Image
全國(guo)統一服務熱線
0351-4073466

要想輕松通過密評,必須先了解這9個問題

編輯:2023-05-19 10:12:26

近(jin)年來(lai),網(wang)(wang)絡(luo)空間安(an)(an)全(quan)一(yi)直是(shi)(shi)經(jing)濟社會關注的焦(jiao)點。密(mi)(mi)碼(ma)(ma)為保(bao)護信(xin)息安(an)(an)全(quan)而生(sheng),是(shi)(shi)網(wang)(wang)絡(luo)安(an)(an)全(quan)的核(he)心要件,是(shi)(shi)數字(zi)經(jing)濟基礎(chu)支(zhi)撐,也(ye)是(shi)(shi)網(wang)(wang)絡(luo)信(xin)任體系的重要基石,是(shi)(shi)目前世界上公認(ren)的,保(bao)障網(wang)(wang)絡(luo)與(yu)信(xin)息安(an)(an)全(quan)最(zui)有效、最(zui)可靠、最(zui)經(jing)濟的關鍵(jian)核(he)心技術(shu)。《網(wang)(wang)絡(luo)安(an)(an)全(quan)法(fa)(fa)》《密(mi)(mi)碼(ma)(ma)法(fa)(fa)》《數據安(an)(an)全(quan)法(fa)(fa)》《個人信(xin)息保(bao)護法(fa)(fa)》《關鍵(jian)信(xin)息基礎(chu)設施安(an)(an)全(quan)保(bao)護條例》等法(fa)(fa)律法(fa)(fa)規均不同程度地提(ti)到(dao)要使用(yong)商用(yong)密(mi)(mi)碼(ma)(ma)。下面(mian),我(wo)們就來(lai)介紹一(yi)下日常工作生(sheng)活中融入的商用(yong)密(mi)(mi)碼(ma)(ma)應用(yong)及(ji)其安(an)(an)全(quan)性評估(gu)。

1.什么是商用密碼?

2.什么是密評?

3.為什么要做密評?

4.哪些系統需要做密評?

5.密評參考標準有哪些?

6.密評的總體要求是什么?

7.密評流程主要有哪些?

8.不做密評或測評結果不合格有什么影響?

9.取得密評報告后應向哪些部門和機構進行備案?


1.什么是商用密碼?

商(shang)用密(mi)(mi)(mi)碼,是指對不涉及國家(jia)秘密(mi)(mi)(mi)內(nei)容的(de)信(xin)息進行加(jia)(jia)密(mi)(mi)(mi)保(bao)(bao)護或安全(quan)認證所使用的(de)密(mi)(mi)(mi)碼技(ji)術(shu)和(he)密(mi)(mi)(mi)碼產(chan)品。其中,商(shang)用密(mi)(mi)(mi)碼技(ji)術(shu),是保(bao)(bao)障信(xin)息安全(quan)的(de)核(he)心技(ji)術(shu)。從功能上(shang)看,主要(yao)包括(kuo)加(jia)(jia)密(mi)(mi)(mi)保(bao)(bao)護技(ji)術(shu)和(he)安全(quan)認證技(ji)術(shu);從內(nei)容上(shang)看,主要(yao)包括(kuo)密(mi)(mi)(mi)碼算法、密(mi)(mi)(mi)鑰管理和(he)密(mi)(mi)(mi)碼協(xie)議(yi)。


商用(yong)密(mi)(mi)(mi)碼(ma)(ma)(ma)產品(pin),是指采(cai)用(yong)密(mi)(mi)(mi)碼(ma)(ma)(ma)技(ji)術對不涉及國家(jia)秘密(mi)(mi)(mi)內容的信(xin)息進行加(jia)密(mi)(mi)(mi)保護或安全認證(zheng)的產品(pin),即(ji)承載密(mi)(mi)(mi)碼(ma)(ma)(ma)技(ji)術、實現(xian)密(mi)(mi)(mi)碼(ma)(ma)(ma)功能的實體。按照(zhao)形態(tai)劃分(fen),商用(yong)密(mi)(mi)(mi)碼(ma)(ma)(ma)產品(pin)分(fen)為(wei)六類,即(ji)軟件、芯片(pian)、模塊、板(ban)卡、整機、系統;按照(zhao)功能劃分(fen),商用(yong)密(mi)(mi)(mi)碼(ma)(ma)(ma)產品(pin)分(fen)為(wei)七(qi)類,即(ji)密(mi)(mi)(mi)碼(ma)(ma)(ma)算(suan)法類、數(shu)據加(jia)解密(mi)(mi)(mi)類、認證(zheng)鑒別類、證(zheng)書(shu)管理(li)類、密(mi)(mi)(mi)鑰(yao)管理(li)類、密(mi)(mi)(mi)碼(ma)(ma)(ma)防(fang)偽類和(he)綜合類。


