午夜阳光精品一区二区三区,永久免费av网站,亚洲aⅴ乱码一区二区波多野结衣,欧美一区精品视频一区二区不卡

南京奧特賽人工智能技術(shù)研發(fā)有限公司

網(wǎng)絡(luò)空間安全 | 關(guān)于商用密碼應(yīng)用安全性評估,“十問十答”來解惑

近年來,網(wǎng)絡(luò)空間安全一直是經(jīng)濟社會關(guān)注的焦點,2022年網(wǎng)絡(luò)信息安全更是成為315晚會關(guān)注重點。密碼為保護信息安全而生,是網(wǎng)絡(luò)安全的核心要件,是數(shù)字經(jīng)濟基礎(chǔ)支撐。下面,我們就來介紹一下日常工作生活中融入的商用密碼應(yīng)用及其安全性評估。


一、什么是商用密碼,為什么要使用商用密碼?

密碼分為核心密碼、普通密碼商用密碼,我們?nèi)粘9ぷ魃钪薪佑|到的多是商用密碼。工作中,網(wǎng)上辦公、繳稅納稅等過程都有商用密碼在起作用。生活中,第二代居民身份證就通過商用密碼技術(shù)保證認證一致,購買火車票、網(wǎng)絡(luò)購物等在線支付全過程都有商用密碼的保護。

商用密碼,是指對不涉及國家秘密內(nèi)容的信息進行加密保護或安全認證所使用的密碼技術(shù)和密碼產(chǎn)品。其中,商用密碼技術(shù),是保障信息安全的核心技術(shù)。

  • 從功能上看,主要包括加密保護技術(shù)和安全認證技術(shù);

  • 從內(nèi)容上看,主要包括密碼算法、密鑰管理和密碼協(xié)議。

商用密碼產(chǎn)品,是指采用密碼技術(shù)對不涉及國家秘密內(nèi)容的信息進行加密保護或安全認證的產(chǎn)品,即承載密碼技術(shù)、實現(xiàn)密碼功能的實體。

  • 按照形態(tài)劃分,商用密碼產(chǎn)品分為六類,即軟件、芯片、模塊、板卡、整機系統(tǒng)

  • 按照功能劃分,商用密碼產(chǎn)品分為七類,即密碼算法類、數(shù)據(jù)加解密類、認證鑒別類、證書管理類、密鑰管理類、密碼防偽類綜合類。


密碼是網(wǎng)絡(luò)信任體系的重要基石,是目前世界上公認的,保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟的關(guān)鍵核心技術(shù)。《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)均不同程度地提到要使用商用密碼。在信息互聯(lián)時代,密碼除傳統(tǒng)加密外,主要體現(xiàn)在身份認證、權(quán)限管理、訪問控制等。數(shù)字經(jīng)濟時代,密碼的作用不斷擴展到數(shù)據(jù)流通、數(shù)據(jù)共享等新維度,密碼技術(shù)自身也需要持續(xù)革新。


二、商用密碼應(yīng)用安全性評估(簡稱“密評”)是什么,哪些單位需要開展密評工作?


“密評”是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中,對其密碼應(yīng)用的合規(guī)性、正確性和有效性進行評估。

國家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)明確要求非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、等保三級及以上系統(tǒng)、國家政務(wù)等重要信息系統(tǒng)要開展密評工作。并且,密評管理辦法也明確規(guī)定:關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護第三級及以上信息系統(tǒng),需要每年至少評估一次。

工業(yè)和信息化部下發(fā)的基礎(chǔ)電信企業(yè)及其專業(yè)公司網(wǎng)絡(luò)與信息安全工作評分標準中支出,參與商用密碼應(yīng)用試點,有突出表現(xiàn)的,視情予以加分。   

三、不做密評或測試結(jié)果不合格會有哪些影響呢?

相關(guān)影響已經(jīng)有文件加以明確:


● 首先,是《密碼法》第三十七條第一款指出關(guān)鍵信息基礎(chǔ)設(shè)施的運營者未按照要求使用商用密碼,或者未按照要求開展密評的,由密碼管理部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,將處十萬元以上一百萬元以下罰款。


● 《國家政務(wù)信息化項目建設(shè)管理辦法》第二十八條第三款也有提到:對于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求,或者存在重大安全隱患的政務(wù)信息系統(tǒng),不安排運行維護經(jīng)費,項目建設(shè)單位不得新建、改建、擴建政務(wù)信息系統(tǒng)。


此外,全國各地方也在不斷將密碼應(yīng)用要求納入行業(yè)管理規(guī)范、工作計劃。如近兩年印發(fā)的《廣東省政務(wù)信息化項目建設(shè)管理辦法》《河北省省級政務(wù)信息化項目建設(shè)管理辦法》《河南省政務(wù)云管理辦法》《江西省政務(wù)信息化項目建設(shè)管理辦法》《吉林省政務(wù)信息化項目建設(shè)管理辦法》《廣西政務(wù)信息化項目建設(shè)管理辦法》,均提到了要按要求采用密碼技術(shù)和定期開展密評。

四、密評在密碼應(yīng)用部署過程中所處的位置,全過程涉及的參與方有哪些?

