Image
全國統一服務(wù)熱線(xiàn)
0351-4073466

要想輕松通過(guò)密評,必須先了解這9個(gè)問(wèn)題

編輯:2023-05-19 10:12:26

近年來(lái),網(wǎng)絡(luò )空間安全一直是經(jīng)濟社會(huì )關(guān)注的焦點(diǎn)。密碼為保護信息安全而生,是網(wǎng)絡(luò )安全的核心要件,是數字經(jīng)濟基礎支撐,也是網(wǎng)絡(luò )信任體系的重要基石,是目前世界上公認的,保障網(wǎng)絡(luò )與信息安全最有效、最可靠、最經(jīng)濟的關(guān)鍵核心技術(shù)?!毒W(wǎng)絡(luò )安全法》《密碼法》《數據安全法》《個(gè)人信息保護法》《關(guān)鍵信息基礎設施安全保護條例》等法律法規均不同程度地提到要使用商用密碼。下面,我們就來(lái)介紹一下日常工作生活中融入的商用密碼應用及其安全性評估。

1.什么是商用密碼?

2.什么是密評?

3.為什么要做密評?

4.哪些系統需要做密評?

5.密評參考標準有哪些?

6.密評的總體要求是什么?

7.密評流程主要有哪些?

8.不做密評或測評結果不合格有什么影響?

9.取得密評報告后應向哪些部門(mén)和機構進(jìn)行備案?


1.什么是商用密碼?

商用密碼,是指對不涉及國家秘密內容的信息進(jìn)行加密保護或安全認證所使用的密碼技術(shù)和密碼產(chǎn)品。其中,商用密碼技術(shù),是保障信息安全的核心技術(shù)。從功能上看,主要包括加密保護技術(shù)和安全認證技術(shù);從內容上看,主要包括密碼算法、密鑰管理和密碼協(xié)議。


商用密碼產(chǎn)品,是指采用密碼技術(shù)對不涉及國家秘密內容的信息進(jìn)行加密保護或安全認證的產(chǎn)品,即承載密碼技術(shù)、實(shí)現密碼功能的實(shí)體。按照形態(tài)劃分,商用密碼產(chǎn)品分為六類(lèi),即軟件、芯片、模塊、板卡、整機、系統;按照功能劃分,商用密碼產(chǎn)品分為七類(lèi),即密碼算法類(lèi)、數據加解密類(lèi)、認證鑒別類(lèi)、證書(shū)管理類(lèi)、密鑰管理類(lèi)、密碼防偽類(lèi)和綜合類(lèi)。


2.什么是密評?

商用密碼應用安全性評估(簡(jiǎn)稱(chēng)“密評”),是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設的網(wǎng)絡(luò )和信息系統中,對其密碼應用的合規性、正確性和有效性進(jìn)行評估。

01 密碼應用合規性

  • 使用的密碼算法、密碼技術(shù)符合法律法規和相關(guān)國家標準、行業(yè)標準的有關(guān)要求

  • 使用的密碼產(chǎn)品、密碼模塊通過(guò)國家密碼管理部門(mén)核準

  • 使用的密碼服務(wù)符合國家密碼管理要求

02 密碼應用正確性

  • 密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)使用正確

  • 系統中采用的標準密碼算法、協(xié)議和密鑰管理機制按照密碼國家和行業(yè)標準進(jìn)行正確設計和實(shí)現

  • 自定義密碼協(xié)議、密鑰管理機制的設計和實(shí)現正確,符合相關(guān)標準要求

  • 密碼保障系統建設或改造過(guò)程中密碼產(chǎn)品和服務(wù)的部署和應用正確

03 密碼應用有效性

  • 信息系統中采用的密碼協(xié)議、密鑰管理系統、密碼應用子系統和密碼安全防護機制不僅設計合理,在系統運行過(guò)程中能夠發(fā)揮密碼效用,保障信息的機密性、完整性、真實(shí)性、不可否認性


3.為什么要做密評?

