从入门到精通:密评科普系列(三)为什么必须做密评

admin 2022年5月8日13:45:45制度法规评论7 views1687字阅读5分37秒阅读模式

本系列指导思想:当我们要理解一个复杂问题,不妨将它拆解成一个个微小问题单元。


向上滑动阅览目录

从入门到精通:密评科普系列

一、什么是商用密码

1、从理解“密码”开始

2、从“密码”到“商用密码”

3、密码算法的分类和性质

4、商用密码的四大特性

二、什么是密评

1、评估对象

2、评估内容

3、评估标准

4、评估流程

三、为什么必须做密评

1、密评发展史

2、商密市场现状

3、密评必做的六个原因

4、不做密评的后果

四、密评实施方案

五、过密评之要点、难点、得分点

1、要点

2、难点

3、得分点

六、关于密评的常见问题

1、运营单位怎么判定是否需要开展密评?

2、不做密评或测评结果不合规有什么影响?

3、等保中的密码要求有哪些(以等保三级系统为例)




三、为什么要做密评?


密评全称:商用密码应用安全性评估


定义:采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。



1、密评发展史


2011年:ZUC序列算法成为了4G移动通信密码算法国际标准

2017年:非对称算法SM2和SM9的数字签名算法成为国际标准

2018年:密码杂凑算法SM3成为国际标准

2021年

2月,SM9标识加密算法成为国际标准

6月,SM4分组密码算法成为国际标准

10月,SM9密钥交换协议成为国际标准


我国自主研发的密码算法相继走出国门并受到国际上的认可,国密局也在大力推进国密算法,借着政策之风,排兵布阵,准备打一场密码应用攻坚战。


从入门到精通:密评科普系列(三)为什么必须做密评


2、密评市场现状


密码应用不广泛

2017年以来,通过全国开展密评工作,90%甚至95%的信息系统不满足密码应用要求,大量数据没有使用密码技术保护,处于“裸奔”状态。


密码应用不规范

未使用合规密码产品

软件实现的密码策略

合规的密码产品但配置不合理


密码应用不安全

大量在使用MD5、SHA1、DES等已被警示有风险的密码算法

 

解决商用密码应用中存在的突出问题,为重要网络和信息系统的安全提供科学评价方法,以评促建、以评促改、以评促用,逐步规范商用密码的使用和管理。



3、必做密评的六个原因


政策要求:《密码法》、国办发57号文等要求信息系统要开展密码应用安全性评估


行业监管:通过行业主管部门的监管,要求行业单位需要通过密评,提高系统安全防御能力,如金融、医疗等


等保延伸:等保可以解决网络监控、边界防护、集中安全管理、访问控制、安全审计等,密评可进一步有效解决数据传输和存储机密性及完整性、数据来源真实可信、操作行为不可否认


安全需求:保证数据机密性、完整性、来源真实性等


业务属性:情报板、网站等防篡改、电子合同、电子票据等防篡改及否认、网上交易、医疗健康等防泄漏


数据合规:《数据安全法》出台,加快我国数据安全合规的进程,通过密码可以为数据采集、存储、整合、呈现与使用、分析与应用、归档和销毁全生命周期保驾护航


4、不做密评的后果


密码法 第三十七条

关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。


国办发57号文 第二十八条

加强国家政务信息化项目建设投资和运行维护经费协同联动……对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。


数据安全法 第四十五条

拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。



■ 本章小结

1、国内密评发展由来已久,如今国家倡导创新密评技术

2、国内密评现存问题:不广泛、不规范、不安全

3、由于政策要求、行业监管、企业安全保障等原因,密评不得不做

4、不做密评或将面临企业安全危机和市场监管处罚






从入门到精通:密评科普系列(三)为什么必须做密评从入门到精通:密评科普系列(三)为什么必须做密评

↑↑↑长按图片识别二维码关註↑↑↑


原文始发于微信公众号(全栈网络空间安全):从入门到精通:密评科普系列(三)为什么必须做密评

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月8日13:45:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  从入门到精通:密评科普系列(三)为什么必须做密评 http://cn-sec.com/archives/985805.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: