Image
全國統(tǒng)一服務(wù)熱線
0351-4073466

商用密碼應(yīng)用安全性評估之七問

編輯:2023-04-25 16:07:16

一、為什么要做商用密碼應(yīng)用安全性評估?

商用密碼應(yīng)用安全性評估(簡稱“密評”)是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中,對其密碼應(yīng)用的合規(guī)性、正確性、有效性等進(jìn)行評估。

當(dāng)前,國際國內(nèi)網(wǎng)絡(luò)空間安全形勢嚴(yán)峻,安全事件層出不窮,網(wǎng)絡(luò)空間正在加速演變?yōu)楦鲊鵂幭鄵寠Z的新疆域、戰(zhàn)略威懾與控制的新領(lǐng)域、意識形態(tài)斗爭的新平臺、維護(hù)經(jīng)濟(jì)社會穩(wěn)定的新陣地、未來軍事角逐的新戰(zhàn)場。

對于我們國內(nèi)來說,核心技術(shù)受制于人的局面沒有得到根本性改變,對于關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)能力依然很弱,信息產(chǎn)品也存在巨大的安全隱患,基于以上,將商用密碼應(yīng)用與新技術(shù)深度融合,在維護(hù)國家安全、促進(jìn)經(jīng)濟(jì)發(fā)展、保護(hù)人民群眾利益中將發(fā)揮不可替代的作用。然而我國商用密碼應(yīng)用目前不廣泛,不規(guī)范,大量系統(tǒng)依舊在使用已經(jīng)被警示的密碼算法,極不安全。

基于目前的嚴(yán)重情況,《中華人民共和國密碼法》于202011日起實施,《密碼法》第二十七條規(guī)定,法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施,其運營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。

《中華人民共和國網(wǎng)絡(luò)安全法》也指出,網(wǎng)絡(luò)運營者應(yīng)當(dāng)履行網(wǎng)絡(luò)安全保護(hù)義務(wù),并明確在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,對關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護(hù)。采取技術(shù)措施和其他必要措施,維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

《商用密碼應(yīng)用安全性評估管理辦法(試行)》第三條和第二十條也分別指出涉及國家安全和社會公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位(以下簡稱責(zé)任單位)應(yīng)當(dāng)健全密碼保障體系,實施商用密碼應(yīng)用安全性評估。

重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括:基礎(chǔ)信息網(wǎng)絡(luò)、涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會服務(wù)的政務(wù)信息系統(tǒng),以及關(guān)鍵信息基礎(chǔ)設(shè)施,網(wǎng)絡(luò)安全等級保護(hù)第三級及以上信息系統(tǒng)。

二、哪些重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)需要做密評?

基礎(chǔ)信息網(wǎng)絡(luò):電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng);

重要信息系統(tǒng):公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、教育、公安、住建、工商、社保、衛(wèi)生計生、測繪地理信息等涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng);

重要工業(yè)控制系統(tǒng):核設(shè)施、航空航天、智能制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、水利樞紐、城市設(shè)施等重要工業(yè)控制系統(tǒng)。

面向社會服務(wù)的政務(wù)信息系統(tǒng):黨政機(jī)關(guān)和使用財政性資金的事業(yè)單位、團(tuán)體組織使用的面向社會服務(wù)的信息系統(tǒng)。


三、繼《密碼法》2020年1月施行以來,都有哪些地方出臺了針對密碼應(yīng)用的法規(guī)條例以指導(dǎo)各地相關(guān)部門執(zhí)行?

  • 20191230日 國務(wù)院辦公廳印發(fā)《國家政務(wù)信息化項目建設(shè)管理辦法》 

  • 20204月 廣東省印發(fā)《廣東省政務(wù)信息化項目建設(shè)管理辦法》 

  • 2020412日 河北省印發(fā)《河北省省級政務(wù)信息化項目建設(shè)管理辦法》 

  • 2020826日 河南省印發(fā)《河南省政務(wù)云管理辦法》 

  • 2020925日 江西省人民政府辦公廳印發(fā)《江西省政務(wù)信息化項目建設(shè)管理辦法》 

  • 20209月 吉林省印發(fā)《吉林省政務(wù)信息化項目建設(shè)管理辦法》 

  • 2020129日 中國密碼學(xué)會密評聯(lián)委會組織編制了《信息系統(tǒng)密碼應(yīng)用測評要求》等5項指導(dǎo)性文件 

  • 2021317號 海南六部門聯(lián)合發(fā)布《關(guān)于進(jìn)一步明確省政務(wù)信息化項目密碼應(yīng)用有關(guān)要求的通知》 

  • 2021330日 廣西省印發(fā)《廣西政務(wù)信息化項目建設(shè)管理辦法》 

  • 國家市場監(jiān)管總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布公告,正式發(fā)布國家標(biāo)準(zhǔn)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》,將于2021101日起實施。

