商用密码应用安全性
评估工作介绍
作者:马原
【密评是什么】商用密码应用安全性评估(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。按照商用密码应用安全性评估管理的要求,在系统规划阶段,可组织专家或委托测评机构进行评估;在系统建设完成后以及运行阶段,由测评机构进行评估。
【哪些系统要做密评】《密码法》(征求意见稿)要求“国家对关键信息基础设施的密码应用安全性进行分类分级评估,按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查”。《信息安全等级保护商用密码管理办法》规定:“国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查”。在国家密码管理局印发的《信息安全等级保护商用密码管理办法实施意见》中规定“第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行”。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。此外,在新版《网络安全等级保护条例》(征求意见稿)明确要求在规划、建设、运行阶段开展密码应用安全性评估。
【密评的重大意义】开展商用密码应用安全性评估工作,是国家网络安全和密码相关法律法规提出的明确要求,是法定责任和义务。商用密码应用安全性评估工作,不仅对规范密码应用具有重大意义,同时对维护网络和信息系统密码安全,切实保障网络安全,有效应对各类网络安全风险,也具有不可替代的重要作用。
【密评关注哪些方面】为规范商用密码应用安全性评估工作,国家密码管理局制定了《商用密码应用安全性评估管理办法》、《商用密码应用安全性测评机构管理办法》等有关规定,对测评机构、网络运营者、管理部分三类对象提出了要求,对评估程序、评估方法、监督管理等进行了明确。同时,组织编制了《信息系统密码应用基本要求》《信息系统密码测评要求》等标准,及《商用密码应用安全性评估测评过程指南(试行)》《商用密码应用安全性评估测评作业指导书(试行)》等指导性文件,指导测评机构规范有序开展评估工作。其中,《信息系统密码应用基本要求》从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理以及安全管理六个方面提出密码应用安全性评估指标。
【密评工作当前的进展】现阶段,商用密码应用安全性评估试点工作正在有序开展。经过层层评审,第一批共有10家测评机构符合测评机构能力要求,具备独立承担并规范开展试点测评任务的能力。中科院DCS中心作为首批通过的优秀测评机构,正在积极参与密码应用安全性评估的各项试点工作,为我国密码事业的发展贡献自己的力量。
领取专属 10元无门槛券
私享最新 技术干货