開(kāi)展密評,是為了解決商用密碼應用中存在的突出問(wèn)題,為網(wǎng)絡(luò )和信息系統的安全提供科學(xué)評價(jià)方法,逐步規范商用密碼的使用和管理。從根本上改變商用密碼應用不廣泛、不規范、不安全的現狀,確保商用密碼在網(wǎng)絡(luò )和信息系統中有效使用,切實(shí)構建起堅實(shí)可靠的網(wǎng)絡(luò )安全密碼屏障。開(kāi)展密評,是國家網(wǎng)絡(luò )安全和密碼相關(guān)法律法規提出的明確要求,是法定責任和義務(wù)。


《中華人民共和國密碼法》

第二十七條

法律、行政法規和國家有關(guān)規定要求使用商用密碼進(jìn)行保護的關(guān)鍵信息基礎設施,其運營(yíng)者應當使用商用密碼進(jìn)行保護,自行或者委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估。

《商用密碼應用安全性評估管理辦法(試行)》

第三條  

涉及國家安全和社會(huì )公共利益的重要領(lǐng)域網(wǎng)絡(luò )和信息系統的建設、使用、管理單位(以下簡(jiǎn)稱(chēng)責任單位)應當健全密碼保障體系,實(shí)施商用密碼應用安全性評估。重要領(lǐng)域網(wǎng)絡(luò )和信息系統包括:基礎信息網(wǎng)絡(luò )、涉及國計民生和基礎信息資源的重要信息系統、重要工業(yè)控制 系統、面向社會(huì )服務(wù)的政務(wù)信息系統,以及關(guān)鍵信息基礎設施、網(wǎng)絡(luò )安全等級保護第三級及以上信息系統。第三條規定范圍之外的其他網(wǎng)絡(luò )和信息系統,其責任單位可以參考本辦法自愿開(kāi)展商用密碼應用安全性評估。


4.哪些系統需要做密評?

基礎信息網(wǎng)絡(luò ):電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)。

重要信息系統:能源、教育、公安、測繪地理信息、社保、交通、衛生計生、金融等涉及國計民生和基礎信息資源的重要信息系統。

重要工業(yè)控制系統:核設施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統、交通運輸、水利樞紐、城市設施等重要工業(yè)控制系統。

面向社會(huì )服務(wù)的政務(wù)信息系統:黨政機關(guān)和使用財政性資金的事業(yè)單位和團體組織使用的面向社會(huì )服務(wù)的信息系統。


5.密評參考標準有哪些?

《中華人民共和國密碼法》
《商用密碼應用安全性評估管理辦法(試行)》
《信息安全等級保護商用密碼管理辦法》
GM/T 0115-2021《信息系統密碼應用測評要求》
GM/T 0116-2021《信息系統密碼應用測評過(guò)程指南》
GB/T 39786-2021《信息安全技術(shù)信息系統密碼應用基本要求》
《政務(wù)信息系統密碼應用與安全性評估工作指南》
《信息系統密碼應用高風(fēng)險判定指引》
《商用密碼應用安全性評估量化評估規則》
《商用密碼應用安全性評估FAQ》


6.密評的總體要求是什么?

總體要求是所有信息系統都需遵循的基本要求,包括密碼算法、密碼技術(shù)、密碼產(chǎn)品、密碼服務(wù)4個(gè)層面的相關(guān)要求,具體要求如下:


01 總體要求


密碼算法:使用的密碼算法應當符合法律、法規的規定和密碼相關(guān)國家標準、行業(yè)標準的有關(guān)要求,重點(diǎn)關(guān)注密碼算法的合規性。

密碼技術(shù):使用的密碼技術(shù)應遵循密碼相關(guān)國家標準和行業(yè)標準。重點(diǎn)關(guān)注加密技術(shù)的合規性,密碼技術(shù)應保證自身的安全性,可靠性,與信息系統的互聯(lián)互通性。

密碼產(chǎn)品:使用的密碼產(chǎn)品與密碼模塊應通過(guò)國家密碼管理部門(mén)核準?!懊艽a模塊”可包括密碼卡、密碼機、定制密碼模塊、密碼軟件等多種形態(tài)。重點(diǎn)關(guān)注密碼產(chǎn)品的合規性和有效性,密碼產(chǎn)品和密碼模塊需根據國家相關(guān)規定進(jìn)行密碼產(chǎn)品安全等級確定、檢測。測評機構開(kāi)展評估應當遵循商用密碼管理政策和國家標準GB/T39786-2021《信息安全技術(shù)信息系統密碼應用基本要求》《信息系統密碼測評要求》(運行)等相關(guān)密碼標準和指導性文件的要求,遵循獨立、客觀(guān)、公眾的原則。

密碼服務(wù):使用的密碼服務(wù)應通過(guò)國家密碼管理部門(mén)許可。如CA認證機構應獲得《電子認證服務(wù)使用密碼許可證》以及《電子認證服務(wù)許可證》。


