Image
全國統一服務(wù)熱線(xiàn)
0351-4073466

商用密碼應用安全性評估之七問(wèn)

編輯:2023-04-25 16:07:16

一、為什么要做商用密碼應用安全性評估?

商用密碼應用安全性評估(簡(jiǎn)稱(chēng)“密評”)是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設的網(wǎng)絡(luò )和信息系統中,對其密碼應用的合規性、正確性、有效性等進(jìn)行評估。

當前,國際國內網(wǎng)絡(luò )空間安全形勢嚴峻,安全事件層出不窮,網(wǎng)絡(luò )空間正在加速演變?yōu)楦鲊鵂幭鄵寠Z的新疆域、戰略威懾與控制的新領(lǐng)域、意識形態(tài)斗爭的新平臺、維護經(jīng)濟社會(huì )穩定的新陣地、未來(lái)軍事角逐的新戰場(chǎng)。

對于我們國內來(lái)說(shuō),核心技術(shù)受制于人的局面沒(méi)有得到根本性改變,對于關(guān)鍵信息基礎設施的安全防護能力依然很弱,信息產(chǎn)品也存在巨大的安全隱患,基于以上,將商用密碼應用與新技術(shù)深度融合,在維護國家安全、促進(jìn)經(jīng)濟發(fā)展、保護人民群眾利益中將發(fā)揮不可替代的作用。然而我國商用密碼應用目前不廣泛,不規范,大量系統依舊在使用已經(jīng)被警示的密碼算法,極不安全。

基于目前的嚴重情況,《中華人民共和國密碼法》于202011日起實(shí)施,《密碼法》第二十七條規定,法律、行政法規和國家有關(guān)規定要求使用商用密碼進(jìn)行保護的關(guān)鍵基礎設施,其運營(yíng)者應當使用商用密碼進(jìn)行保護,自行或者委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估。

《中華人民共和國網(wǎng)絡(luò )安全法》也指出,網(wǎng)絡(luò )運營(yíng)者應當履行網(wǎng)絡(luò )安全保護義務(wù),并明確在網(wǎng)絡(luò )安全等級保護制度的基礎上,對關(guān)鍵信息基礎設施實(shí)行重點(diǎn)保護。采取技術(shù)措施和其他必要措施,維護網(wǎng)絡(luò )數據的完整性、保密性和可用性。

《商用密碼應用安全性評估管理辦法(試行)》第三條和第二十條也分別指出涉及國家安全和社會(huì )公共利益的重要領(lǐng)域網(wǎng)絡(luò )和信息系統的建設、使用、管理單位(以下簡(jiǎn)稱(chēng)責任單位)應當健全密碼保障體系,實(shí)施商用密碼應用安全性評估。

重要領(lǐng)域網(wǎng)絡(luò )和信息系統包括:基礎信息網(wǎng)絡(luò )、涉及國計民生和基礎信息資源的重要信息系統、重要工業(yè)控制系統、面向社會(huì )服務(wù)的政務(wù)信息系統,以及關(guān)鍵信息基礎設施,網(wǎng)絡(luò )安全等級保護第三級及以上信息系統。

二、哪些重要領(lǐng)域網(wǎng)絡(luò )和信息系統需要做密評?

基礎信息網(wǎng)絡(luò ):電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng);

重要信息系統:公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、教育、公安、住建、工商、社保、衛生計生、測繪地理信息等涉及國計民生和基礎信息資源的重要信息系統;

重要工業(yè)控制系統:核設施、航空航天、智能制造、石油石化、油氣管網(wǎng)、電力系統、水利樞紐、城市設施等重要工業(yè)控制系統。

面向社會(huì )服務(wù)的政務(wù)信息系統:黨政機關(guān)和使用財政性資金的事業(yè)單位、團體組織使用的面向社會(huì )服務(wù)的信息系統。


三、繼《密碼法》2020年1月施行以來(lái),都有哪些地方出臺了針對密碼應用的法規條例以指導各地相關(guān)部門(mén)執行?

  • 20191230日 國務(wù)院辦公廳印發(fā)《國家政務(wù)信息化項目建設管理辦法》 

  • 20204月 廣東省印發(fā)《廣東省政務(wù)信息化項目建設管理辦法》 

  • 2020412日 河北省印發(fā)《河北省省級政務(wù)信息化項目建設管理辦法》 

  • 2020826日 河南省印發(fā)《河南省政務(wù)云管理辦法》 

  • 2020925日 江西省人民政府辦公廳印發(fā)《江西省政務(wù)信息化項目建設管理辦法》 

  • 20209月 吉林省印發(fā)《吉林省政務(wù)信息化項目建設管理辦法》 

  • 2020129日 中國密碼學(xué)會(huì )密評聯(lián)委會(huì )組織編制了《信息系統密碼應用測評要求》等5項指導性文件 

  • 2021317號 海南六部門(mén)聯(lián)合發(fā)布《關(guān)于進(jìn)一步明確省政務(wù)信息化項目密碼應用有關(guān)要求的通知》 