2.什么是密評?

商(shang)用(yong)密(mi)碼應用(yong)安全性評(ping)(ping)估(簡稱“密(mi)評(ping)(ping)”),是指在采用(yong)商(shang)用(yong)密(mi)碼技術、產品和服(fu)務集成建設的網絡和信息系統中(zhong),對其密(mi)碼應用(yong)的合規性、正確性和有效性進行(xing)評(ping)(ping)估。

01 密碼應用合規性

  • 使用的密碼(ma)算法(fa)、密碼(ma)技(ji)術符合法(fa)律法(fa)規和相關國家(jia)標(biao)準(zhun)、行業標(biao)準(zhun)的有關要求

  • 使用的密碼(ma)產品、密碼(ma)模塊通過國家密碼(ma)管(guan)理部(bu)門(men)核(he)準

  • 使用(yong)的密碼服務符合國家密碼管(guan)理要求

02 密碼應用正確性

  • 密碼算法(fa)、密碼協議、密鑰管理、密碼產品和服務使(shi)用(yong)正確

  • 系統(tong)中采用的標準密碼算法、協議和(he)密鑰管(guan)理(li)機(ji)制按照密碼國(guo)家和(he)行(xing)業標準進行(xing)正確設(she)計和(he)實現

  • 自定(ding)義(yi)密碼協議、密鑰管理機制(zhi)的設計和實(shi)現正確,符合相(xiang)關標(biao)準要求

  • 密(mi)碼保障(zhang)系統(tong)建設或改(gai)造(zao)過程中密(mi)碼產品(pin)和服務的(de)部署和應用正(zheng)確(que)

03 密碼應用有效性

  • 信(xin)息系統中(zhong)采(cai)用(yong)的密(mi)碼(ma)協議、密(mi)鑰管理系統、密(mi)碼(ma)應用(yong)子系統和密(mi)碼(ma)安全防護機(ji)制不僅設計合理,在系統運行過(guo)程中(zhong)能夠發揮(hui)密(mi)碼(ma)效用(yong),保障信(xin)息的機(ji)密(mi)性(xing)(xing)、完整(zheng)性(xing)(xing)、真實性(xing)(xing)、不可否認性(xing)(xing)


3.為什么要做密評?

開(kai)展密(mi)評,是為了解決商(shang)用(yong)(yong)密(mi)碼應用(yong)(yong)中存(cun)在的(de)(de)突出(chu)問題,為網(wang)絡(luo)和(he)信息系統的(de)(de)安(an)全提供科學評價方(fang)法(fa)(fa)(fa)(fa),逐步規(gui)范(fan)商(shang)用(yong)(yong)密(mi)碼的(de)(de)使用(yong)(yong)和(he)管理。從根本上改變商(shang)用(yong)(yong)密(mi)碼應用(yong)(yong)不廣(guang)泛、不規(gui)范(fan)、不安(an)全的(de)(de)現狀,確保商(shang)用(yong)(yong)密(mi)碼在網(wang)絡(luo)和(he)信息系統中有效(xiao)使用(yong)(yong),切實(shi)構建起(qi)堅實(shi)可靠的(de)(de)網(wang)絡(luo)安(an)全密(mi)碼屏障。開(kai)展密(mi)評,是國家網(wang)絡(luo)安(an)全和(he)密(mi)碼相關法(fa)(fa)(fa)(fa)律法(fa)(fa)(fa)(fa)規(gui)提出(chu)的(de)(de)明確要(yao)求,是法(fa)(fa)(fa)(fa)定責任和(he)義務。