02 密碼功能要求


密碼功能要求是對密碼技術(shù)在信息系統中的使用場(chǎng)景起到什么作用的闡述,密碼功能要求包括機密性、完整性、真實(shí)性和不可否認性。

機密性:使用密碼加密功能,保障信息系統重要數據在傳輸、存儲過(guò)程中的保密性以及身份鑒別信息、密鑰數據的機密性。

完整性:使用消息校驗碼(MAC)或數字簽名實(shí)現完整性,保障信息系統重要數據在傳輸、存儲過(guò)程中的完整性以及身份鑒別信息、密鑰數據、日志記錄、訪(fǎng)問(wèn)控制信息、資源敏感標記、重要程序、可信信任鏈、視頻監控記錄、電子門(mén)禁出入記錄的完整性。

真實(shí)性:使用對稱(chēng)加密、動(dòng)態(tài)口令、數字簽名等實(shí)現真實(shí)性,保障信息系統中各類(lèi)基礎設施、軟硬件設備以及業(yè)務(wù)應用系統的用戶(hù)身份鑒別信息的真實(shí)性。

不可否認性:使用數字簽名等密碼技術(shù)實(shí)現實(shí)體行為的不可否認性,保障信息系統中無(wú)法否認的操作行為,如發(fā)送、接收、審批、創(chuàng )建、修改、刪除、添加、配置等。


03 密碼技術(shù)應用要求、密鑰管理和安全管理


密碼技術(shù)應用要求包括物理和環(huán)境安全、網(wǎng)絡(luò )和通信安全、設備和計算安全、應用和數據安全。
密鑰管理主要從密鑰的生成、存儲、分發(fā)、導入、導出的安全性和正確性;使用的正確性;備份和恢復的可靠性;歸檔的安全性與正確性;緊急情況下的銷(xiāo)毀等環(huán)節提出相應的要求。
安全管理包括制度、人員、實(shí)施和應用四個(gè)維度。


7.密評流程主要有哪些?

測評過(guò)程分為四項基本測評活動(dòng):測評準備活動(dòng)、方案編制活動(dòng)、現場(chǎng)測評活動(dòng)、分析與報告編制活動(dòng)。測評雙方之間的溝通與洽談應貫穿整個(gè)測評過(guò)程。其中,測評對象包括安全人員、管理員、密碼產(chǎn)品、網(wǎng)絡(luò )設備、服務(wù)器、數據庫、安全設備、操作系統、應用系統、業(yè)務(wù)系統、技術(shù)文檔、管理制度文檔等;測評工具涉及協(xié)議分析工具、端口掃描工具、滲透測試工具、算法和隨機性檢測工具、密碼應用檢測工具、密碼安全協(xié)議檢測工具等。

01 測評準備活動(dòng)

項目啟動(dòng)

信息收集與分析

工具和表單準備

02 方案編制活動(dòng)

測評對象確定、測評指標確認

測評工具檢查點(diǎn)確定

測評內容確定

測評方案編制

03 現場(chǎng)測評活動(dòng)

現場(chǎng)測評準備

現場(chǎng)測評和結果記錄

結果確認和資料歸還

04分析與報告編制活動(dòng)

單項測評結果判定

單元測評結果判定

整體測評

風(fēng)險分析

密碼測評結論形成

密碼測評報告編制


8.不做密評或測評結果不合格有什么影響?

《密碼法》第三十七條第一款規定

關(guān)鍵信息基礎設施的運營(yíng)者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開(kāi)展商用密碼應用安全性評估的,由密碼管理部門(mén)責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的,處十萬(wàn)元以上一百萬(wàn)元以下罰款,對直接負責的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。


《國家政務(wù)信息化項目建設管理辦法》第二十八條第三款規定

對于不符合密碼應用和網(wǎng)絡(luò )安全要求,或者存在重大安全隱患的政務(wù)信息系統,不安排運行維護經(jīng)費,項目建設單位不得新建、改建、擴建政務(wù)信息系統。


《商用密碼應用安全性評估管理辦法(試行)》第二章第十條規定

關(guān)鍵信息基礎設施、網(wǎng)絡(luò )安全等級保護第三級及以上信息系統,每年至少評估一次。


9.取得密評報告后應向哪些部門(mén)和機構進(jìn)行備案?

根據現有規定,責任單位取得報告后,被測單位自行上報主管部門(mén)及所在地區(部門(mén))密碼管理部門(mén)備案,測評機構上報國密局備案;等保三級及以上信息系統,評估報告還需由被測單位上報至所在地區公安部門(mén)備案。





文章來(lái)源:彼得研究院

Image
Image
版權所有:山西科信源信息科技有限公司??
咨詢(xún)熱線(xiàn):0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區)太原市小店區南中環(huán)街529 號清控創(chuàng )新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F