密评 | 商用密码安全性评估的几大问题
2021-12-23 15:16:00 来源:本站 浏览:306

1、什么是商用密码安全性评估?

商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。

2、为什么要做密评?

开展密评,是为了解决商用密码应用中存在的突出问题,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。开展密评,是国家网络安全和密码相关法律法规提出的明确要求,是法定责任和义务。

《中华人民共和国密码法》

第二十七条  法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

《商用密码应用安全性评估管理办法(试行)》

第三条  涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。

重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

3、哪些系统需要密评?

《网络安全等级保护条例》

第四十七条【非涉密网络密码保护】非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。

主要系统有

基础信息网络:电信网、广播电视网、互联网。

重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。

重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。

面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。

4、参考标准有哪些?

《中华人民共和国密码法》

《商用密码应用安全性评估管理办法(试行)》

《信息安全等级保护商用密码管理办法》

《信息安全等级保护商用密码技术实施要求》

《信息安全等级保护商用密码技术要求》

GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》

《信息系统密码测评要求》

GM/T0054-2018 《信息系统密码应用基本要求》

5、密评总体要求?

总体要求是所有信息系统都需遵循的基本要求,包括密码算法、密码技术、密码产品、密码服务4个层面的相关要求,具体要求如下:

1、总体要求

密码算法:使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,重点关注密码算法的合规性。

密码技术:使用的密码技术应遵循密码相关国家标准和行业标准。重点关注加密技术的合规性,密码技术应保证自身的安全性,可靠性,与信息系统的互联互通性。

密码产品:使用的密码产品与密码模块应通过国家密码管理部门核准。“密码模块”可包括密码卡、密码机、定制密码模块、密码软件等多种形态。重点关注密码产品的合规性和有效性,密码产品和密码模块需根据国家相关规定进行密码产品安全等级确定、检测。其中根据GM/T0028-2014 《密码模块安全技术要求》确定安全等级,依据GM/T0039-2015《密码模块安全检测要求》进行产品检测。

密码服务:使用的密码服务应通过国家密码管理部门许可。如CA认证机构应获得《电子认证服务使用密码许可证》以及《电子认证服务许可证》。

2、密码功能要求

密码功能要求是对密码技术在信息系统中的使用场景起到什么作用的阐述,密码功能要求包括机密性、完整性、真实性和不可否认性。

机密性:使用密码加密功能,保障信息系统重要数据在传输、存储过程中的保密性以及身份鉴别信息、密钥数据的机密性。

完整性:使用消息校验码(MAC)或数字签名实现完整性,保障信息系统重要数据在传输、存储过程中的完整性以及身份鉴别信息、密钥数据、日志记录、访问控制信息、资源敏感标记、重要程序、可信信任链、视频监控记录、电子门禁出入记录的完整性。

真实性:使用对称加密、动态口令、数字签名等实现真实性,保障信息系统中各类基础设施、软硬件设备以及业务应用系统的用户身份鉴别信息的真实性。

不可否认性:使用数字签名等密码技术实现实体行为的不可否认性,保障信息系统中无法否认的操作行为,如发送、接收、审批、创建、修改、删除、添加、配置等。

3、密码技术应用要求、密钥管理和安全管理

密码技术应用要求包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;密钥管理主要从密钥的生成、存储、分发、导入、导出的安全性和正确性;使用的正确性;备份和恢复的可靠性;归档的安全性与正确性;紧急情况下的销毁等环节提出相应的要求。安全管理包括制度、人员、实施和应用四个维度。

这三个层面分别对信息系统(等级保护1级到4级系统)如何使用密码提出了要求,要求强度使用应、宜、可三个级别来表示。

6、不做密评或测试结果不合格的影响?

《密码法》第三十七条第一款

关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

《国家政务信息化项目建设管理办法》第二十八条第三款

对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。

《商用密码应用安全性评估管理办法(试行)》第二章第十条

关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。

7、密评流程主要有哪些?

“密评”的实施流程主要包括密码应用方案评估、测评准备、方案编制、现场测评、测评结论分析、密码测评报告编制。

甘公网安备 62010002000517号

陇ICP备15001871号-1

联系地址:甘肃省兰州市城关区南滨河东路58号

©版权所有 2011-2020 甘肃安信信息安全技术有限公司

Copyright © 2011-2020 Gansu Anxin information Safe Technology Ltd