商用密码应用安全性评估“十问十答” 密码为保护信息安全而生,是网络安全的核心要件,是数字经 济基础支撑。下面,我们就来介绍一下日常工作生活中融入的商用 密码应用及其安全性评估。 一、什么是商用密码,为什么要使用商用密码? 密码分为核心密码、普通密码和商用密码,我们日常工作生活 中接触到的多是商用密码。工作中,网上办公、缴税纳税等过程都 有商用密码在起作用。生活中,第二代居民身份证就通过商用密码 技术保证认证一致,购买火车票、网络购物等在线支付全过程都有 商用密码的保护。 商用密码,是指对不涉及国家秘密内容的信息进行加密保护或 安全认证所使用的密码技术和密码产品。其中,商用密码技术,是 保障信息安全的核心技术。从功能上看,主要包括加密保护技术和 安全认证技术;从内容上看,主要包括密码算法、密钥管理和密码 协议。商用密码产品,是指采用密码技术对不涉及国家秘密内容的 信息进行加密保护或安全认证的产品,即承载密码技术、实现密码 功能的实体。按照形态划分,商用密码产品分为六类,即软件、芯 片、模块、板卡、整机、系统;按照功能划分,商用密码产品分为 七类,即密码算法类、数据加解密类、认证鉴别类、证书管理类、 密钥管理类、密码防伪类和综合类。 密码是网络信任体系的重要基石,是目前世界上公认的,保障 网络与信息安全最有效、最可靠、最经济的关键核心技术。《网络 第 1 页 共 8 页 安全法》《密码法》《数据安全法》《个人信息保护法》《关键信 息基础设施安全保护条例》等法律法规均不同程度地提到要使用商 用密码。在信息互联时代,密码除传统加密外,主要体现在身份认 证、权限管理、访问控制等。数字经济时代,密码的作用不断扩展 到数据流通、数据共享等新维度,密码技术自身也需要持续革新。 二、商用密码应用安全性评估(简称“密评”)是什么,哪些单位 需要开展密评工作? “密评”是指在采用商用密码技术、产品和服务集成建设的网 络和信息系统中,对其密码应用的合规性、正确性和有效性进行评 估。 国家网络安全和密码相关法律法规明确要求非涉密的关键信息 基础设施、等保三级及以上系统、国家政务等重要信息系统要开展 密评工作。并且,密评管理办法也明确规定:关键信息基础设施、 网 络 安 全 等 级 保 护 第 三 级 及 以 上 信 息 系 统 ,需 要 每 年 至 少 评 估 一 次 。 第 2 页 共 8 页 三、不做密评或测试结果不合格会有哪些影响呢? 相关影响已经有文件加以明确: ●首先,是《密码法》第三十七条第一款指出:关键信息基础 设施的运营者未按照要求使用商用密码,或者未按照要求开展密评 的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害 网络安全等后果的,将处十万元以上一百万元以下罚款。 ●《国家政务信息化项目建设管理办法》第二十八条第三款也 有提到:对于不符合密码应用和网络安全要求,或者存在重大安全 隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新 建、改建、扩建政务信息系统。 此 外 ,全 国 各 地 方 也 在 不 断 将 密 码 应 用 要 求 纳 入 行 业 管 理 规 范 、 工 作 计 划 。 如 川 办 发 〔 2021〕 49 号 《 四 川 省 省 级 政 务 信 息 化 项 目 管 理办法》,以及近两年印发的《广东省政务信息化项目建设管理办 法》《河北省省级政务信息化项目建设管理办法》《河南省政务云 管理办法》《江西省政务信息化项目建设管理办法》《吉林省政务 信 息 化 项 目 建 设 管 理 办 法 》《 广 西 政 务 信 息 化 项 目 建 设 管 理 办 法》, 均提到了要按要求采用密码技术和定期开展密评。 四、密评在密码应用部署过程中所处的位置,全过程涉及的参与方 有哪些? 项目建设单位应当落实国家密码管理有关法律法规和标准规范 的要求,同步规划、同步建设、同步运行密码保障系统并定期进行 评估。 第 3 页 共 8 页 五、密评主要由哪些机构开展? 从事密评活动的机构(简称“密评机构”),应当经国家密码 管理部门认定,依法取得商用密码检测机构资质。 密评机构应具备商用密码相关测评工具,技术人员具备专业的 测 评 实 施 能 力 , 依 据 GB/T 39786-2021《 信 息 安 全 技 术 信 息 系 统 密 码应用基本要求》等标准规范,为用户提供信息系统商用密码应用 安全性评估相关的咨询服务以及测评评估服务。 六、开展密评工作主要参考哪些标准规范? 