《中華人民共和國密碼法》

第二十七條

法(fa)律、行(xing)政法(fa)規和國家有(you)關規定要求使(shi)(shi)用(yong)商(shang)用(yong)密(mi)碼(ma)進行(xing)保(bao)護的(de)關鍵信(xin)息基礎設施,其(qi)運營者(zhe)應當使(shi)(shi)用(yong)商(shang)用(yong)密(mi)碼(ma)進行(xing)保(bao)護,自行(xing)或者(zhe)委托商(shang)用(yong)密(mi)碼(ma)檢測機構開展商(shang)用(yong)密(mi)碼(ma)應用(yong)安全性評估(gu)。

《商用密碼應用安全性評估管理辦法(試行)》

第三條  

涉及國家(jia)安(an)全(quan)和(he)(he)(he)社會(hui)公共利益(yi)的(de)(de)(de)重要(yao)領域網(wang)絡和(he)(he)(he)信(xin)(xin)息(xi)系(xi)(xi)統(tong)(tong)(tong)的(de)(de)(de)建設、使用(yong)(yong)(yong)、管理單位(wei)(以(yi)下簡(jian)稱責任(ren)單位(wei))應當健全(quan)密(mi)碼(ma)保障(zhang)體(ti)系(xi)(xi),實(shi)施商(shang)用(yong)(yong)(yong)密(mi)碼(ma)應用(yong)(yong)(yong)安(an)全(quan)性評估。重要(yao)領域網(wang)絡和(he)(he)(he)信(xin)(xin)息(xi)系(xi)(xi)統(tong)(tong)(tong)包括:基(ji)礎信(xin)(xin)息(xi)網(wang)絡、涉及國計民(min)生和(he)(he)(he)基(ji)礎信(xin)(xin)息(xi)資源(yuan)的(de)(de)(de)重要(yao)信(xin)(xin)息(xi)系(xi)(xi)統(tong)(tong)(tong)、重要(yao)工業控制 系(xi)(xi)統(tong)(tong)(tong)、面向社會(hui)服(fu)務的(de)(de)(de)政務信(xin)(xin)息(xi)系(xi)(xi)統(tong)(tong)(tong),以(yi)及關鍵信(xin)(xin)息(xi)基(ji)礎設施、網(wang)絡安(an)全(quan)等級保護(hu)第三(san)級及以(yi)上信(xin)(xin)息(xi)系(xi)(xi)統(tong)(tong)(tong)。第三(san)條規定范圍之外的(de)(de)(de)其(qi)他(ta)網(wang)絡和(he)(he)(he)信(xin)(xin)息(xi)系(xi)(xi)統(tong)(tong)(tong),其(qi)責任(ren)單位(wei)可以(yi)參考本辦法(fa)自愿(yuan)開展(zhan)商(shang)用(yong)(yong)(yong)密(mi)碼(ma)應用(yong)(yong)(yong)安(an)全(quan)性評估。


4.哪些系統需要做密評?

基礎信息網絡:電信網、廣播電視網、互聯網。

重要信息系統:能源、教育、公安、測繪地理信息、社保、交通、衛生計生、金融等涉及國計民生和基礎信息資源的重要信息系統。

重要工業控制系統:核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要工業控制系統。

面向社會服務的政務信息系統:黨政機關和使用財政性資金的事業單位和團體組織使用的面向社會服務的信息系統。


5.密評參考標準有哪些?

《中華人民共和國密碼(ma)法》
《商用密碼應(ying)用安全性(xing)評估管理辦法(試(shi)行)》
《信息安全等級保護商用(yong)密(mi)碼管理辦法》
GM/T 0115-2021《信(xin)息系統密碼應用測評要求》
GM/T 0116-2021《信息系統密碼應用測評過程指南》
GB/T 39786-2021《信(xin)息安(an)全技術信(xin)息系統密碼應用基本要求》
《政務信息系統密碼(ma)應用與安全性評估工作指南》
《信息系(xi)統(tong)密碼應用高風險判定指引(yin)》
《商用(yong)密碼應用(yong)安全性評(ping)估量化(hua)評(ping)估規則》
《商用(yong)密碼應用(yong)安(an)全性評估FAQ》


6.密評的總體要求是什么?

