Image
全國統(tong)一服務熱線
0351-4073466

商用密碼應用安全性評估之七問

編輯:2023-04-25 16:07:16

一(yi)、為什么要做商用密碼應用安全性(xing)評(ping)估(gu)?

商用密碼應用安全性評估(簡稱“密評”)是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中,對其密碼應用的合規性、正確性、有效性等進行評估。

當前,國際國內網絡(luo)空(kong)間安全形勢(shi)嚴峻,安全事件層出不(bu)窮,網絡(luo)空(kong)間正在加速(su)演變(bian)為各(ge)國爭相搶奪的新(xin)疆域、戰略(lve)威懾與控制的新(xin)領域、意識形態斗爭的新(xin)平(ping)臺、維護經濟社會穩定(ding)的新(xin)陣地(di)、未來(lai)軍事角逐的新(xin)戰場。

對(dui)于(yu)我們國(guo)內來說,核心技術受(shou)制于(yu)人的(de)局(ju)面沒有得到(dao)根本性改(gai)變(bian),對(dui)于(yu)關(guan)鍵信(xin)息(xi)基(ji)礎設(she)施的(de)安全(quan)防護能力依(yi)(yi)然很弱,信(xin)息(xi)產品也存在巨大的(de)安全(quan)隱患,基(ji)于(yu)以上,將商(shang)用密碼(ma)應用與新(xin)技術深度融合,在維護國(guo)家安全(quan)、促進經濟(ji)發展、保護人民(min)群眾利(li)益中將發揮(hui)不可替代的(de)作用。然而我國(guo)商(shang)用密碼(ma)應用目前不廣泛,不規(gui)范,大量系(xi)統(tong)依(yi)(yi)舊在使用已經被警(jing)示(shi)的(de)密碼(ma)算法,極不安全(quan)。

基于目前的嚴重情況(kuang),《中(zhong)華(hua)人民共和國密(mi)碼(ma)法(fa)》于202011日起(qi)實施,《密(mi)碼(ma)法》第(di)二十七條規(gui)(gui)定(ding),法律、行政法規(gui)(gui)和(he)國家(jia)有關規(gui)(gui)定(ding)要求使用商(shang)用密(mi)碼(ma)進行保護的關鍵(jian)基礎設施,其(qi)運營者(zhe)應當使用商(shang)用密(mi)碼(ma)進行保護,自行或者(zhe)委托商(shang)用密(mi)碼(ma)檢測機構開(kai)展商(shang)用密(mi)碼(ma)應用安(an)全性評估。

《中(zhong)華人民共(gong)和國(guo)網(wang)絡安全(quan)法》也指出,網(wang)絡運營者應當履行(xing)網(wang)絡安全(quan)保(bao)(bao)護(hu)義務,并明確(que)在(zai)網(wang)絡安全(quan)等級保(bao)(bao)護(hu)制(zhi)度的基礎上(shang),對(dui)關鍵信息基礎設施(shi)實行(xing)重點保(bao)(bao)護(hu)。采(cai)取(qu)技術措施(shi)和其他必要措施(shi),維(wei)護(hu)網(wang)絡數據的完整性、保(bao)(bao)密性和可用性。

《商(shang)用密碼應(ying)用安(an)全性評(ping)估管理辦(ban)法(試行)》第(di)三條和第(di)二十條也分別(bie)指出涉及國家安(an)全和社會公共利益的重要(yao)領域網絡和信息系統的建設、使(shi)用、管理單位(以(yi)下簡(jian)稱責任單位)應(ying)當健全密碼保障體(ti)系,實施商(shang)用密碼應(ying)用安(an)全性評(ping)估。

重(zhong)要領域網(wang)(wang)絡(luo)和信(xin)息(xi)(xi)系(xi)(xi)統(tong)包括:基(ji)礎信(xin)息(xi)(xi)網(wang)(wang)絡(luo)、涉及(ji)國計民生(sheng)和基(ji)礎信(xin)息(xi)(xi)資源的重(zhong)要信(xin)息(xi)(xi)系(xi)(xi)統(tong)、重(zhong)要工業控制系(xi)(xi)統(tong)、面向社(she)會服務的政務信(xin)息(xi)(xi)系(xi)(xi)統(tong),以(yi)及(ji)關鍵信(xin)息(xi)(xi)基(ji)礎設施,網(wang)(wang)絡(luo)安全等級保護(hu)第三級及(ji)以(yi)上信(xin)息(xi)(xi)系(xi)(xi)統(tong)。

二(er)、哪些(xie)重要領(ling)域網絡(luo)和信息系統需要做密評?

