随着企业数字化转型的深入,越来越多的企业依赖密评(全称:商用密码应用安全性评估密评),定义:按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。
商用密码应用安全性评估,简称密评。指采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性、有效性等进行评估。
合规性:信息系统使用的密码技术、产品和服务是否符合国密要求。
正确性:受保护对象是否明确,密码功能是否实现准确,密码产品参数是否配置正确。
有效性:检验或验证密码应用是否合规、正确,是否真正实现了受保护对象的安全防护需求。
一、常用国秘算法
国密算法是中国自主研发的商用密码算法标准,广泛应用于政府、金融、电信等行业,以保障信息安全。以下是一些常用的国密算法:
SM1:一种分组加密算法,分组长度和密钥长度都是128位,算法不公开,仅以IP核的形式存在于芯片中。
SM2:基于椭圆曲线密码的非对称加密算法,密钥长度256位,包含数字签名、密钥交换和公钥加密,用于替换RSA/DH/ECDSA/ECDH等国际算法。
SM3:一种密码杂凑算法,用于替代MD5/SHA-1/SHA-2等国际算法,适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成。
SM4:分组加密算法,与SM1类似,是我国自主设计的分组对称密码算法,用于替代DES/AES等国际算法。
SM7:一种分组加密算法,适用于非接IC卡应用,包括身份识别类应用、票务类应用、支付与通卡类应用。
SM9:基于标识的非对称密码算法,主要用于用户的身份认证,加密强度等同于3072位密钥的RSA加密算法。
祖冲之密码算法(ZUC):一种流加密算法,适用于3GPP LTE通信中的加密和解密。
二、为什么要做密评?
01 法规要求
国家法规要求,涉及关键信息基础设施和重要信息系统的领域,法律法规明确规定必须进行密码应用安全性评估。在《中华人民共和国密码法》、《商用密码应用安全性评估管理办法(试行)》、《国家政务信息化项目建设管理办法》针对重要的信息系统在设计、建设和运行过程中需要进行密评。
02 安全保障
密码是保障信息安全的重要手段之一。通过密评,可以检查密码在实际应用中的合规性、正确性和有效性,发现并纠正潜在的安全隐患和风险,提高信息系统的安全防护能力,保护敏感信息不被非法获取、篡改或泄露。
管理规范
密评有助于规范密码的使用和管理,确保密码策略、规程和措施得到有效的执行和监督,防止密码滥用、误用和泄露等问题的发生。
业务连续性
于关键信息基础设施和重要信息系统来说,任何安全事件都可能导致严重的业务中断和经济损失。通过密评,可以提前发现并解决密码应用中存在的问题,减少安全事件发生的概率和影响程度,保障业务的连续性和稳定性。
三、谁需要密评?
