務(wù)應(yīng)通過國家密碼管理部門許可。如CA認(rèn)證機(jī)構(gòu)應(yīng)獲得《電子認(rèn)證服務(wù)使用密碼許可證》以及《電子認(rèn)證服務(wù)許可證》。
02 密碼功能要求
密碼功能要求是對(duì)密碼技術(shù)在信息系統(tǒng)中的使用場景起到什么作用的闡述,密碼功能要求包括機(jī)密性、完整性、真實(shí)性和不可否認(rèn)性。
機(jī)密性:使用密碼加密功能,保障信息系統(tǒng)重要數(shù)據(jù)在傳輸、存儲(chǔ)過程中的保密性以及身份鑒別信息、密鑰數(shù)據(jù)的機(jī)密性。
完整性:使用消息校驗(yàn)碼(MAC)或數(shù)字簽名實(shí)現(xiàn)完整性,保障信息系統(tǒng)重要數(shù)據(jù)在傳輸、存儲(chǔ)過程中的完整性以及身份鑒別信息、密鑰數(shù)據(jù)、日志記錄、訪問控制信息、資源敏感標(biāo)記、重要程序、可信信任鏈、視頻監(jiān)控記錄、電子門禁出入記錄的完整性。
真實(shí)性:使用對(duì)稱加密、動(dòng)態(tài)口令、數(shù)字簽名等實(shí)現(xiàn)真實(shí)性,保障信息系統(tǒng)中各類基礎(chǔ)設(shè)施、軟硬件設(shè)備以及業(yè)務(wù)應(yīng)用系統(tǒng)的用戶身份鑒別信息的真實(shí)性。
不可否認(rèn)性:使用數(shù)字簽名等密碼技術(shù)實(shí)現(xiàn)實(shí)體行為的不可否認(rèn)性,保障信息系統(tǒng)中無法否認(rèn)的操作行為,如發(fā)送、接收、審批、創(chuàng)建、修改、刪除、添加、配置等。
03 密碼技術(shù)應(yīng)用要求、密鑰管理和安全管理
7.密評(píng)流程主要有哪些?
測評(píng)過程分為四項(xiàng)基本測評(píng)活動(dòng):測評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場測評(píng)活動(dòng)、分析與報(bào)告編制活動(dòng)。測評(píng)雙方之間的溝通與洽談應(yīng)貫穿整個(gè)測評(píng)過程。其中,測評(píng)對(duì)象包括安全人員、管理員、密碼產(chǎn)品、網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)、技術(shù)文檔、管理制度文檔等;測評(píng)工具涉及協(xié)議分析工具、端口掃描工具、滲透測試工具、算法和隨機(jī)性檢測工具、密碼應(yīng)用檢測工具、密碼安全協(xié)議檢測工具等。
01 測評(píng)準(zhǔn)備活動(dòng)
項(xiàng)目啟動(dòng)
信息收集與分析
工具和表單準(zhǔn)備
02 方案編制活動(dòng)
測評(píng)對(duì)象確定、測評(píng)指標(biāo)確認(rèn)
測評(píng)工具檢查點(diǎn)確定
測評(píng)內(nèi)容確定
測評(píng)方案編制
03 現(xiàn)場測評(píng)活動(dòng)
現(xiàn)場測評(píng)準(zhǔn)備
現(xiàn)場測評(píng)和結(jié)果記錄
結(jié)果確認(rèn)和資料歸還
04分析與報(bào)告編制活動(dòng)
單項(xiàng)測評(píng)結(jié)果判定
單元測評(píng)結(jié)果判定
整體測評(píng)
風(fēng)險(xiǎn)分析
密碼測評(píng)結(jié)論形成
密碼測評(píng)報(bào)告編制
8.不做密評(píng)或測評(píng)結(jié)果不合格有什么影響?
《密碼法》第三十七條第一款規(guī)定
關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者違反本法第二十七條第一款規(guī)定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應(yīng)用安全性評(píng)估的,由密碼管理部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處十萬元以上一百萬元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。
《國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》第二十八條第三款規(guī)定
對(duì)于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求,或者存在重大安全隱患的政務(wù)信息系統(tǒng),不安排運(yùn)行維護(hù)經(jīng)費(fèi),項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。
《商用密碼應(yīng)用安全性評(píng)估管理辦法(試行)》第二章第十條規(guī)定
關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng),每年至少評(píng)估一次。
9.取得密評(píng)報(bào)告后應(yīng)向哪些部門和機(jī)構(gòu)進(jìn)行備案?
根據(jù)現(xiàn)有規(guī)定,責(zé)任單位取得報(bào)告后,被測單位自行上報(bào)主管部門及所在地區(qū)(部門)密碼管理部門備案,測評(píng)機(jī)構(gòu)上報(bào)國密局備案;等保三級(jí)及以上信息系統(tǒng),評(píng)估報(bào)告還需由被測單位上報(bào)至所在地區(qū)公安部門備案。
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號(hào)文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號(hào)清控創(chuàng)新基地A座4層