首页 > 新闻动态> 什么是商用密码,为什么要做应用安全性评估?
什么是商用密码,为什么要做应用安全性评估?
2023-01-30

一、什么是商用密码?    

      按照《密码法》的要求,我们国家对密码实行分类管理,具体分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息。主要应用于中央机关、军队、央行、政务内网等。商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。商用密码技术是商用密码的核心,是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。

密码的安全需求及功能:

安全需求:不该进来的进不来、不该看的看不懂、看到了改不了、未经授权拿不走、干过的事跑不掉

密码需求:机密性(防泄密)、完整性(防篡改)、真实性(防假冒)、不可抵赖性(防抵赖)


二、为什么要做商用密码应用安全性评估?

      商用密码应用安全性评估(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。简单来说,密评就是评估网络和信息系统是否按要求应用了符合国密标准的密码技术。

1)信息系统中使用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制在系统运行过程中能够发挥效用,保障信息的机密性、完整性、真实性、抗抵赖性;

2)标准密码算法、密码协议、密钥管理机制按照相应的密码国家和行业标准进行正确的设计和实现;

3)自定义密码协议、密钥管理机制设计和实现正确,符合相关标准要求;

4)密码产品和服务的部署和应用正确;

5)使用符合国家密码法规和标准规定的商用密码算法;

6)使用经过国家密码管理局审批的产品或服务;

7)按照技术标准,进行相应的密码应用建设方案设计。


三、密码应用也会存在问题,必需开展密评

1)密码安全的本质

      密码的安全是相对安全:一定时间内(正常使用周期内)、一定条件内(正常合规使用条件内)。

2)密码使用中存在问题是密码系统被攻破的重要原因

      使用国外密码算法、密码算法不达标、密码应用不正确、密码使用不规范、密码技术不符合。

3)密评可以发现解决密码应用存在问题

      密评体系,可以发现并解决商用密码应用中存在的突出问题,为重要网络 与信息系统的安全提供科学评价方法,以评促建、以评促改、以评促用, 逐步规范商用密码的使用和管理。


四、商用密码应用安全评估的必要性

      为发挥密码在维护安全与促进发展综合平衡中的重要支撑作用,国家密码管理局制发。

密评开展背景《商用密码应用安全性评估管理办法(试行)》

1)明确了国家和省(部)密码管理部门在密码应用安全性评估中的指导、监督和检查职责;

2)明确重要信息系统的建设、使用、管理单位在评估工作中的主体责任;

3)依法培育测评机构,规范评估行为,形成规范有序的密码应用安全评估审核机制,并与网络安全等级保护等已有制度做好衔接。

密评开展的必要性

1)开展密评是保障系统安全的必然要求

     密码技术是保障网络与信息系统安全的重要抓手。构建起体系的、安全有效的密码保障系统,对重要信息系统有效抵御网络攻击具有重要作用。商用密码应用的合规性、正确性和有效性测评,涉及以上多个方面,需要委托专业机构的专业技术人员介绍评估。

2)开展密评是相关责任主体的法定职责

      开展密评是相关责任主体依法履行网络安全、数据安全保障职责的措施。《中华人民共和国密码法》、《商用密码管理条例(修订草案征求意见稿)》等法律法规均提出了法定要求。

3)开展密评是建设网络强国的重要保障

     应用商密产品进行安全评估有助于:建立健全关键信息基础设施保护体系、提升数字化应用场景中的网络安全防护能力、提升网络安全产业合竞争力。


五、政策背景:法律法规不断加强密评促进密码的规范使用和管理

密码法

     《密码法》第二十七条  法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。

网络安全法

      第二十一条 重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

等保2.0要求

      第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿开展商用密码应用安全性评估。

国密要求

      《商用密码应用安全性评估管理办法(试行)》第三条 涉及国家 安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。


六、政策背景:密码应用安全的监督处罚机制

《密码法》第三十七条第一款

      关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码, 或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告; 拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负 责的主管人员处一万元以上十万元以下罚款。

《国家政务信息化项目建设管理办法》第二十八条第三款

      对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。

《商用密码管理条例 》(修订草案征求意见稿)第五十八条

      未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者有其他严重情节的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。


七、关键信息基础设施必须实施密评(谁需要密评?)

1)基础信息网络

      电信网、广播电视网、互联网。

2)重要信息系统

      能源、教育、公安、测绘地理、社保、交通、卫生、金融等涉及民生和基础信息资源的重要信息系统。

3)重要工业控制系统

      航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。

4)政务信息系统

      党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统


八、密评实施阶段

规划阶段

      重要领域领域网络和信息系统规划阶段、责任单位应当依据商用密码应用安全性有关标准,制定商用密码应用建设方案,组织专家或委托测评机构进行评估。评估结果作为项目规划立项的重要依据和申报使用财政性资金项目的必备材料。

建设阶段

      重要领域网络和信息系统建设完成后,责任单位应当委托测评机构进行商用密码应用安全性评估,评估结果作为项目建设验收的必备材料。

运行阶段

      重要领域网络和信息系统投入运行后,责任单位应当委托测评机构定期开展商用密码应用安全性评估,评估未通过,责任单位应当限期整改并重新组织评估。


九、密评工作流程

密评工作流程

密码应用方案评估:被测单位提供密码应用建设方案(新建系统);梳理和完善应用方案(已建系统);基于评估过的密码应用建设方案,建立测评实施的依据。
评估准备活动:了解和掌握被测系统的业务流程、架构、范围边界、管理组织等详细情况;准备评估项目涉及联系人清单;熟悉被测系统实际情况;了解被测系统等保定级情况。
方案编制活动:确定与被测系统相适应的覆盖对象、评估指标及评估内容、评估侧重点等,形成现场评估实施方案;提交评估实施方案至被评估单位确认;工具测试方法确定。
现场评估活动:召开项目启动会,明确双方工作职责和配合内容;分步实施所有测评项。实施工具测试,了解系统的真实防护情况发掘系统存在的密码应用安全性问题;将现场调阅资料归还并恢复现场。
分析与编制报告:分析单项评估记录,找出信息系统的密码应用情况与相应安全等级对应的密码应用要求之间的差距;分析单项风险、关联合成风险和整体风险;编撰完成密评报告,并附整改意见。


————————————————————————安证合规集团密评业务优势 ———————————————————————————


商用密码应用安全性评估服务:


试点工作

      作为密评制度和密评体系的试验者、开拓者、参与者和创建者,积极参与国家商业密码应用安全性评估标准、规范的制度,近期已参与完成密评国家标准(征求意见稿)的起草工作。

标准制定

      在各级密码管理部门的指导下,顺利完成招商银行、平安集团等密评试点工作,在全国范围内相关测评方案第一批通过专家评审的六家测评机构之一。

测评实施能力

      作为首批获公安部授权的七家信息安全等级保护测评机构之一,网安公司迄今为止服务的政府、金融、医疗、教育、企业单位已超2000家,具备将等保、密评等多项第三方安全服务整合实施的条件和能力深圳本地300+人测评实施团队,响应速度快。

客户案例

      目前网安公司已完成招商银行、平安集团、国资委航天科工等十几家信息系统的密评工作,在全国测评机构范围内客户数量及被测系统重要程度均位于领先水平,行业包括银行、保险、政务等多个领域,积累了相对较丰富的测评实施经验。