Image
全國統一服務(wu)熱(re)線(xian)
0351-4073466

關于密評,你需要知道的!

編(bian)輯:2023-04-25 16:03:14

一、什么是商用密碼,為什么要使用商用密碼?

密碼分為核心密碼、普通密碼和商用密碼,我們(men)日常工作生(sheng)活中(zhong)(zhong)接觸(chu)到(dao)的(de)多(duo)是商用(yong)(yong)密(mi)碼(ma)。工作中(zhong)(zhong),網(wang)上(shang)辦(ban)公、繳(jiao)稅納(na)稅等(deng)過程都有(you)商用(yong)(yong)密(mi)碼(ma)在(zai)起作用(yong)(yong)。生(sheng)活中(zhong)(zhong),第二代居民身(shen)份證(zheng)就(jiu)通過商用(yong)(yong)密(mi)碼(ma)技術保證(zheng)認證(zheng)一(yi)致(zhi),購買火(huo)車(che)票、網(wang)絡購物等(deng)在(zai)線支付全過程都有(you)商用(yong)(yong)密(mi)碼(ma)的(de)保護。

商用密碼,是指對不涉及國家秘密內容的信息進行加密保護或安全認證所使用的密碼技術和密碼產品。其中,商(shang)(shang)用密(mi)(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)技(ji)(ji)術(shu)(shu)(shu),是保障信息安全(quan)的(de)核心技(ji)(ji)術(shu)(shu)(shu)。從功(gong)能上看,主要(yao)包括加(jia)密(mi)(mi)(mi)(mi)(mi)保護(hu)技(ji)(ji)術(shu)(shu)(shu)和安全(quan)認(ren)證(zheng)技(ji)(ji)術(shu)(shu)(shu);從內容上看,主要(yao)包括密(mi)(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)算法(fa)、密(mi)(mi)(mi)(mi)(mi)鑰管(guan)理(li)和密(mi)(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)協議(yi)。商(shang)(shang)用密(mi)(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)產(chan)品(pin),是指采用密(mi)(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)技(ji)(ji)術(shu)(shu)(shu)對(dui)不涉及國家秘密(mi)(mi)(mi)(mi)(mi)內容的(de)信息進(jin)行加(jia)密(mi)(mi)(mi)(mi)(mi)保護(hu)或安全(quan)認(ren)證(zheng)的(de)產(chan)品(pin),即(ji)承載密(mi)(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)技(ji)(ji)術(shu)(shu)(shu)、實(shi)現密(mi)(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)功(gong)能的(de)實(shi)體。按照形(xing)態劃分,商(shang)(shang)用密(mi)(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)產(chan)品(pin)分為六(liu)類,即(ji)軟(ruan)件、芯片(pian)、模(mo)塊、板卡、整機(ji)、系統;按照功(gong)能劃分,商(shang)(shang)用密(mi)(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)產(chan)品(pin)分為七(qi)類,即(ji)密(mi)(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)算法(fa)類、數據加(jia)解密(mi)(mi)(mi)(mi)(mi)類、認(ren)證(zheng)鑒別類、證(zheng)書管(guan)理(li)類、密(mi)(mi)(mi)(mi)(mi)鑰管(guan)理(li)類、密(mi)(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)防偽類和綜合類。

密碼是網絡信任體系的重要基石,是目前世界上公認的,保障網絡與信息安全最有效、最可靠、最經濟的關鍵核心技術。《網絡安(an)(an)全法(fa)》《密(mi)碼(ma)(ma)法(fa)》《數據安(an)(an)全法(fa)》《個人信(xin)(xin)息保護(hu)法(fa)》《關鍵信(xin)(xin)息基礎(chu)設施安(an)(an)全保護(hu)條例》等(deng)法(fa)律法(fa)規均不(bu)同(tong)程度地提到要使用(yong)(yong)商用(yong)(yong)密(mi)碼(ma)(ma)。在信(xin)(xin)息互聯時代,密(mi)碼(ma)(ma)除(chu)傳統加(jia)密(mi)外(wai),主要體現在身(shen)(shen)份認證、權(quan)限管理、訪問控(kong)制等(deng)。數字經濟(ji)時代,密(mi)碼(ma)(ma)的作用(yong)(yong)不(bu)斷(duan)擴展到數據流通(tong)、數據共享(xiang)等(deng)新(xin)維度,密(mi)碼(ma)(ma)技(ji)術自身(shen)(shen)也需要持續(xu)革新(xin)。

二、商用密碼應用安全性評估(簡稱“密評”)是什么,哪些單位需要開展密評工作?