  • 2021330日 廣西省印發(fā)《廣西政務(wù)信息化項目建設管理辦法》 

  • 國家市場(chǎng)監管總局、國家標準化管理委員會(huì )發(fā)布公告,正式發(fā)布國家標準GB/T39786-2021《信息安全技術(shù)信息系統密碼應用基本要求》,將于2021101日起實(shí)施。

  • 安徽省密碼管理局、安徽省財政廳印發(fā)《關(guān)于重要領(lǐng)域信息系統密碼應用工作的通知》

  • 北京市明確將密碼應用建設過(guò)程中的新建項目所需經(jīng)費列入同級政府固定資產(chǎn)投資,升級改造和運行維護經(jīng)費列入同級財政預算,并對密碼應用情況進(jìn)行事前審查。

  • 江蘇省財政廳、省密碼管理局聯(lián)合印發(fā)通知并頒布《江蘇省密碼產(chǎn)品采購管理目錄》

  • 天津市委辦公廳、市政府辦公廳聯(lián)合印發(fā)《關(guān)于重要領(lǐng)域網(wǎng)絡(luò )與信息系統規范使用密碼的通知》

  • 貴州省委辦公廳、省政府辦公廳印發(fā)《貴州省重要領(lǐng)域網(wǎng)絡(luò )與信息系統密碼應用審核實(shí)施意見(jiàn)》

  • 20217月,山東省濟南市密碼管理局聯(lián)合各主要單位印發(fā)《關(guān)于加強政務(wù)信息系統密碼應用與安全性評估工作的通知》

  • 2021610日,第十三屆全國人民代表大會(huì )常務(wù)委員會(huì )第二十九次會(huì )議通過(guò)《中華人民共和國數據安全法》,于202191日起施行。

  • 202173日,《關(guān)鍵信息基礎設施安全保護條例》公布,于202191日起實(shí)施。

  • 2021820日,第十三屆全國人民代表大會(huì )常務(wù)委員會(huì )第三十次會(huì )議通過(guò)《中華人民共和國個(gè)人信息保護法》,于2021111日起施行。

  • 2021年11月10日,重慶市人民政府辦公廳印發(fā)《重慶市人民政府辦公廳關(guān)于印發(fā)重慶市市級政務(wù)信息化項目管理辦法的通知》。


四、如果不做密評或者密評結果不合格會(huì )有什么影響?

《密碼法》第三十七條第一款規定:關(guān)鍵信息基礎設施的運營(yíng)者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開(kāi)展商用密碼應用安全性評估的,由密碼管理部門(mén)責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的,處十萬(wàn)元以上一百萬(wàn)元以下罰款,對直接負責的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

《國家政務(wù)信息化項目建設管理辦法》第二十八條第三款規定:對于不符合密碼應用和網(wǎng)絡(luò )安全要求,或者存在重大安全隱患的政務(wù)信息系統,不安排運行維護經(jīng)費,項目建設單位不得新建、改建、擴建政務(wù)信息系統。

《商用密碼應用安全性評估管理辦法(試行)》第二章第十條規定:關(guān)鍵信息基礎設施、網(wǎng)絡(luò )安全等級保護第三級及以上信息系統,每年至少評估一次。


五、如何進(jìn)行信息系統密評及密改?

密碼應用安全性評估包括兩部分重要內容:一是信息系統規劃階段對密碼應用方案的評審和評估;二是信息系統建設完成后開(kāi)展的實(shí)際測評??蓞⒖?/span>GM/T 0054-2018《信息系統密碼應用基本要求》中的條款為主線(xiàn),主要從總體要求、物理和環(huán)境安全、網(wǎng)絡(luò )和通信安全、設備和計算安全、應用和數據安全、密鑰管理和安全管理等方面進(jìn)行評測。由國家密碼管理局批準的專(zhuān)業(yè)測評機構進(jìn)行評測,如剛接觸商密并不熟悉,可委托第三方進(jìn)行方案設計,方案完成后需經(jīng)過(guò)專(zhuān)家討論或者測評機構評審后進(jìn)行密改。


六、密碼應用安全性評估的具體流程是什么?

1、測評準備階段,主要是責任單位信息收集和系統自查,使測評機構全面掌握被測系統密碼使用的詳細情況,為測評工作的開(kāi)展打下基礎。

2、方案編制階段,正確合理確定測評對象、測評邊界、測評指標等內容,并依據技術(shù)標準、規范編制測評方案、測評結果記錄表格,測評方案應通過(guò)技術(shù)評審并有相關(guān)記錄。

3、現場(chǎng)測評階段,嚴格執行測評方案中的內容和要求。

4、報告編制階段,給出測評結論,形成測評報告。


七、取得了密評報告后應向哪些部門(mén)和機構進(jìn)行備案?

根據現有規定,責任單位取得報告后,被測單位自行上報主管部門(mén)及所在地區(部門(mén))密碼管理部門(mén)備案,測評機構上報國家密碼管理局備案,等保三級及以上信息系統,評估報告還需由被測單位上報至所在地區公安部門(mén)備案。


Image
Image
版權所有:山西科信源科技股份有限公司
咨詢(xún)熱線(xiàn):0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區)太原市小店區南中環(huán)街529 號清控創(chuàng )新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F