密码为保护信息安全而生,是网络安全的核心要件,也是数字经济的基础支撑。随着《密码法》、《网络安全法》、《商用密码应用安全性评估管理办法》等政策法规的颁布与实施,密码应用、密码评估已越来越多的融入我们的生活。但如何判断是否需要进行密评,不做密评或密评不合格将会有什么影响,该如何正确地做密评呢?今天,小编为大家逐一解答,这些在密码应用和密码评估中最常被大家提到的问题。
什么是密评?
密评全称是:商用密码应用安全性评估,是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。
为什么要做密评?
开展密评,是为了解决商用密码应用中存在的突出问题,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。对于责任主体(企业)而言,密评是国家网络安全和密码相关法律法规提出的明确要求,是相关责任主体的法定责任和义务。
《中华人民共和国密码法》
第二十七条
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
《商用密码应用安全性评估管理办法》
第六条
法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统(以下简称重要网络与信息系统),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。
哪些系统需要做密评?
基础信息网络:电信网、广播电视网、互联网。
重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。
重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
关键信息基础设施、网络安全等级保护第三级及以上的信息系统。
密评的要求有哪些?
-
总体要求
总体要求是所有信息系统都需遵循的基本要求,包括密码算法、密码技术、密码产品、密码服务等层面的相关要求,具体要求如下: - 密码算法
使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,重点关注密码算法的合规性。 - 密码技术
使用的密码技术应遵循密码相关国家标准和行业标准。重点关注加密技术的合规性,密码技术应保证自身的安全性,可靠性,与信息系统的互联互通性。 - 密码产品
使用的密码产品与密码模块应通过国家密码管理部门核准。“密码模块”可包括密码卡、密码机、定制密码模块、密码软件等多种形态。重点关注密码产品的合规性和有效性,密码产品和密码模块需根据国家相关规定进行密码产品安全等级确定、检测。测评机构开展评估应当遵循商用密码管理政策和国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》《信息系统密码测评要求》(运行)等相关密码标准和指导性文件的要求,遵循独立、客观、公众的原则。 - 密码服务
使用的密码服务应通过国家密码管理部门许可。如CA认证机构应获得《电子认证服务使用密码许可证》以及《电子认证服务许可证》。
密码功能要求
密码功能要求是对密码技术在信息系统中的使用场景起到什么作用的阐述,密码功能要求包括机密性、完整性、真实性和不可否认性。
机密性
使用密码加密功能,保障信息系统重要数据在传输、存储过程中的保密性以及身份鉴别信息、密钥数据的机密性。
完整性
使用消息校验码(MAC)或数字签名实现完整性,保障信息系统重要数据在传输、存储过程中的完整性以及身份鉴别信息、密钥数据、日志记录、访问控制信息、资源敏感标记、重要程序、可信信任链、视频监控记录、电子门禁出入记录的完整性。
真实性
使用第三方数字证书或其他密码技术,保障通信主体、接入设备,以及进入物理机房人员、设备和服务运维人员、应用系统访问、管理人员身份真实性。
不可否认性
使用数字签名等密码技术实现实体行为的不可否认性,保障信息系统中无法否认的操作行为,如发送、接收、审批、创建、修改、删除、添加、配置等。
密码技术应用要求
密钥管理和安全管理
密码技术应用要求包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。
密钥管理主要从密钥的生成、存储、分发、导入、导出的安全性和正确性;使用的正确性;备份和恢复的可靠性;归档的安全性与正确性;紧急情况下的销毁等环节提出相应的要求。
安全管理包括制度管理、人员管理、建设运行和应急处置四个维度。
不做密评或测评结果不合格
有什么影响?
《密码法》第三十七条
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
《商用密码应用安全性评估管理办法》第九条
重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的,运营者应当进行改造,并在改造期间采取必要措施保证网络与信息系统运行安全。
声明:本平台所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本平台赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现平台上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
领取优惠
提交成功!