“密(mi)評”是指在采(cai)用商用密(mi)碼技術、產(chan)品和(he)服務集成建設的網絡和(he)信息系統中,對其密(mi)碼應用的合規(gui)性、正確性和(he)有效性進行評估(gu)。

34970

國家網絡安全和密碼相關法律法規明確要求非涉密的關鍵信息基礎設施、等保三級及以上系統、國家政務等重要信息系統要開展密評工作。并且,密評管理辦法也明確規定:關鍵信息基礎設施、網絡(luo)安全等級保護第(di)三級及以上(shang)信息系(xi)統,需要(yao)每(mei)年至少評估一(yi)次。


三、不做密評或測試結果不合格會有哪些影響呢?

● 首先,是《密碼法》第三十七條第一款指出:關鍵(jian)信息基(ji)礎設施(shi)的(de)運營者未(wei)按(an)照(zhao)要求使用商用密碼,或(huo)者未(wei)按(an)照(zhao)要求開展密評的(de),由密碼管理部門責令改正,給予警(jing)告(gao);拒不改正或(huo)者導致危害網絡安全等后(hou)果(guo)的(de),將(jiang)處十萬(wan)元以(yi)上一百(bai)萬(wan)元以(yi)下罰(fa)款。

● 《國家政務信息化項目建設管理辦法》第二十八條第三款也有提到:對于不符(fu)合密碼應用和網絡安(an)全要求,或者存在重大安(an)全隱患的政務信(xin)息系統,不安(an)排(pai)運行維護經費,項目建設單位(wei)不得新(xin)建、改建、擴(kuo)建政務信(xin)息系統。


四、密評在密碼應用部署過程中所處的位置,全過程涉及的參與方有哪些?

項目(mu)建(jian)設單位(wei)應當落實國家密碼管(guan)理有關法(fa)律(lv)法(fa)規(gui)和標準規(gui)范的(de)要求(qiu),同(tong)(tong)步規(gui)劃、同(tong)(tong)步建(jian)設、同(tong)(tong)步運行密碼保障系(xi)統并定期(qi)進行評估。



五、密評主要由哪些機構開展?

從事密評活動的機構,應當經國家密碼(ma)管理部門認定,依(yi)法(fa)取(qu)得商用(yong)密碼(ma)檢測機構資質。


六、開展密評工作主要參考哪些標準規范?

參(can)考的標準主要分為兩類:

第一類是基本要求

65503

● 第二類是評估方法

目前主要(yao)參考的(de)文件是2021年發布的(de)GM/T 0115-2021《信息(xi)系(xi)統密(mi)碼(ma)應用測評要(yao)求》、GM/T 0116-2021《信息(xi)系(xi)統密(mi)碼(ma)應用測評過程(cheng)指(zhi)南》,中國(guo)密(mi)碼(ma)學會密(mi)評聯委會修訂形成的(de)《信息(xi)系(xi)統密(mi)碼(ma)應用高風險判定指(zhi)引》《商(shang)用密(mi)碼(ma)應用安(an)全性(xing)評估(gu)量化評估(gu)規則(ze)》。

密評量化評估滿分100分,得分大于(yu)等于(yu)60分且沒有高風險(xian)項為基本合格。

七、密評的服務內容主要有哪些?