總(zong)體要(yao)求是所有信(xin)息系統都需遵循(xun)的基本要(yao)求,包括密(mi)碼算法、密(mi)碼技術、密(mi)碼產品(pin)、密(mi)碼服務4個層面的相關要(yao)求,具體要(yao)求如下:


01 總體要求


密碼算法:使(shi)用的(de)(de)密(mi)(mi)碼算(suan)法(fa)(fa)應當(dang)符合(he)法(fa)(fa)律、法(fa)(fa)規(gui)的(de)(de)規(gui)定和(he)密(mi)(mi)碼相關國家標(biao)準(zhun)、行業標(biao)準(zhun)的(de)(de)有關要(yao)求,重(zhong)點關注密(mi)(mi)碼算(suan)法(fa)(fa)的(de)(de)合(he)規(gui)性。

密碼技術:使(shi)用(yong)的密(mi)碼(ma)技術(shu)應(ying)遵循密(mi)碼(ma)相(xiang)關國家標準和行(xing)業標準。重點關注加(jia)密(mi)技術(shu)的合規性,密(mi)碼(ma)技術(shu)應(ying)保證(zheng)自身(shen)的安(an)全性,可靠性,與信息系統的互聯互通性。

密碼產品:使用(yong)的(de)密(mi)(mi)(mi)(mi)碼(ma)產(chan)品與密(mi)(mi)(mi)(mi)碼(ma)模塊應通過國(guo)家(jia)密(mi)(mi)(mi)(mi)碼(ma)管理(li)部門核(he)準。“密(mi)(mi)(mi)(mi)碼(ma)模塊”可(ke)包括密(mi)(mi)(mi)(mi)碼(ma)卡、密(mi)(mi)(mi)(mi)碼(ma)機(ji)、定制密(mi)(mi)(mi)(mi)碼(ma)模塊、密(mi)(mi)(mi)(mi)碼(ma)軟件等(deng)多種形態。重點關注密(mi)(mi)(mi)(mi)碼(ma)產(chan)品的(de)合(he)規(gui)性和(he)有效性,密(mi)(mi)(mi)(mi)碼(ma)產(chan)品和(he)密(mi)(mi)(mi)(mi)碼(ma)模塊需根據(ju)國(guo)家(jia)相關規(gui)定進(jin)行密(mi)(mi)(mi)(mi)碼(ma)產(chan)品安(an)全等(deng)級確定、檢測(ce)。測(ce)評機(ji)構開展(zhan)評估應當遵循商用(yong)密(mi)(mi)(mi)(mi)碼(ma)管理(li)政(zheng)策和(he)國(guo)家(jia)標(biao)(biao)準GB/T39786-2021《信(xin)(xin)息安(an)全技術信(xin)(xin)息系統密(mi)(mi)(mi)(mi)碼(ma)應用(yong)基本要(yao)(yao)求(qiu)》《信(xin)(xin)息系統密(mi)(mi)(mi)(mi)碼(ma)測(ce)評要(yao)(yao)求(qiu)》(運(yun)行)等(deng)相關密(mi)(mi)(mi)(mi)碼(ma)標(biao)(biao)準和(he)指導(dao)性文件的(de)要(yao)(yao)求(qiu),遵循獨立、客(ke)觀、公眾的(de)原(yuan)則(ze)。

密碼服務:使用(yong)的密碼(ma)(ma)服(fu)務應通(tong)過國家(jia)密碼(ma)(ma)管理部門(men)許(xu)可。如(ru)CA認證(zheng)機(ji)構應獲得《電子認證(zheng)服(fu)務使用(yong)密碼(ma)(ma)許(xu)可證(zheng)》以及(ji)《電子認證(zheng)服(fu)務許(xu)可證(zheng)》。