基礎信息(xi)網(wang)絡:電(dian)信網(wang)、廣播電(dian)視網(wang)、互聯網(wang);

重要(yao)信(xin)息系統:公(gong)共(gong)通信(xin)和(he)信(xin)息服務(wu)、能源(yuan)、交通、水利、金融(rong)、公(gong)共(gong)服務(wu)、教育、公(gong)安、住建、工商、社(she)保、衛生計生、測繪(hui)地理信(xin)息等涉及(ji)國計民生和(he)基礎(chu)信(xin)息資源(yuan)的重要(yao)信(xin)息系統;

重(zhong)要(yao)工(gong)業(ye)控(kong)制(zhi)(zhi)系(xi)統:核設施、航空航天、智(zhi)能制(zhi)(zhi)造、石(shi)油石(shi)化、油氣管網、電力系(xi)統、水(shui)利樞紐、城市(shi)設施等(deng)重(zhong)要(yao)工(gong)業(ye)控(kong)制(zhi)(zhi)系(xi)統。

面(mian)向社(she)會服務的(de)政務信息系(xi)統(tong):黨政機關和使用(yong)財政性(xing)資(zi)金的(de)事業單(dan)位(wei)、團體組(zu)織使用(yong)的(de)面(mian)向社(she)會服務的(de)信息系(xi)統(tong)。


三、繼《密(mi)碼法》2020年1月施行以(yi)來,都有哪些地(di)方(fang)出臺了針對(dui)密(mi)碼應用的(de)法規(gui)條例以(yi)指導各地(di)相關部門(men)執行?

  • 20191230日 國務院辦公廳(ting)印發(fa)《國家政務信(xin)息化項目建(jian)設管理辦法(fa)》 

  • 20204月 廣東省印發《廣東省政務信息(xi)化(hua)項(xiang)目建設管理辦法》 

  • 2020年(nian)412日 河北省印發《河北省省級政(zheng)務信息化項目建設管理(li)辦法》 

  • 2020826日 河南省(sheng)印發《河南省(sheng)政務云管理辦法》 

  • 2020年(nian)925日 江西省人民政府辦公廳印(yin)發《江西省政務信息化項目建設管(guan)理辦法》 

  • 20209月 吉林省印發《吉林省政務信息化項目建(jian)設管理辦法》 

  • 2020年(nian)129日(ri) 中國密(mi)碼(ma)學(xue)會(hui)密(mi)評(ping)聯委會(hui)組織編制了(le)《信(xin)息系統密(mi)碼(ma)應用測(ce)評(ping)要求》等5項指導性文(wen)件 

  • 2021317號 海南六部門聯合(he)發布《關于進一步明(ming)確省政務信息化項目密碼應用有關要求的(de)通知》 ;

  • 20213月(yue)30日(ri) 廣西省印發《廣西政務信(xin)息化項目建設(she)管(guan)理辦法》 

  • 國家(jia)市(shi)場監(jian)管(guan)總局、國家(jia)標(biao)準化管(guan)理委員會發布公告,正(zheng)式發(fa)布國家標準GB/T39786-2021《信息安全(quan)技術信息系統密碼應用基本要(yao)求》,將于(yu)2021101日起實(shi)施。

  • 安徽(hui)省(sheng)密(mi)碼管理局、安徽(hui)省(sheng)財政廳印發(fa)《關于重要領域(yu)信息系統密(mi)碼應用工(gong)作(zuo)的(de)通知》