-
基础信息网络:电信网络、广播电视网、互联网;
-
涉及国计民生和基础信息资源的重要信息系统:能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统
-
重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统;
-
面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
四、密评工作参考的主要标准
基本要求:主要依据国家标准 GBIT 39786-2021《信息安全技术信息系统密码应用基本 要求》,此标准于 2021 年 10 月1日正式实施,旨在指导、规范信息系统密码应用的规 划、建设、运行及测评对于规范和引导信息系统合规、正确、有效应用密码,切实维 护国家网络与信息安全具有重要意义。
评估方法:目前主要参考的文件是 2021 年发布的 GM/T 0115-2021《信息系统密码应用 测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》,中国密码学会密评 联委会修订形成的《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量 化评估规则》。
量化评估结果判定规则:根据《商用密码应用安全性评估量化评估规则》,若整体量化 评估结果为 100 分,则判定被测信息系统符合 GBIT 39786-2021 相应等级要求;结果低 于 100 分、不低于阈值,且经风险评估发现没有高风险,则判定被测信息系统基本符合 GBIT 39786-2021 相应等级要求;否则,判定被测信息系统不符合 GBIT 39786-2021 相 应等级要求,
五、密评涉及的主要产品及测评技术
根据《信息系统密码应用测评要求》,进行测评的典型密码产品有智能 I℃ 卡/智能密码 钥匙、密码机、VPN 产品和安全认证网关、电子签章系统、动态口令系统、电子门禁 系统、证书认证系统。
密评通过相关技术手段对密码产品实施测评,检验产品是否具备传输机密性、存储机密性、传输完整性、存储完整性、真实性、不可否认性的密码功能。
六、密评测评流程
密评工作主要分为两个阶段:一是信息系统规划阶段的密码应用方案评估,这一环节主要用于保证建设方案的安全性;二是信息系统建设完成后针对该系统开展现场测试。
七、御盾密评服务内容
1、密评定级备案咨询
参考相关国标、行标及行业主管单位下发的指导文件,协助用户确定测评系统边界,并明确定级标准与测评定级。协助完成《密评备案表》和《专家评审意见》等材料,完成系统测评备案流程。
2、密码应用差距分析
通过工具扫描和人工核查等安全测试方法,对被测系统进行安全风险评估、排查与差距分析,结合密码应用测评标准提供差距分析报告与整改实施建议。
3、密评建设方案支撑
根据《GB/T39786-2021 信息系统密码应用基本要求》等相关标准文件,结合行业特性要求、监管单位要求和密码安全业务需求进行密码应用方案设计与撰写,协助用户对方案进行机构评审或专家评审。
4、密评整改咨询指导
对系统密码应用设计与建设方案进行评估,梳理密码支撑能力建设合规性与合理性,提供密码应用支撑体系建设与实施难点咨询服务,指导用户开展密码合规性建设与密码服务运营。
八、御盾安全密评优势
1、专业知识与经验
御盾团队由经验丰富、拥有广泛领域专业知识的专业人员组成。他们的专业背景和多年的实践经验使我们能够提供高质量的密评服务,解决您面临的复杂挑战。
2、行业针对性服务
密评服务不是一刀切的,而是根据您的独特需求和业务情况进行定制VIP服务。这意味着我们的解决方案将完全满足您的期望,帮助您取得更大的成功。
3、高效全面的综合报告
密评服务将提供清晰而全面的报告,概述了评估结果和可行的解决方案。我们不仅告诉您问题所在,还提供了实际可操作的建议。
4、团队周密的项目管理
御盾团队具有丰富的项目管理经验,以确保评估项目按时和在预算内完成。我们将为您提供清晰的项目计划和里程碑,以确保您的期望得到满足。
5、客户项目长期支持
公司通常提供长期支持,以确保客户能够有效地实施评估建议并跟踪改进。
御盾®安全
您身边的信息安全专家
御盾®安全是舜源科技旗下安全业务品牌,致力于为客户提供客观专业的信息安全咨询解决方案,同时提供全面的安全服务。我们长期与各大安全厂商保持良好的合作关系,涵盖国内外信息安全行业的主流厂商,通过了解技术发展趋势,把国内外先进技术和理念用一流的服务带给客户。公司通过多年的积累和发展,拥有了健全的数字化生态合作资源链、与各地信息安全服务机构建立了良好的合作关系。我们长期密切关注国家信息安全相关政策的动态变化,在企业信息安全防护建设工作实践中积累了丰富的经验,了解客户业务场景需求、熟悉国内外主流安全厂商的技术和产品的优缺点,可为用户量身定制专属安全解决方案。多年来,凭借过硬的技术实力和专业的服务能力,获得了广大客户的充分认可。未来,御盾安全将持续赋能更多的客户,帮助企业全面提升安全能力,推动企业信息化健康发展。
咨询专线:4008-5050-26
往期推荐
御盾安全
御盾安全
御盾安全
文章内图片来源:包图网
原文始发于微信公众号(御盾安全):密评全攻略:3分钟读懂密评!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论