02 密碼功能要求


密(mi)碼(ma)功(gong)能要求是對密(mi)碼(ma)技術(shu)在信(xin)息系統中的使(shi)用(yong)(yong)場景起到什么(me)作用(yong)(yong)的闡(chan)述,密(mi)碼(ma)功(gong)能要求包括機密(mi)性、完整(zheng)性、真(zhen)實(shi)性和不可(ke)否認性。

機密性:使用密(mi)(mi)碼(ma)加(jia)密(mi)(mi)功能,保(bao)障(zhang)信息系統重要數(shu)據(ju)在傳輸、存儲過(guo)程中(zhong)的保(bao)密(mi)(mi)性(xing)(xing)以及身份鑒別(bie)信息、密(mi)(mi)鑰數(shu)據(ju)的機密(mi)(mi)性(xing)(xing)。

完整性:使用消息校驗碼(MAC)或(huo)數(shu)(shu)字簽名實(shi)現完(wan)整(zheng)性(xing),保障(zhang)信(xin)息系統(tong)重要數(shu)(shu)據在傳(chuan)輸、存儲過(guo)程中(zhong)的完(wan)整(zheng)性(xing)以及(ji)身(shen)份鑒(jian)別(bie)信(xin)息、密(mi)鑰數(shu)(shu)據、日志記錄、訪問控制信(xin)息、資(zi)源敏感(gan)標記、重要程序(xu)、可信(xin)信(xin)任(ren)鏈(lian)、視頻監控記錄、電子門(men)禁出入記錄的完(wan)整(zheng)性(xing)。

真實性:使用(yong)對(dui)稱(cheng)加密、動態口令、數字簽名等(deng)實現真實性,保障信(xin)息系統(tong)(tong)中各類基礎(chu)設施、軟硬(ying)件設備以(yi)及(ji)業務應(ying)用(yong)系統(tong)(tong)的(de)用(yong)戶身(shen)份鑒(jian)別信(xin)息的(de)真實性。

不可否認性:使用數字簽名等(deng)密碼(ma)技(ji)術實現實體行(xing)為的(de)不(bu)可否認性,保(bao)障信息系統中無(wu)法否認的(de)操作(zuo)行(xing)為,如發送、接收、審批、創建、修改、刪除、添加、配置等(deng)。


03 密碼技術應用要求、密鑰管理和安全管理


密碼技術應(ying)用要求(qiu)包括物理和(he)環(huan)境安(an)(an)全(quan)、網絡和(he)通信(xin)安(an)(an)全(quan)、設備和(he)計(ji)算(suan)安(an)(an)全(quan)、應(ying)用和(he)數據安(an)(an)全(quan)。
密鑰管理主要(yao)從(cong)密鑰的生成、存(cun)儲、分發、導(dao)(dao)入、導(dao)(dao)出的安全(quan)性和(he)(he)正確性;使用(yong)的正確性;備份和(he)(he)恢復的可靠性;歸檔的安全(quan)性與正確性;緊急情況下(xia)的銷毀等環(huan)節提出相(xiang)應的要(yao)求。
安全管(guan)理(li)包括(kuo)制度、人員、實施(shi)和應用四個維度。


7.密評流程主要有哪些?

測(ce)(ce)(ce)評過程(cheng)分(fen)為四項基本測(ce)(ce)(ce)評活(huo)動:測(ce)(ce)(ce)評準備(bei)(bei)活(huo)動、方案編(bian)制活(huo)動、現場測(ce)(ce)(ce)評活(huo)動、分(fen)析與報告編(bian)制活(huo)動。測(ce)(ce)(ce)評雙方之間的溝通與洽談應貫穿整個(ge)測(ce)(ce)(ce)評過程(cheng)。其中,測(ce)(ce)(ce)評對象包括安全(quan)人(ren)員、管理員、密(mi)碼產品(pin)、網絡設(she)備(bei)(bei)、服務(wu)器、數據(ju)庫、安全(quan)設(she)備(bei)(bei)、操作系統(tong)、應用(yong)系統(tong)、業務(wu)系統(tong)、技術文檔、管理制度文檔等(deng);測(ce)(ce)(ce)評工(gong)具(ju)涉及協議分(fen)析工(gong)具(ju)、端口掃描工(gong)具(ju)、滲透測(ce)(ce)(ce)試工(gong)具(ju)、算法和隨機性檢(jian)測(ce)(ce)(ce)工(gong)具(ju)、密(mi)碼應用(yong)檢(jian)測(ce)(ce)(ce)工(gong)具(ju)、密(mi)碼安全(quan)協議檢(jian)測(ce)(ce)(ce)工(gong)具(ju)等(deng)。

