商用密码应用安全性评估实施指南

admin
admin
admin
102350
文章
87
评论
2023年3月21日01:15:37评论38 views字数 2915阅读9分43秒阅读模式
目录


  一. 什么是密评?

1.1 什么是商用密码?
1.2 何为合规、正确、有效?
二. 为什么要密评?
2.1 密评法律依据
2.2 密评开展的现实需求
三. 密评基于哪些标准和规范?
3.1 《信息安全技术 信息系统密码应用基本要求》
3.2 《商用密码应用安全性评估管理办法》
3.3 《信息系统密码应用测评过程指南》
3.4 《信息系统密码应用高风险判定指引》
3.5 《商用密码应用安全性评估量化评估规则》
四. 谁应该做密评?
五. 谁来实施密评?
六. 密评流程是怎样的?
6.1 项目立项阶段
6.2 项目建设阶段
6.3 项目运行阶段
参考文献



什么是密评?

国家密码管理局发布的《商用密码应用安全性评估管理办法》指出:“商用密码安全性评估是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、 正确性和有效性等进行评估”。

1.1    什么是商用密码?
国务院1999 年发布的《商用密码管理条例》规定:“商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”。
1.2    何为合规、正确、有效?

合规性是指信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求,使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格

正确性是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确,即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现,自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求,密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。

有效性判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用,是否满足了信息系统的安全需求,是否切实解决了信息系统面临的安全问题。


为什么要密评?

开展“密评”既有法律依据,又有现实的需求。

2.1    密评法律依据

开展密评,是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。根据《中华人民共和国密码法》第二十七条:法律、行政法规和国家有关规定要求使用密码进行保护的关键信息基础设施,其运营者应当使用密码进行保护,自行或者委托密码检测机构开展密码应用安全性评估。

2.2    密评开展的现实需求

当前的网络空间安全形势面临许多威胁和挑战,数据安全事件时有发生,严重影响到了个人隐私安全、公共安全甚至国家安全。而密码技术是保障网络与信息系统安全的重要抓手,构建起成体系的、安全有效的密码保障系统,对重要信息系统有效抵御网络攻击具有重要作用。密评能够对商用密码应用的合规性、正确性和有效性进行测评和给出科学准确的评估报告,以便网络和信息系统运营者或主管部门及时掌握商用密码的安全状况,并采取必要的技术手段与管理措施对密码应用方案进行及时调整和改进。综上所述,开展密评是保障系统安全的必然要求。


密评基于哪些标准和规范?
3.1    《信息安全技术 信息系统密码应用基本要求》

2021 年,国家标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》正式发布,该国标是在我国行业标准GM/T 0054-2018《信息系统密码应用基本要求》的基础上完善后成为国家标准的。该标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求,以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。是密评工作开展的的主要依据。

3.2《商用密码应用安全性评估管理办法》

国家密码管理局发布的《商用密码应用安全性评估管理办法》对商用密码应用安全性评估工作进行了规范。

3.3《信息系统密码应用测评过程指南》

国家密码管理局发布的《信息系统密码应用测评过程指南》规定了信息系统密码应用的测评过程,规范了测评活动及其工作任务,提供了密评过程指导。适用于商用密码应用安全性评估机构、信息系统责任单位开展密码应用安全性评估工作。

3.4《信息系统密码应用高风险判定指引》

中国密码学会密评联委会根据《中华人民共和国密码法》等法律法规修订了《信息系统密码应用高风险判定指引》,为密评工作人员提供了风险判定依据。

3.5《商用密码应用安全性评估量化评估规则》

中国密码学会密评联委会根据《中华人民共和国密码法》等法律法规修订了《商用密码应用安全性评估量化评估规则》,为密评工作人员提供了公平公正的量化评估规则。


谁应该做密评?

《商用密码应用安全性评估管理办法》规定:“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系,实施商用密码应用安全性评估”。其中重要领域网络和信息系统主要是指:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。



谁来实施密评?

《商用密码应用安全性评估管理办法》规定密评由国家密码管理部门认定的密码测评机构承担,国家密码管理部门组织测评机构业务培训。



密评流程是怎样的?
6.1    项目立项阶段

1. 编制密码应用方案,项目建设单位组织相关单位编制密码应用方案,建议选择有密码方案编制经验的单位。密码应用方案设计内容须与立项方案建设内容保持一致,确保后期建设可落地。立项方案中需预留密码应用建设与密评经费,否则建设阶段工作无法开展。

2. 委托密评机构开展方案评估,密码应用方案编制完成后,项目建设单位应委托密评机构开展方案评估。通常情况方案将进行多轮评估修改,整个方案评估周期一般为2—4周,具体时间主要取决于方案编制质量与修改情况。

3. 报密码管理部门审核,项目建设单位将通过评估的密码应用方案与密评机构出具的《密码应用方案评估报告》报送至密码管理部门(如广东省密码管理局)审核。

4. 提交立项申报,项目获得批复后,进入项目建设阶段。

6.2    项目建设阶段

1. 开始项目建设,项目建设单位需严格按照立项时通过评估的《密码应用方案》进行相应建设,否则项目验收时将无法通过系统评估。

2. 委托密评机构开展系统评估,若首次评估未通过,则密评机构将出具《整改建议》,项目建设单位需对系统进行相应整改,评估通过后,密评机构将出具《密码应用安全性评估报告》。

3. 报密码管理部门审查,项目建设单位将通过评估的密码应用方案与密评机构出具的系统《密码应用安全性评估报告》报送至密码管理部门审核。

4. 提交项目验收,项目验收通过后,进入项目运行阶段。

6.3    项目运行阶段

1. 定期开展密评,需定期开展密评,提前预留系统密评经费。系统发生密码相关重大安全事件、重大调整或特殊情况时需及时组织评估。



参考文献
[1] 赛宝商密通,https://www.secrss.com/articles/30082
[2] 《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》
[3] 《商用密码应用安全性评估管理办法》


       

原文始发于微信公众号(山石网科安全技术研究院):商用密码应用安全性评估实施指南

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月21日01:15:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   商用密码应用安全性评估实施指南https://cn-sec.com/archives/1616009.html

发表评论

匿名网友 填写信息