  • 安徽省密碼管理局、安徽省財政廳印發(fā)《關(guān)于重要領(lǐng)域信息系統(tǒng)密碼應(yīng)用工作的通知》

  • 北京市明確將密碼應(yīng)用建設(shè)過程中的新建項目所需經(jīng)費列入同級政府固定資產(chǎn)投資,升級改造和運行維護(hù)經(jīng)費列入同級財政預(yù)算,并對密碼應(yīng)用情況進(jìn)行事前審查。

  • 江蘇省財政廳、省密碼管理局聯(lián)合印發(fā)通知并頒布《江蘇省密碼產(chǎn)品采購管理目錄》

  • 天津市委辦公廳、市政府辦公廳聯(lián)合印發(fā)《關(guān)于重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)規(guī)范使用密碼的通知》

  • 貴州省委辦公廳、省政府辦公廳印發(fā)《貴州省重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)密碼應(yīng)用審核實施意見》

  • 20217月,山東省濟(jì)南市密碼管理局聯(lián)合各主要單位印發(fā)《關(guān)于加強(qiáng)政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評估工作的通知》

  • 2021610日,第十三屆全國人民代表大會常務(wù)委員會第二十九次會議通過《中華人民共和國數(shù)據(jù)安全法》,于202191日起施行。

  • 202173日,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》公布,于202191日起實施。

  • 2021820日,第十三屆全國人民代表大會常務(wù)委員會第三十次會議通過《中華人民共和國個人信息保護(hù)法》,于2021111日起施行。

  • 2021年11月10日,重慶市人民政府辦公廳印發(fā)《重慶市人民政府辦公廳關(guān)于印發(fā)重慶市市級政務(wù)信息化項目管理辦法的通知》。


四、如果不做密評或者密評結(jié)果不合格會有什么影響?

《密碼法》第三十七條第一款規(guī)定:關(guān)鍵信息基礎(chǔ)設(shè)施的運營者違反本法第二十七條第一款規(guī)定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應(yīng)用安全性評估的,由密碼管理部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處十萬元以上一百萬元以下罰款,對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。

《國家政務(wù)信息化項目建設(shè)管理辦法》第二十八條第三款規(guī)定:對于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求,或者存在重大安全隱患的政務(wù)信息系統(tǒng),不安排運行維護(hù)經(jīng)費,項目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。

《商用密碼應(yīng)用安全性評估管理辦法(試行)》第二章第十條規(guī)定:關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護(hù)第三級及以上信息系統(tǒng),每年至少評估一次。


五、如何進(jìn)行信息系統(tǒng)密評及密改?

密碼應(yīng)用安全性評估包括兩部分重要內(nèi)容:一是信息系統(tǒng)規(guī)劃階段對密碼應(yīng)用方案的評審和評估;二是信息系統(tǒng)建設(shè)完成后開展的實際測評??蓞⒖?/span>GM/T 0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》中的條款為主線,主要從總體要求、物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全、密鑰管理和安全管理等方面進(jìn)行評測。由國家密碼管理局批準(zhǔn)的專業(yè)測評機(jī)構(gòu)進(jìn)行評測,如剛接觸商密并不熟悉,可委托第三方進(jìn)行方案設(shè)計,方案完成后需經(jīng)過專家討論或者測評機(jī)構(gòu)評審后進(jìn)行密改。


六、密碼應(yīng)用安全性評估的具體流程是什么?

1、測評準(zhǔn)備階段,主要是責(zé)任單位信息收集和系統(tǒng)自查,使測評機(jī)構(gòu)全面掌握被測系統(tǒng)密碼使用的詳細(xì)情況,為測評工作的開展打下基礎(chǔ)。

2、方案編制階段,正確合理確定測評對象、測評邊界、測評指標(biāo)等內(nèi)容,并依據(jù)技術(shù)標(biāo)準(zhǔn)、規(guī)范編制測評方案、測評結(jié)果記錄表格,測評方案應(yīng)通過技術(shù)評審并有相關(guān)記錄。

3、現(xiàn)場測評階段,嚴(yán)格執(zhí)行測評方案中的內(nèi)容和要求。

4、報告編制階段,給出測評結(jié)論,形成測評報告。


七、取得了密評報告后應(yīng)向哪些部門和機(jī)構(gòu)進(jìn)行備案?

根據(jù)現(xiàn)有規(guī)定,責(zé)任單位取得報告后,被測單位自行上報主管部門及所在地區(qū)(部門)密碼管理部門備案,測評機(jī)構(gòu)上報國家密碼管理局備案,等保三級及以上信息系統(tǒng),評估報告還需由被測單位上報至所在地區(qū)公安部門備案。


Image
Image
版權(quán)所有:山西科信源信息科技有限公司??
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號清控創(chuàng)新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F(tuán)