  • 北京市明確(que)將密碼應用(yong)建設過程中的新建項目所(suo)需經費列入(ru)同級政(zheng)府(fu)固定資(zi)產投資(zi),升級改(gai)造(zao)和運行維護經費列入(ru)同級財(cai)政(zheng)預算,并對密碼應用(yong)情況(kuang)進行事(shi)前審(shen)查(cha)。

  • 江(jiang)(jiang)蘇省(sheng)財政(zheng)廳、省(sheng)密碼管理局聯合印發通知并頒布《江(jiang)(jiang)蘇省(sheng)密碼產品采購(gou)管理目錄》

  • 天津市(shi)委辦公(gong)廳、市(shi)政府辦公(gong)廳聯合印(yin)發《關于重要領域網絡與信息系統(tong)規范使用密碼的通知(zhi)》

  • 貴州省(sheng)委辦公廳(ting)、省(sheng)政府辦公廳(ting)印發《貴州省(sheng)重要(yao)領(ling)域網(wang)絡與信息(xi)系統密(mi)碼應用審核實施意見》

  • 20217月,山東(dong)省濟南市密(mi)碼(ma)管理局聯合各主要(yao)單位印發(fa)《關于加強政(zheng)務(wu)信息(xi)系統密(mi)碼(ma)應(ying)用(yong)與安全性評估(gu)工作(zuo)的通知(zhi)》

  • 2021610日(ri),第十(shi)三(san)屆全(quan)國人民代表大會常務委員會第二十(shi)九次會議通過《中(zhong)華(hua)人民共和國數據(ju)安(an)全(quan)法(fa)》,于(yu)202191日起(qi)施(shi)行(xing)。

  • 2021年(nian)7月(yue)3日(ri),《關鍵信息基礎設施安全保護條例》公布,于202191日起實施。

  • 2021820日(ri),第(di)十(shi)(shi)三屆全(quan)國人(ren)民(min)(min)代表大會常務(wu)委員會第(di)三十(shi)(shi)次會議通過《中華人(ren)民(min)(min)共和國個(ge)人(ren)信息保(bao)護法》,于2021111日起施行。

  • 2021年11月10日,重慶市人民政府辦公廳印發《重慶市人民政府辦公廳(ting)關于印發重慶市(shi)市(shi)級政務信息化項目管(guan)理辦法的通(tong)知》。


四、如果不(bu)(bu)做密評(ping)或者密評(ping)結果不(bu)(bu)合(he)格會有(you)什么影響(xiang)?

《密(mi)(mi)碼法》第三十(shi)七條(tiao)第一(yi)款(kuan)規定:關鍵信息基(ji)礎設施(shi)的(de)運營者違反(fan)本(ben)法第二十(shi)七條(tiao)第一(yi)款(kuan)規定,未按照要求使用商(shang)用密(mi)(mi)碼,或者未按照要求開展(zhan)商(shang)用密(mi)(mi)碼應(ying)用安全(quan)性評估的(de),由(you)密(mi)(mi)碼管(guan)(guan)理部門責令改正(zheng),給予警告;拒不改正(zheng)或者導致(zhi)危害網絡(luo)安全(quan)等后果(guo)的(de),處(chu)十(shi)萬元以上一(yi)百萬元以下罰款(kuan),對直接(jie)負責的(de)主管(guan)(guan)人員(yuan)處(chu)一(yi)萬元以上十(shi)萬元以下罰款(kuan)。

《國家政務(wu)(wu)信(xin)(xin)息(xi)化(hua)項目建(jian)設管理辦法》第二十八條第三款規定:對于(yu)不符合密碼應用和網絡安全要求,或者存在重大安全隱(yin)患的政務(wu)(wu)信(xin)(xin)息(xi)系統,不安排(pai)運行(xing)維護經(jing)費(fei),項目建(jian)設單位不得新建(jian)、改建(jian)、擴(kuo)建(jian)政務(wu)(wu)信(xin)(xin)息(xi)系統。

《商用密碼(ma)應用安(an)(an)全性評估管理辦法(試行)》第二(er)章(zhang)第十條規定(ding):關鍵信息基(ji)礎設施、網絡安(an)(an)全等級保護第三級及(ji)以上信息系統,每年至少(shao)評估一次。


五、如何進(jin)行信息系統密評及密改(gai)?