01 測評準備活動

項目啟動

信息收集與分析

工具和表單準備

02 方案編制活動

測(ce)評(ping)對象確定、測(ce)評(ping)指標確認(ren)

測評工具檢(jian)查點確(que)定

測評內(nei)容確定

測評(ping)方案編制

03 現場測評活動

現場測(ce)評準(zhun)備

現場測(ce)評和結果記錄

結果確認和(he)資料歸還

04分析與報(bao)告編制活(huo)動

單項測評結果判定

單元(yuan)測評結果判(pan)定(ding)

整(zheng)體(ti)測評

風險(xian)分析

密碼測評結論(lun)形(xing)成

密碼測評報告(gao)編制


8.不做密評或測評結果不合格有什么影響?

《密碼法》第三十七條第一款規定

關鍵信(xin)息(xi)基礎設施的運營者違反(fan)本(ben)法第二十七(qi)條第一(yi)(yi)款規定,未按(an)照要(yao)求使(shi)用商用密(mi)碼(ma)(ma),或者未按(an)照要(yao)求開展商用密(mi)碼(ma)(ma)應用安全性評估(gu)的,由密(mi)碼(ma)(ma)管理部門責(ze)令改(gai)正(zheng),給予警(jing)告;拒不改(gai)正(zheng)或者導致危害網絡(luo)安全等后果的,處十萬元(yuan)(yuan)以(yi)上一(yi)(yi)百萬元(yuan)(yuan)以(yi)下罰款,對直接負責(ze)的主管人員(yuan)處一(yi)(yi)萬元(yuan)(yuan)以(yi)上十萬元(yuan)(yuan)以(yi)下罰款。


《國家政務信息化項目建設管理辦法》第二十八條第三款規定

對于不符(fu)合密碼應用和網絡安(an)全要求,或(huo)者(zhe)存在重大安(an)全隱患的(de)政(zheng)務(wu)信息系(xi)(xi)統,不安(an)排運行(xing)維護經(jing)費,項(xiang)目建(jian)(jian)設(she)單位不得新建(jian)(jian)、改建(jian)(jian)、擴建(jian)(jian)政(zheng)務(wu)信息系(xi)(xi)統。


《商用密碼應用安全性評估管理辦法(試行)》第二章第十條規定

關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,每年至少評估一次。


9.取得密評報告后應向哪些部門和機構進行備案?

根據現有規定,責任單(dan)(dan)位取得報(bao)告后(hou),被(bei)測(ce)(ce)單(dan)(dan)位自行上(shang)報(bao)主(zhu)管部(bu)門(men)及(ji)所(suo)在(zai)地區(qu)(部(bu)門(men))密碼(ma)管理(li)部(bu)門(men)備案(an),測(ce)(ce)評機(ji)構上(shang)報(bao)國密局(ju)備案(an);等保三級及(ji)以上(shang)信(xin)息系(xi)統,評估報(bao)告還需由(you)被(bei)測(ce)(ce)單(dan)(dan)位上(shang)報(bao)至所(suo)在(zai)地區(qu)公(gong)安部(bu)門(men)備案(an)。





文(wen)章(zhang)來(lai)源:彼(bi)得(de)研究院

Image
Image
版(ban)權(quan)所有(you):山西(xi)科信(xin)源科技(ji)股份(fen)有(you)限(xian)公司
咨詢熱線:0351-4073466?
地(di)址:(北區(qu))山西(xi)省太原市迎澤區(qu)新建南路(lu)文源巷24號文源公務(wu)中(zhong)心5層(ceng)
? ? ? ? ? ?(南區(qu))太原市小店區(qu)南中環街529 號(hao)清(qing)控創新基(ji)地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團