- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
本系列指导思想:当我们要理解一个复杂问题,不妨将它拆解成一个个微小问题单元。
从入门到精通:密评科普系列
一、什么是商用密码
1、从理解“密码”开始
2、从“密码”到“商用密码”
3、密码算法的分类和性质
4、商用密码的四大特性
二、什么是密评
1、评估对象
2、评估内容
3、评估标准
4、评估流程
三、为什么必须做密评
1、密评发展史
2、商密市场现状
3、密评必做的六个原因
4、不做密评的后果
四、密评解决方案
1、密评方案设计及实施
2、新华三密评解决方案
3、方案价值体现
五、过密评之重点、难点、得分点
1、重点
2、难点
3、得分点
六、关于密评的常见问题
1、运营单位怎么判定是否需要开展密评?
2、不做密评或测评结果不合格有什么影响?
3、等保中的密码要求有哪些(以等保三级系统为例)
4、云计算、工控、移动互联网安全扩展要求
六、关于密评的常见问题
“密评”全称:商用密码应用安全性评估
1、运营单位怎么判定是否需要开展密评?
《密码法》第二十七条
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
《商用密码应用安全性评估管理办法(试行)》第三条、第二十条
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下检测责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
第三条规定范围之外的其他网络和信息系统,其责任单位可以参照本办法自愿开展商用密码应用安全性评估。
2、不做密评或测评结果不合规有什么影响?
《密码法》第三十七条第一款规定:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第二十八条第三款规定:对于不符合密码应用和网络安全要求,或者存在总打安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不能新建、改建、扩建政务信息系统。
《商用密码应用安全性评估管理办法(试行)》第二章第十条规定:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
3、等保中的密码要求有哪些(以等保三级系统为例)
1)安全通信网络(8.1.2.2通信传输)
a)应采用校验技术或密码技术保证通信过程中数据的完整性。
b)应采用密码技术保证通信过程中数据的保密性。
2)安全计算环境
■ 8.1.4.1身份鉴别
c)当进行远程管理时,应采取必要的措施防止鉴别信息在网络传输过程中被窃听;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
■ 数据传输完整性、保密性(8.1.4.7 a和8.1.4.8 a)
■ 数据存储完整性、保密性(8.1.4.7 b和8.1.4.8 b)
3)安全管理中心(8.1.5.4 集中管控)
b)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。
4)安全建设管理
8.1.9.3产品采购和使用b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求;
8.1.9.7测试验收b)应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。
5)安全运维管理(8.1.10.9密码管理)
a)应遵循密码相关国家标准和行业标准;
b)应使用国家密码管理部门认真核准的密码技术和产品。
4、云计算安全扩展要求
安全计算环境
8.2.4.4 镜像和快照保护:应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。
8.2.4.5 数据完整性和保密性:
c) 应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施;
d) 应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。
5、工业控制系统安全扩展要求
安全通信网络
8.5.2.2通信传输
在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。
安全区域边界
8.5.3.2拨号使用控制
b) 拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施。
8.5.3.3无线使用控制
c) 应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护。
6、移动互联安全扩展要求
安全区域边界
无线接入设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证。
安全计算环境(8.3.3.2移动应用管控)
b) 应只允许指定证书签名的应用软件安装和运行。
安全建设管理
8.3.4.1移动应用软件采购
a) 应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名;
8.3.4.2移动应用软件开发
b) 应保证开发移动业务应用软件的签名证书合法性。
■ 结语
密评科普系列到此全部结束,我们从商用密码是什么开始谈起,逐步由浅及深,覆盖了密评发展背景、市场监管要求、密评解决方案、密评常见问题等。本系列文章在推文时进行了小范围修改,因此目录需以第六篇为准。希望对需要了解密评的朋友有所助益。
