當今世界,網絡空間正在加速演變為各國爭相搶奪的新疆域、戰略威懾與控制的新領域、國家安全的新戰場。密碼作為網絡空間安全保障和信任機制構建的核心技術與基礎支撐,是國家安全的重要戰略資源,也是國家實現安全可控信息技術體系彎道超車的重要突破口。
近年來,國內密碼應用形勢并不樂觀。一是應用不廣泛;二是應用不規范;三是密碼應用不安全。
為解決當前密碼應用存在的突出問題,國家頒布實施了《網絡安全法》、《密碼法》、《網絡安全審查辦法》、《國家政務信息化項目建設管理辦法》等一系列法律法規,對密碼應用安全性評估提出要求,希望通過密碼應用安全性評估促進商用密碼的使用和管理規范。
那么,企業在準備商用密碼應用安全性評估(簡稱“密評”)時,具體需要關注哪些問題,如何才能輕松通過?
Q1:什么是商用密碼?
商用密碼是指對不涉及國家秘密內容的信息進行加密保護或安全認證所使用的密碼技術和密碼產品。商用密碼技術是商用密碼的核心,是信息化時代社會團體、組織、企事業單位和個人用于保護自身權益的重要工具。國家將商用密碼技術列入國家秘密,任何單位和個人都有責任和義務保護商用密碼技術的秘密。
Q2:什么是商用密碼安全性評估?
商用密碼應用安全性評估(簡稱“密評”),是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中,對其密碼應用的合規性、正確性和有效性進行評估。
Q3:為什么要做密評?
開展密評,是為了解決商用密碼應用中存在的突出問題,為網絡和信息系統的安全提供科學評價方法,逐步規范商用密碼的使用和管理。從根本上改變商用密碼應用不廣泛、不規范、不安全的現狀,確保商用密碼在網絡和信息系統中有效使用,切實構建起堅實可靠的網絡安全密碼屏障。
開展密評,是國家網絡安全和密碼相關法律法規提出的明確要求,是法定責任和義務。
《密碼法》第二十七條
法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。
《商用密碼應用安全性評估管理辦法(試行)》第三條、第二十條
涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位(以下簡稱責任單位)應當健全密碼保障體系,實施商用密碼應用安全性評估。
重要領域網絡和信息系統包括:基礎信息網絡、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制 系統、面向社會服務的政務信息系統,以及關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統。
第三條規定范圍之外的其他網絡和信息系統,其責任單位可以參考本辦法自愿開展商用密碼應用安全性評估。
Q4:誰需要做密評?
基礎信息網絡:
電信網、廣播電視網、互聯網。
重要信息系統:
能源、教育、公安、測繪地理信息、社保、交通、衛生計生、金融等涉及國計民生和基礎信息資源的重要信息系統。
重要工業控制系統:
核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要工業控制系統。
面向社會服務的政務信息系統:
黨政機關和使用財政性資金的事業單位和團體組織使用的面向社會服務的信息系統。
Q5:不做密評或測試結果不合格的影響?
《密碼法》第三十七條第一款
關鍵信息基礎設施的運營者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
《國家政務信息化項目建設管理辦法》第二十八條第三款
對于不符合密碼應用和網絡安全要求,或者存在重大安全隱患的政務信息系統,不安排運行維護經費,項目建設單位不得新建、改建、擴建政務信息系統。
《商用密碼應用安全性評估管理辦法(試行)》第二章第十條
關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,每年至少評估一次。
Q6:密評標準是什么?
GM/T0054-2018《信息系統密碼應用基本要求》
《信息系統密碼測評要求(試行)》
《商用密碼應用安全性評估測評過程指南(試行)》
《商用密碼應用安全性評估管理辦法(試行)》
《商用密碼應用安全性評估作業指導書》
《商用密碼應用安全性評估測評工具使用需求說明書》
Q7:密評工作內容?
方案評估
對于新建/改造信息系統,密碼應用建設方案/改造方案,一般由責任單位組織商用密碼從業單位編寫, 包括:《密碼應用解決方案》、《實施方案》和《應急處置方案》。責任單位編寫密碼應用建設方案/改造方案后,應委托測評機構對方案進行評估。
系統評估
依據GM/T0054-2018《信息系統密碼應用基本要求》等標準,系統評估主要從物理和環境、網絡和通信、設備和計算、應用和數據、密鑰管理、安全管理等方面開展。
測評機構完成系統評估后,出具評估報告。在密評活動結束30個工作日內,將評估結果報密碼管理部門等相關部門備案。
Q8:密評工作流程?
Q9:密評如何定級與備案?
密評系統的定級參照等級保護的系統定級。
根據現有規定,責任單位取得報告后,被測單位自行上報主管部門及所在地區(部門)密碼管理部門備案,測評機構上報國密局備案;
等保三級及以上信息系統,評估報告還需由被測單位上報至所在地區公安部門備案。
Q10:密評實施流程與方法?
