向上滑动阅览目录
三、为什么要做密评?
密评全称:商用密码应用安全性评估
定义:对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
1、密评发展史
2011年:ZUC序列算法成为了4G移动通信密码算法国际标准
2017年:非对称算法SM2和SM9的数字签名算法成为国际标准
2018年:密码杂凑算法SM3成为国际标准
2021年:
2月,SM9标识加密算法成为国际标准
6月,SM4分组密码算法成为国际标准
10月,SM9密钥交换协议成为国际标准
我国自主研发的密码算法相继走出国门并受到国际上的认可,国密局也在大力推进国密算法,借着政策之风,排兵布阵,准备打一场密码应用攻坚战。
相关标准文件下载方式,点击:商用密码标准汇总
2、密评市场现状
密码应用不广泛:
2017年以来,通过全国开展密评工作,90%甚至95%的信息系统不满足密码应用要求,大量数据没有使用密码技术保护,处于“裸奔”状态。
密码应用不规范:
未使用合规密码产品
软件实现的密码策略
合规的密码产品但配置不合理
密码应用不安全:
大量在使用MD5、SHA1、DES等已被警示有风险的密码算法
解决商用密码应用中存在的突出问题,为重要网络和信息系统的安全提供科学评价方法,以评促建、以评促改、以评促用,逐步规范商用密码的使用和管理。
3、必做密评的六个原因
政策要求:《密码法》、国办发57号文等要求信息系统要开展密码应用安全性评估
行业监管:通过行业主管部门的监管,要求行业单位需要通过密评,提高系统安全防御能力,如金融、医疗等
等保延伸:等保可以解决网络监控、边界防护、集中安全管理、访问控制、安全审计等,密评可进一步有效解决数据传输和存储机密性及完整性、数据来源真实可信、操作行为不可否认
安全需求:保证数据机密性、完整性、来源真实性等
业务属性:情报板、网站等防篡改、电子合同、电子票据等防篡改及否认、网上交易、医疗健康等防泄漏
数据合规:《数据安全法》出台,加快我国数据安全合规的进程,通过密码可以为数据采集、存储、整合、呈现与使用、分析与应用、归档和销毁全生命周期保驾护航
4、不做密评的后果
密码法 第三十七条
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
国办发57号文 第二十八条
加强国家政务信息化项目建设投资和运行维护经费协同联动……对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
数据安全法 第四十五条
拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
■ 本章小结
1、国内密评发展由来已久,如今国家倡导创新密评技术
2、国内密评现存问题:不广泛、不规范、不安全
3、由于政策要求、行业监管、企业安全保障等原因,密评不得不做
4、不做密评或将面临企业安全危机和市场监管处罚
四、密评解决方案
“密评”全称:商用密码应用安全性评估
1、密评方案设计及实施
1)明确被测范围和系统
明确《密码法》及相关法律法规所要求的测评范围,以此确定企业需要做密评的系统和覆盖范围。
2)前期准备和测评方案编制
协助企业开展自我评估,出具密评差距分析报告,明确企业密码应用需求并编制密码应用建设方案,密码专家对方案进行审核。
3)密评方案建设实施
根据过审方案开展密码应用建设,从技术、管理双重维度,为企业提供合规密码技术、产品、应急保障服务等,确保方案顺利落地。
4)联系密评机构并开展密评工作
协助企业寻找并委托具备密评资质的单位开展密评工作,测评期间全程协助确保顺利完成测评。
5)现场测评及报告编制
跟进测评机构工作进度,协助测评机构完成现场测评工作,测评机构根据现场测评情况出具合规测评报告后,提交到运营单位。
6)密评报告上报
依据规定上报至上级主管单位及本地区密码管理部门,三级以上系统还需要报送监管单位。
2、新华三密评解决方案
新华三商用密码应用安全性评估解决方案针对密码应用相关标准规范,基于物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理安全及安全管理制度等维度进行统一规划设计。方案以新华三自研商密产品为基础,充分整合密码应用需求,帮助用户建立一套安全、合规、完整、有效的密码应用体系。
基于政务云密码应用改造解决方案
安全管理域改造
密码应用改造重点关注网络与通信安全、应用和数据安全,通过新华三国密防火墙可实现国密SSL/IPSec VPN安全接入,保证运维管理通道的安全。
部署国密改造后的堡垒机和日志审计,保证身份鉴别信息的传输机密性和日志的完整性;部署国密浏览器和智能密码钥匙,保证接入人员的身份安全。
云管理域改造
借助服务器密码机实现云平台相关数据的传输和存储机密性和完整性保护,签名验签服务器实现云平台基于数字证书的身份鉴别及管理人员重要操作行为的不可否认性;应用层面借助云平台自身优势,提前与密码产品进行对接适配,提高云平台运行稳定性及缩短实施周期。
租户密码资源池域改造
充分利用新华三自主研发能力及安全生态体系,基于云平台搭建密码资源池,为云上租户业务应用提供密码服务能力支撑。
3、新华三密评方案价值体现
云-网-安全面融合
底座云平台、网络资源、计算资源、存储资源已与密码产品完成对接,具备国密能力,提供多种密码安全服务,形成“云网安”一体化的能力。
完整密码产品线
具备自主研发的密码产品家族,同时通过多样化的生态合作伙伴为客户提供全方面密评改造能力。
架构合规设计
基于GB/T 39786-2021标准设计,系统建设资源优化部署,可落地性强,满足用户一次性过密评的需求。
专业密评专家咨询服务
具备多位经验丰富的持证密评师和专业的密评方案交付团队,提供全流程的专业密评服务。
差距分析:基础信息调研、业务流程梳理、安全风险评估、密码应用基本要求差距分析,输出差距分析报告。
密评方案设计:结合网络安全需求进行密码应用整改方案设计,包括密码安全技术体系、管理体系等框架和实现设计等。
密码建设及咨询服务:网络安全架构优化、密码技术体系设计、密码产品部署、安全管理体系建设与咨询等。
■ 本章小结
1、密评整体实施流程中会涉及企业、密评服务提供商、测评机构、密码主管单位,三级以上系统还需向监管单位报备。
2、密评解决方案需要针对物理、网络、设备、应用、数据、密钥等多个维度的安全合规进行统一规划和设计,新华三基于一系列自研产品与服务的密评解决方案,可供广大客户与合作伙伴参考。
来源:新华三主动安全
往期系列——安全标准
往期系列——网络安全
往期系列——零信任
往期系列——信创
点分享
点收藏
点点赞
点在看
原文始发于微信公众号(一起聊安全):密评科普系列(二):为什么要做密评?及密评实施方案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论