要想輕松通(tōng)過密評,必須先了解睡多這9個問題
編輯:2023-05-19 10:12:26
1.什麼是商用密碼?
2.什麼是密評?
3.為(wèi)什麼要做密評?
4.哪些系統需要做密評?
5.密評參考标準有哪些?
6.密評的總體要求是什麼?
7.密評流程主要有哪些?
8.不(bù)做密評或測評結果不(bù)合格冷議有什麼影響?
9.取得(de)密評報告後應向哪些部門和機構男是進行備案?
1.什麼是商用密碼?
商用密碼,是指對不(bù)涉及國家(ji湖的ā)秘密内容的信息進行加密保護或安全認證所使用的密碼技術和密碼産校光品。其中,商用密碼技術,是保障信息安全的核心技術。從功能上看,主要包括看船加密保護技術和安全認證技術;從内容上看,主要包個道括密碼算法、密鑰管理和密碼協議。
商用密碼産品,是指采用密碼技術對不(bù)涉及國家(jiā)她們秘密内容的信息進行加密保護或安全認證的産品,即女鄉承載密碼技術、實現密碼功能的實體。按照形态劃分,商用密碼産品分為(w是弟èi)六類,即軟件、芯片、模塊、闆卡、整機、系統;按照功能劃分,商舊東用密碼産品分為(wèi)七類,即密碼算法類、數靜門據加解密類、認證鑒别類、證書管理類、密鑰管理類、密碼樂樹防僞類和綜合類。
2.什麼是密評?
商用密碼應用安全性評估(簡稱“密評”),是指在采用商不明用密碼技術、産品和服務集成建設的網絡和信息系統中,對其密碼腦友應用的合規性、正确性和有效性進行評估。
01 密碼應用合規性
使用的密碼算法、密碼技術符合法律法規和相關國家(jiā)标舞家準、行業标準的有關要求
使用的密碼産品、密碼模塊通(tōng)過國家(jiā)爸著密碼管理部門核準
使用的密碼服務符合國家(jiā)密碼管理要求
02 密碼應用正确性
密碼算法、密碼協議、密鑰管理、密碼産品和業件服務使用正确
系統中采用的标準密碼算法、協議和密鑰管理機制按制我照密碼國家(jiā)和行業标準進行正确設計和實現
自定義密碼協議、密鑰管理機制的設計和實現銀物正确,符合相關标準要求
密碼保障系統建設或改造過程中密碼産品和服務的部署和應讀老用正确
03 密碼應用有效性
信息系統中采用的密碼協議、密鑰管理系統、密碼應用子(zǐ)系統高這和密碼安全防護機制不(bù)僅設計合理,在系統運行過程中能夠發揮密碼書來效用,保障信息的機密性、完整性、真實性、不(bù)可否認店就性
3.為(wèi)什麼要做密評?
開(kāi)展密評,是為(wèi)了解決商用密碼應用中存在行樂的突出問題,為(wèi)網絡和信息系統的安全提供科(kē)學評價方化家法,逐步規範商用密碼的使用和管理。從根本上改變商用著刀密碼應用不(bù)廣泛、不(bù)規範、不(b哥能ù)安全的現狀,确保商用密碼在網絡和信息系統中有黑站效使用,切實構建起堅實可靠的網絡安全密碼屏障。開(kāi)長新展密評,是國家(jiā)網絡安全和密碼相關法律法規提出的明确要求,是法定責多醫任和義務。
《中華人民共和國密碼法》
第二十七條
法律、行政法規和國家(jiā)有關規定要綠相求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼媽問進行保護,自行或者委托商用密碼檢測機構開(kāi)展媽鐘商用密碼應用安全性評估。
《商用密碼應用安全性評估管理辦法(試行)》
第三條
涉及國家(jiā)安全和社會(huì)公共利益的重要領域網絡慢樂和信息系統的建設、使用、管理單位(以下簡稱責任單位)應當健全密碼保綠媽障體系,實施商用密碼應用安全性評估。重要領域網絡和信息系藍工統包括:基礎信息網絡、涉及國計民生和基礎信息資(zī短報)源的重要信息系統、重要工(gōng)業控制 系統用是、面向社會(huì)服務的政務信息系統,以及關鍵信息基礎設施、網絡黑信安全等級保護第三級及以上信息系統。第三條規定範圍之外的其他(tā)網絡朋廠和信息系統,其責任單位可以參考本辦法自願開(件學kāi)展商用密碼應用安全性評估。
4.哪些系統需要做密評?
基礎信息網絡:電信網、廣播電視網、互聯網。
重要信息系統:能源、教育、公安、測繪地理信息、社保、交通(tō票地ng)、衛生計生、金(jīn)融等涉及國計民生和基礎信息資線場(zī)源的重要信息系統。
重要工(gōng)業控制系統:核設施、航空航天、先進制造、石油石化、油氣管網、鐵老電力系統、交通(tōng)運輸、水利樞紐、城市設施等重要工(gō看話ng)業控制系統。
面向社會(huì)服務的政務信息系統:黨政機關和使用财政性資(zī)金(jīn)的事業區請單位和團體組織使用的面向社會(huì)服務的信息系統。
5.密評參考标準有哪些?
6.密評的總體要求是什麼?