項目建設(shè)單位應(yīng)當落實國家密碼管理有關(guān)法律法規(guī)和標準規(guī)范的要求,同步規(guī)劃、同步建設(shè)、同步運行密碼保障系統(tǒng)并定期進行評估。

五、密評主要由哪些機構(gòu)開展?

從事密評活動的機構(gòu),應(yīng)當經(jīng)國家密碼管理部門認定,依法取得商用密碼檢測機構(gòu)資質(zhì)。


經(jīng)國家密碼管理局批準,中國信息通信研究院基于現(xiàn)有商用密碼測評實驗室(工業(yè)和信息化部密碼應(yīng)用研究中心第一測評實驗室)等軟硬實力,可在本地區(qū)、本行業(yè)(領(lǐng)域)或受委托面向社會開展商用密碼應(yīng)用安全性評估試點工作。

中國信息通信研究院具備完善的商用密碼測試評估平臺、模擬仿真系統(tǒng)、測評工具,相關(guān)技術(shù)人員具備專業(yè)的測評實施能力,可依據(jù)GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》等標準規(guī)范,為用戶提供信息系統(tǒng)商用密碼應(yīng)用安全性評估相關(guān)的咨詢服務(wù)以及測評評估服務(wù)。目前已為多家證券期貨行業(yè)機構(gòu)、政務(wù)服務(wù)單位、互聯(lián)網(wǎng)公司等提供密評及相關(guān)服務(wù)。


六、開展密評工作主要參考哪些標準規(guī)范?

參考的標準主要分為兩類:


 第一類是基本要求

就是我們通常說的“信息系統(tǒng)密碼應(yīng)用基本要求”,主要依據(jù)國家標準GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》,此標準于2021年10月1日正式實施。

● 第二類是評估方法

目前主要參考的文件是2021年發(fā)布的GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測評要求》、GM/T 0116-2021《信息系統(tǒng)密碼應(yīng)用測評過程指南》,中國密碼學(xué)會密評聯(lián)委會修訂形成的《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》《商用密碼應(yīng)用安全性評估量化評估規(guī)則》。


密評量化評估滿分100分,得分大于等于60分且沒有高風(fēng)險項為基本合格。


七、密評的服務(wù)內(nèi)容主要有哪些?

密評工作主要包括兩部分內(nèi)容:

  • 一是信息系統(tǒng)規(guī)劃階段的密碼應(yīng)用方案評估,這一環(huán)節(jié)主要用于保證建設(shè)方案的安全性;

  • 二是信息系統(tǒng)建設(shè)完成后針對該系統(tǒng)開展現(xiàn)場測試。


● 方案評估階段

主要針對新建或改造信息系統(tǒng),密碼應(yīng)用改造方案一般由用戶單位組織編寫,用戶單位編寫密碼應(yīng)用建設(shè)方案/改造方案后,應(yīng)委托專家對方案進行評估或委托密評機構(gòu)出具方案密評報告。


● 系統(tǒng)評估階段

主要依據(jù)國標GB/T39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》,從物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計算、應(yīng)用和數(shù)據(jù)、安全管理等方面開展評估。


八、密評過程主要包括哪些環(huán)節(jié)?

密評過程(見下圖)分為四個基本測評活動:測評準備活動、方案編制活動、現(xiàn)場測評活動、分析與報告編制活動;測評雙方之間的溝通與洽談貫穿整個密碼應(yīng)用安全性評估過程。其中,測評對象包括安全人員、管理員、密碼產(chǎn)品、網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)、技術(shù)文檔、管理制度文檔等;測評工具涉及協(xié)議分析工具、端口掃描工具、滲透測試工具、算法和隨機性檢測工具、密碼應(yīng)用檢測工具、密碼安全協(xié)議檢測工具等。

九、密評過程中有哪些常見問題?

用戶單位在密碼實際應(yīng)用改造過程中,會遇到諸多問題,如租用外部機房如何滿足物理和環(huán)境安全項的要求、自建CA的合規(guī)性、云平臺和云上應(yīng)用的測評等問題,通用解答可參見2021年底已發(fā)布的《商用密碼應(yīng)用安全性評估FAQ》(https://ht.cacrnet.org.cn/upload/file/20211217/1639751669666037.pdf),針對具體問題還需要結(jié)合用戶單位實際情況進行詳細解答。


十、取得密評報告后應(yīng)如何去管理部門備案?

按照《密碼法》確定的屬地管理原則,應(yīng)由運營者所在地的密碼管理部門作為備案部門,由省級密碼管理部門作為一般備案部門,國家密碼管理局作為特殊備案部門。自密評報告出具之日起30日內(nèi),填寫《網(wǎng)絡(luò)與信息系統(tǒng)密評備案信息表》,并按備案表要求,附上密評合同和密評報告,郵寄到所屬地密碼管理局。

? Copyright 2013 南京奧特賽人工智能技術(shù)研發(fā)有限公司 版權(quán)所有 備案號:蘇ICP備19032300號-1 蘇公網(wǎng)安備32011602010459 技術(shù)支持:科威鯨網(wǎng)絡(luò)