参考的标准主要分为两类: 第 4 页 共 8 页 ●第一类是基本要求 就是我们通常说的“信息系统密码应用基本要求”,主要依据 国 家 标 准 GB/T 39786-2021《 信 息 安 全 技 术 信 息 系 统 密 码 应 用 基 本 要 求 》 , 此 标 准 于 2021 年 10 月 1 日 正 式 实 施 。 ●第二类是评估方法 目 前 主 要 参 考 的 文 件 是 2021 年 发 布 的 GM/T 0115-2021《 信 息 系 统 密 码 应 用 测 评 要 求 》 、 GM/T 0116-2021《 信 息 系 统 密 码 应 用 测 评 过程指南》,中国密码学会密评联委会修订形成的《信息系统密码 应 用 高 风 险 判 定 指 引 》《 商 用 密 码 应 用 安 全 性 评 估 量 化 评 估 规 则 》。 密 评 量 化 评 估 满 分 100 分 ,得 分 大 于 等 于 60 分 且 没 有 高 风 险 项 为基本合格。 七、密评的服务内容主要有哪些? 密评工作主要包括两部分内容:一是信息系统规划阶段的密码 应用方案评审或评估,这一环节主要用于保证建设方案的安全性; 二是信息系统建设完成后针对该系统开展现场测试。 第 5 页 共 8 页 ●方案评审或评估阶段 主要针对新建或改造信息系统,密码应用改造方案一般由用户 单 位 组 织 编 写 ,用 户 单 位 编 写 密 码 应 用 建 设 方 案 /改 造 方 案 后 ,应 组 织 对 方 案 进 行评 审 或 评 估 。 ●系统评估阶段 主 要 依 据 国 标 GB/T39786-2021《 信 息 安 全 技 术 信 息 系 统 密 码 应用基本要求》,从物理和环境、网络和通信、设备和计算、应用 和数据、安全管理等方面开展评估。 八、密评过程主要包括哪些环节? 密评过程(见下图)分为四个基本测评活动:测评准备活动、 方案编制活动、现场测评活动、分析与报告编制活动;测评双方之 间的沟通与洽谈贯穿整个密码应用安全性评估过程。其中,测评对 第 6 页 共 8 页 象 包 括 安 全 人 员 、管 理 员 、密 码 产 品 、网 络 设 备 、服 务 器 、数 据 库 、 安全设备、操作系统、应用系统、业务系统、技术文档、管理制度 文档等;测评工具涉及协议分析工具、端口扫描工具、渗透测试工 具、算法和随机性检测工具、密码应用检测工具、密码安全协议检 测工具等。 九、密评过程中有哪些常见问题? 用户单位在密码实际应用改造过程中,会遇到诸多问题,如租 用 外 部 机 房 如 何 满 足 物 理 和 环 境 安 全 项 的 要 求 、 自 建 CA 的 合 规 性 、 云 平 台 和 云 上 应 用 的 测 评 等 问 题 ,通 用 解 答 可 参 见 2021 年 底 已 发 布 的 《 商 用 密 码 应 用 安 全 性 评 估 FAQ 》 ( https://ht.cacrnet.org.cn/upload/file/20211217/163975166 9666037.pdf),针 对 具 体 问 题 还 需 要 结 合 用 户 单 位 实 际 情 况 进 行 详 细解答。 第 7 页 共 8 页 十、取得密评报告后应如何去管理部门备案? 按照《密码法》确定的属地管理原则,应由运营者所在地的密 码 管 理 部 门 作 为 备 案 部 门 ,由 省 级 密 码 管 理 部 门 作 为 一 般 备 案 部 门 , 国 家 密 码 管 理 局 作 为 特 殊 备 案 部 门 。自 密 评 报 告 出 具 之 日 起 30 日 内 , 填写《网络与信息系统密评备案信息表》,并按备案表要求,附上 密评合同和密评报告,邮寄到所属地密码管理局。 第 8 页 共 8 页

pdf文档 商用密码应用安全性评估“十问十答”

文档预览
中文文档 8 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共8页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
商用密码应用安全性评估“十问十答” 第 1 页 商用密码应用安全性评估“十问十答” 第 2 页 商用密码应用安全性评估“十问十答” 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-08-16 03:28:52上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言