01 總體要求
密碼算法:使用的密碼算法應當符合法律、法規的規定和密碼相對樹關國家(jiā)标準、行業标準的有關要求,重點關注密碼算草農法的合規性。
密碼技術:使用的密碼技術應遵循密碼相關國家(jiā)好務标準和行業标準。重點關注加密技術的合規性,密碼技術應保證了睡自身的安全性,可靠性,與信息系統的互聯互通(tōng)性。
密碼産品:使用的密碼産品與密碼模塊應通(tōng)過國家(jiā)密碼匠學管理部門核準。“密碼模塊”可包括密碼卡、是麗密碼機、定制密碼模塊、密碼軟件等多種形态。重點關注密碼産品的合規性和有效地行性,密碼産品和密碼模塊需根據國家(jiā)相關規定進行密碼産品安全等級确海花定、檢測。測評機構開(kāi)展評估應當遵循商用密碼管為雜理政策和國家(jiā)标準GB/T39786-2021《信息她兵安全技術信息系統密碼應用基本要求》《信息系統密碼測評要報理求》(運行)等相關密碼标準和指導性文件的答不要求,遵循獨立、客觀、公衆的原則。
密碼服務:使用的密碼服務應通(tōng)過國家(jiā)密碼管理部門許可。如(rú)C中拿A認證機構應獲得(de)《電子(zǐ)認證體就服務使用密碼許可證》以及《電子(zǐ)認證服務許可證》。
02 密碼功能要求
密碼功能要求是對密碼技術在信息系統中的使用場景起到什麼作用的闡述煙窗,密碼功能要求包括機密性、完整性、真實性和不(bù)可否認媽可性。
機密性:使用密碼加密功能,保障信息系統重要數據在傳輸、存醫畫儲過程中的保密性以及身份鑒别信息、密鑰數據的機密性。
完整性:使用消息校(xiào)驗碼(MAC)或數字簽名實現完整性,保障信息系統重件話要數據在傳輸、存儲過程中的完整性以及身份鑒别看城信息、密鑰數據、日志記錄、訪問控制信息、資(zī)源敏感标記、重要河木程序、可信信任鍊、視頻監控記錄、電子(zǐ)門禁出入記錄的完整性。
真實性:使用對稱加密、動态口令、數字簽名等實現真實樂開性,保障信息系統中各類基礎設施、軟硬件設備以及業務應用系統的用戶身份鑒上月别信息的真實性。
不(bù)可否認性:使用數字簽名等密碼技術實現實體行為(wèi)的不(bù)可否認性,保障信息可看系統中無法否認的操作行為(wèi),如(rú)發送、接收、審批、創建、修改、空對删除、添加、配置等。
03 密碼技術應用要求、密鑰管理和安全管理
7.密評流程主要有哪些?
測評過程分為(wèi)四項基本測評活動:測評準子一備活動、方案編制活動、現場測評活動、分析與報告編制活動。湖少測評雙方之間的溝通(tōng)與洽談應貫穿整個測評過程。其中,測評對象包括安全吧相人員、管理員、密碼産品、網絡設備、服務器(也快qì)、數據庫、安全設備、操作系統、應用系統、業務系統、技術文件小檔、管理制度文檔等;測評工(gōng)具涉及協議和雨分析工(gōng)具、端口掃描工(gōng)具、滲透校學測試工(gōng)具、算法和随機性檢測工(gōng)具、密碼應用檢測科化工(gōng)具、密碼安全協議檢測工(gōng)具等。
01 測評準備活動
項目啟動
信息收集與分析
工(gōng)具和表單準備
02 方案編制活動
測評對象确定、測評指标确認
測評工(gōng)具檢查點确定
測評内容确定
測評方案編制
03 現場測評活動
現場測評準備
現場測評和結果記錄
結果确認和資(zī)料歸還
04分析與報告編制活動
單項測評結果判定
單元測評結果判定
整體測評
風險分析
密碼測評結論形成
密碼測評報告編制
8.不(bù)做密評或測評結果不(bù)合格有件還什麼影響?
《密碼法》第三十七條******款規定
關鍵信息基礎設施的運營者違反本法第二十七條******款規定,未火近按照要求使用商用密碼,或者未按照要求開(kāi)展商用密碼妹能應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不區器(bù)改正或者導緻危害網絡安全等後果的,處十萬元以上一百萬元以下罰款花她,對直接負責的主管人員處一萬元以上十萬元以下罰款。
《國家(jiā)政務信息化項目建設管理辦法》第二十八條第三款規定
對于不(bù)符合密碼應用和網絡安全要求,或者存在重大(d坐海à)安全隐患的政務信息系統,不(bù)安排運行筆來維護經費,項目建設單位不(bù)得(de)新建、改建、擴建政務信息系下鄉統。
《商用密碼應用安全性評估管理辦法(試行)》第二章第十條規定
關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統窗亮,每年至少評估一次。
9.取得(de)密評報告後應向哪些部門和機構進行備案?
根據現有規定,責任單位取得(de)報告後,被測單位答大自行上報主管部門及所在地區(部門)密碼管理部門備案,測評機構上服但報國密局備案;等保三級及以上信息系統,評估報告還需由被測單身到位上報至所在地區公安部門備案。
咨詢熱線:0351-4073466
地址:(北區)山西省太原市迎澤區新建南路文源巷24号文劇腦源公務中心5層
(南區)太原市小店區南中環街(j的北iē)529 号清控創新基地A座4層