密評(ping)工作主要(yao)(yao)包括(kuo)兩部(bu)分內(nei)容:一是信息系(xi)統規劃階段的(de)密碼應(ying)用方案評(ping)估,這一環節主要(yao)(yao)用于保證建(jian)設(she)方案的(de)安全性;二是信息系(xi)統建(jian)設(she)完成后針(zhen)對(dui)該系(xi)統開展現場測試。

● 方案評估階段

主(zhu)要針對新(xin)建或改造信息系(xi)統,密碼應(ying)用(yong)改造方(fang)(fang)案(an)(an)(an)一般(ban)由用(yong)戶單位(wei)組織編寫,用(yong)戶單位(wei)編寫密碼應(ying)用(yong)建設方(fang)(fang)案(an)(an)(an)/改造方(fang)(fang)案(an)(an)(an)后,應(ying)委(wei)托專家對方(fang)(fang)案(an)(an)(an)進(jin)行評估或委(wei)托密評機構出具方(fang)(fang)案(an)(an)(an)密評報告。

● 系統評估階段

111201

注:密評(ping)系統的定(ding)級參照網絡(luo)安(an)全等級保(bao)護的系統定(ding)級。

八、密評過程主要包括哪些環節?

密評(ping)過(guo)程(見下圖)分(fen)為四個基本測(ce)(ce)評(ping)活(huo)動(dong)(dong):測(ce)(ce)評(ping)準備活(huo)動(dong)(dong)、方案編(bian)制(zhi)活(huo)動(dong)(dong)、現場(chang)測(ce)(ce)評(ping)活(huo)動(dong)(dong)、分(fen)析(xi)與(yu)報告編(bian)制(zhi)活(huo)動(dong)(dong);測(ce)(ce)評(ping)雙方之間的溝(gou)通與(yu)洽談貫(guan)穿整個密碼應(ying)用安(an)(an)全(quan)(quan)性評(ping)估過(guo)程。其中,測(ce)(ce)評(ping)對象包括安(an)(an)全(quan)(quan)人員、管理員、密碼產品、網(wang)絡設(she)備、服務器、數據庫、安(an)(an)全(quan)(quan)設(she)備、操(cao)作(zuo)系統(tong)、應(ying)用系統(tong)、業務系統(tong)、技術文檔、管理制(zhi)度文檔等;測(ce)(ce)評(ping)工(gong)具涉及(ji)協(xie)議分(fen)析(xi)工(gong)具、端口掃(sao)描工(gong)具、滲透測(ce)(ce)試工(gong)具、算法(fa)和隨機性檢測(ce)(ce)工(gong)具、密碼應(ying)用檢測(ce)(ce)工(gong)具、密碼安(an)(an)全(quan)(quan)協(xie)議檢測(ce)(ce)工(gong)具等。

49486


九、取得密評報告后應如何去管理部門備案?

按(an)照《密(mi)碼法》確定的(de)(de)屬地(di)管(guan)理原則(ze),應由運(yun)營者(zhe)所(suo)在地(di)的(de)(de)密(mi)碼管(guan)理部門作為備(bei)(bei)案(an)部門,由省級密(mi)碼管(guan)理部門作為一般(ban)備(bei)(bei)案(an)部門,國家密(mi)碼管(guan)理局作為特(te)殊備(bei)(bei)案(an)部門。自密(mi)評報告出具之日起30日內,填寫(xie)《網絡與(yu)信息系統(tong)密(mi)評備(bei)(bei)案(an)信息表(biao)》,并按(an)備(bei)(bei)案(an)表(biao)要求,附上密(mi)評合同(tong)和密(mi)評報告,郵(you)寄到所(suo)屬地(di)密(mi)碼管(guan)理局。

45944?


Image
Image
版權所有(you):山(shan)西科信源(yuan)科技股(gu)份(fen)有(you)限公(gong)司(si)
咨詢(xun)熱(re)線:0351-4073466?
地址:(北區(qu))山(shan)西省太原市(shi)迎澤區(qu)新(xin)建南路文源(yuan)巷24號文源(yuan)公(gong)務中心5層
? ? ? ? ? ?(南區)太原市小店區南中環街529 號清控創新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團