Image
全國統一服務(wù)熱線(xiàn)
0351-4073466

關(guān)于密評,你需要知道的!

編輯:2023-04-25 16:03:14

一、什么是商用密碼,為什么要使用商用密碼?

密碼分為核心密碼、普通密碼和商用密碼,我們日常工作生活中接觸到的多是商用密碼。工作中,網(wǎng)上辦公、繳稅納稅等過(guò)程都有商用密碼在起作用。生活中,第二代居民身份證就通過(guò)商用密碼技術(shù)保證認證一致,購買(mǎi)火車(chē)票、網(wǎng)絡(luò )購物等在線(xiàn)支付全過(guò)程都有商用密碼的保護。

商用密碼,是指對不涉及國家秘密內容的信息進(jìn)行加密保護或安全認證所使用的密碼技術(shù)和密碼產(chǎn)品。其中,商用密碼技術(shù),是保障信息安全的核心技術(shù)。從功能上看,主要包括加密保護技術(shù)和安全認證技術(shù);從內容上看,主要包括密碼算法、密鑰管理和密碼協(xié)議。商用密碼產(chǎn)品,是指采用密碼技術(shù)對不涉及國家秘密內容的信息進(jìn)行加密保護或安全認證的產(chǎn)品,即承載密碼技術(shù)、實(shí)現密碼功能的實(shí)體。按照形態(tài)劃分,商用密碼產(chǎn)品分為六類(lèi),即軟件、芯片、模塊、板卡、整機、系統;按照功能劃分,商用密碼產(chǎn)品分為七類(lèi),即密碼算法類(lèi)、數據加解密類(lèi)、認證鑒別類(lèi)、證書(shū)管理類(lèi)、密鑰管理類(lèi)、密碼防偽類(lèi)和綜合類(lèi)。

密碼是網(wǎng)絡(luò )信任體系的重要基石,是目前世界上公認的,保障網(wǎng)絡(luò )與信息安全最有效、最可靠、最經(jīng)濟的關(guān)鍵核心技術(shù)。《網(wǎng)絡(luò )安全法》《密碼法》《數據安全法》《個(gè)人信息保護法》《關(guān)鍵信息基礎設施安全保護條例》等法律法規均不同程度地提到要使用商用密碼。在信息互聯(lián)時(shí)代,密碼除傳統加密外,主要體現在身份認證、權限管理、訪(fǎng)問(wèn)控制等。數字經(jīng)濟時(shí)代,密碼的作用不斷擴展到數據流通、數據共享等新維度,密碼技術(shù)自身也需要持續革新。

二、商用密碼應用安全性評估(簡(jiǎn)稱(chēng)“密評”)是什么,哪些單位需要開(kāi)展密評工作?

“密評”是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設的網(wǎng)絡(luò )和信息系統中,對其密碼應用的合規性、正確性和有效性進(jìn)行評估。

34970

國家網(wǎng)絡(luò )安全和密碼相關(guān)法律法規明確要求非涉密的關(guān)鍵信息基礎設施、等保三級及以上系統、國家政務(wù)等重要信息系統要開(kāi)展密評工作。并且,密評管理辦法也明確規定:關(guān)鍵信息基礎設施、網(wǎng)絡(luò )安全等級保護第三級及以上信息系統,需要每年至少評估一次。


三、不做密評或測試結果不合格會(huì )有哪些影響呢?

● 首先,是《密碼法》第三十七條第一款指出:關(guān)鍵信息基礎設施的運營(yíng)者未按照要求使用商用密碼,或者未按照要求開(kāi)展密評的,由密碼管理部門(mén)責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的,將處十萬(wàn)元以上一百萬(wàn)元以下罰款。

● 《國家政務(wù)信息化項目建設管理辦法》第二十八條第三款也有提到:對于不符合密碼應用和網(wǎng)絡(luò )安全要求,或者存在重大安全隱患的政務(wù)信息系統,不安排運行維護經(jīng)費,項目建設單位不得新建、改建、擴建政務(wù)信息系統。


四、密評在密碼應用部署過(guò)程中所處的位置,全過(guò)程涉及的參與方有哪些?

項目建設單位應當落實(shí)國家密碼管理有關(guān)法律法規和標準規范的要求,同步規劃、同步建設、同步運行密碼保障系統并定期進(jìn)行評估。



五、密評主要由哪些機構開(kāi)展?

從事密評活動(dòng)的機構,應當經(jīng)國家密碼管理部門(mén)認定,依法取得商用密碼檢測機構資質(zhì)。


六、開(kāi)展密評工作主要參考哪些標準規范?

參考的標準主要分為兩類(lèi):

第一類(lèi)是基本要求

65503

● 第二類(lèi)是評估方法

目前主要參考的文件是2021年發(fā)布的GM/T 0115-2021《信息系統密碼應用測評要求》、GM/T 0116-2021《信息系統密碼應用測評過(guò)程指南》,中國密碼學(xué)會(huì )密評聯(lián)委會(huì )修訂形成的《信息系統密碼應用高風(fēng)險判定指引》《商用密碼應用安全性評估量化評估規則》。

密評量化評估滿(mǎn)分100分,得分大于等于60分且沒(méi)有高風(fēng)險項為基本合格。

七、密評的服務(wù)內容主要有哪些?

密評工作主要包括兩部分內容:一是信息系統規劃階段的密碼應用方案評估,這一環(huán)節主要用于保證建設方案的安全性;二是信息系統建設完成后針對該系統開(kāi)展現場(chǎng)測試。

● 方案評估階段

主要針對新建或改造信息系統,密碼應用改造方案一般由用戶(hù)單位組織編寫(xiě),用戶(hù)單位編寫(xiě)密碼應用建設方案/改造方案后,應委托專(zhuān)家對方案進(jìn)行評估或委托密評機構出具方案密評報告。

● 系統評估階段

111201

注:密評系統的定級參照網(wǎng)絡(luò )安全等級保護的系統定級。

八、密評過(guò)程主要包括哪些環(huán)節?

密評過(guò)程(見(jiàn)下圖)分為四個(gè)基本測評活動(dòng):測評準備活動(dòng)、方案編制活動(dòng)、現場(chǎng)測評活動(dòng)、分析與報告編制活動(dòng);測評雙方之間的溝通與洽談貫穿整個(gè)密碼應用安全性評估過(guò)程。其中,測評對象包括安全人員、管理員、密碼產(chǎn)品、網(wǎng)絡(luò )設備、服務(wù)器、數據庫、安全設備、操作系統、應用系統、業(yè)務(wù)系統、技術(shù)文檔、管理制度文檔等;測評工具涉及協(xié)議分析工具、端口掃描工具、滲透測試工具、算法和隨機性檢測工具、密碼應用檢測工具、密碼安全協(xié)議檢測工具等。

49486


九、取得密評報告后應如何去管理部門(mén)備案?

按照《密碼法》確定的屬地管理原則,應由運營(yíng)者所在地的密碼管理部門(mén)作為備案部門(mén),由省級密碼管理部門(mén)作為一般備案部門(mén),國家密碼管理局作為特殊備案部門(mén)。自密評報告出具之日起30日內,填寫(xiě)《網(wǎng)絡(luò )與信息系統密評備案信息表》,并按備案表要求,附上密評合同和密評報告,郵寄到所屬地密碼管理局。

45944?


Image
Image
版權所有:山西科信源科技股份有限公司
咨詢(xún)熱線(xiàn):0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區)太原市小店區南中環(huán)街529 號清控創(chuàng )新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F