密碼(ma)應(ying)用(yong)安全性評(ping)估包(bao)括兩(liang)部(bu)分重要(yao)內容:一是信(xin)息系統規(gui)劃階段對密碼(ma)應(ying)用(yong)方(fang)案(an)的評(ping)審(shen)和評(ping)估;二是信(xin)息系統建設完成(cheng)后開展的實際(ji)測評(ping)。可參考GM/T 0054-2018《信息系統密(mi)(mi)碼應用基本要求》中(zhong)的條款為主(zhu)線,主(zhu)要從(cong)總體要求、物理(li)(li)和(he)(he)環境安(an)全、網(wang)絡(luo)和(he)(he)通(tong)信安(an)全、設備和(he)(he)計算安(an)全、應用和(he)(he)數據(ju)安(an)全、密(mi)(mi)鑰管(guan)理(li)(li)和(he)(he)安(an)全管(guan)理(li)(li)等方(fang)面進(jin)行評測。由國(guo)家密(mi)(mi)碼管(guan)理(li)(li)局批(pi)準的專業測評機構進(jin)行評測,如剛接觸商密(mi)(mi)并不熟悉(xi),可(ke)委托第(di)三(san)方(fang)進(jin)行方(fang)案設計,方(fang)案完(wan)成后需(xu)經過(guo)專家討(tao)論或者測評機構評審后進(jin)行密(mi)(mi)改。


六(liu)、密碼(ma)應用安(an)全性評估的具體流程(cheng)是什么?

1、測評準備階段,主要是責任單(dan)位信息收(shou)集和(he)系統自查(cha),使測評機構全面掌(zhang)握(wo)被測系統密碼(ma)使用的(de)詳細情(qing)況,為測評工作的(de)開展打下基礎(chu)。

2、方(fang)案編(bian)制階段,正確合理(li)確定(ding)測評(ping)對象、測評(ping)邊(bian)界(jie)、測評(ping)指標(biao)(biao)等內容,并依據技(ji)術(shu)標(biao)(biao)準、規范編(bian)制測評(ping)方(fang)案、測評(ping)結果(guo)記錄(lu)表格,測評(ping)方(fang)案應通過(guo)技(ji)術(shu)評(ping)審并有相關記錄(lu)。

3、現場測評(ping)階段,嚴格(ge)執行(xing)測評(ping)方案中的內容和(he)要(yao)求(qiu)。

4、報(bao)告編制(zhi)階段,給出測(ce)評結(jie)論,形成(cheng)測(ce)評報(bao)告。


七(qi)、取得了密評報告后(hou)應向哪些(xie)部門和機構進行(xing)備案(an)?

根據現有規定,責任單(dan)位(wei)取得報(bao)(bao)告(gao)后,被測(ce)單(dan)位(wei)自(zi)行上報(bao)(bao)主管部(bu)門(men)及(ji)(ji)所(suo)在地區(qu)(部(bu)門(men))密(mi)碼管理(li)部(bu)門(men)備案(an),測(ce)評機構上報(bao)(bao)國家密(mi)碼管理(li)局備案(an),等保三級及(ji)(ji)以(yi)上信息系統,評估報(bao)(bao)告(gao)還需由被測(ce)單(dan)位(wei)上報(bao)(bao)至(zhi)所(suo)在地區(qu)公安部(bu)門(men)備案(an)。


Image
Image
版權所有:山西科(ke)信源科(ke)技股(gu)份有限公司(si)
咨(zi)詢(xun)熱線:0351-4073466?
地址:(北區)山西(xi)省太原市迎澤區新建(jian)南路(lu)文源巷24號文源公(gong)務中心5層
? ? ? ? ? ?(南區(qu))太原(yuan)市小店區(qu)南中(zhong)環街529 號清控(kong)創(chuang)新基地A座(zuo)4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團