手 機:13655895598
Q Q:345233620
地 址:杭州市西湖區文三路408號6幢666室
1、什么是商用密碼應用安全性評估?
商用密碼應用安全性評估(簡稱“密評”)是指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估。按照商用密碼應用安全性評估管理的要求,在系統規劃階段,可組織專家或委托測評機構進行評估;在系統建設完成后以及運行階段,由測評機構進行評估。
2、商用密碼應用安全性評估的主要內容
密評的對象是采用商用密碼技術、產品和服務集成建設的網絡與信息系統,評估的內容包括密碼應用安全的三個方面:合規性、正確性和有效性。
a、商用密碼應用合規性評估
商用密碼應用合規性評估是指判定信息系統使用的密碼算法、密碼協議、密鑰管理是否符合法律法規的規定和密碼相關國家標準、行業標準的有關要求,使用的密碼產品和密碼服務是否經過國家密碼管理部門核準或由具備資格的機構認證合格。
b、商用密碼應用正確性評估
商用密碼應用正確性評估是指判定密碼算法、密碼協議、密鑰管理、密碼產品和服務使用是否正確,即系統中采用的標準密碼算法、協議和密鑰管理機制是否按照相應的密碼國家和行業標準進行正確的設計和實現,自定義密碼協議、密鑰管理機制的設計和實現是否正確,安全性是否滿足要求,密碼保障系統建設或改造過程中密碼產品和服務的部署和應用是否正確。
c、商用密碼應用有效性評估
商用密碼應用有效性評估是指判定信息系統中實現的密碼保障系統是否在信息系統運行過程中發揮了實際效用,是否滿足了信息系統的安全需求,是否切實解決了信息系統面臨的安全問題。
3、哪些系統要做密評?
《密碼法》(征求意見稿)要求“國家對關鍵信息基礎設施的密碼應用安全性進行分類分級評估,按照國家安全審查的要求對影響或者可能影響國家安全的密碼產品、密碼相關服務和密碼保障系統進行安全審查”。《信息安全等級保護商用密碼管理辦法》規定:“國家密碼管理局和省、自治區、直轄市密碼管理機構對第三級及以上信息系統使用商用密碼的情況進行檢查”。在國家密碼管理局印發的《信息安全等級保護商用密碼管理辦法實施意見》中規定“第三級及以上信息系統的商用密碼應用系統,應當通過國家密碼管理部門指定測評機構的密碼測評后方可投入運行”。這些制度明確了信息安全等級保護第三級及以上信息系統的商用密碼應用和測評要求。此外,在新版《網絡安全等級保護條例》(征求意見稿)明確要求在規劃、建設、運行階段開展密碼應用安全性評估。
4、密評關注哪些方面?
為規范商用密碼應用安全性評估工作,國家密碼管理局制定了《商用密碼應用安全性評估管理辦法》、《商用密碼應用安全性測評機構管理辦法》等有關規定,對測評機構、網絡運營者、管理部分三類對象提出了要求,對評估程序、評估方法、監督管理等進行了明確。同時,組織編制了《信息系統密碼應用基本要求》《信息系統密碼測評要求》等標準,及《商用密碼應用安全性評估測評過程指南(試行)》《商用密碼應用安全性評估測評作業指導書(試行)》等指導性文件,指導測評機構規范有序開展評估工作。其中,《信息系統密碼應用基本要求》從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、密鑰管理以及安全管理六個方面提出密碼應用安全性評估指標。
浙公網安備:33010502006920號
服務熱線
在線留言
微信掃一掃
返回頂部
