-
什么是密评?
《中华人民共和国密码法》(2020年1月1日起实施)所述的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
商用密码用于保护不属于国家秘密的信息。
《中华人民共和国密码法》第二十七条规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
2. 密码的发展
《信息系统密码应用基本要求》(GM/T 0054-2018 )
3. 密评对象
商用密码应用安全性评估的对象包括:
• 基础信息网络:电信网、广播电视网、互联网;
• 涉及国计民生和基础信息资源的重要信息系统:能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统;
• 重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统;
• 面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
关键信息基础设施、网络安全等级保护第三级及以上的信息系统,密码应用安全性评估每年至少一次。
4. 密评内容
对采用商用密码技术、产品和服务集成建设的网络和信息系统,对其密码应用的合规性、正确性、有效性进行评估。
密码应用合规性:
•使用的密码算法、密码技术符合法律法规和国家标准、行业标准的有关要求;
•使用的密码产品、密码模块通过国家密码管理部门核准;
•使用的密码服务符合国家密码管理要求;
密码应用正确性:
•密码算法、密码协议、密钥管理、密码产品和服务使用正确;
•系统中采用标准的密码算法、协议、密钥管理,按照国家和行业标准进行正确的设计和实现;
•自定义密码协议、密钥管理机制的设计和实现正确,符合标准要求;
•密码保障系统建设改造过程中密码产品和服务的部署和应用正确;
密码应用有效性:
系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制设计合理,在系统运行过程中能够发挥密码作用,保障信息的机密性、完整性、真实性、不可否认性。
商用密码应用安全性评估主要从:总体要求、物理和环境、网络和通信、设备和计算、应用和数据、密钥管理以及安全管理七个方面进行评估。
5. 总结
开展密评,是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。
中泊研安全运营团队通过渗透测试服务,提供漏洞扫描、基线核查、弱口令检测技术,并从技术角度分析出业务中存在的安全问题,指导客户进行加固和修复。“您身边的网络安全专家”。
中泊研安全技术团队通过“人+流程+数据+平台”,构建可持续安全监测和响应能力,为客户提供全方位的安全运营服务解决方案。
原文始发于微信公众号(中泊研安全应急响应中心):四道防线--密评
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论