首页>最新数字证书问答>商密科普:(四)商用密码应用安全性评估

商密科普:(四)商用密码应用安全性评估

商密科普:(四)商用密码应用安全性评估 第1张

什么是商用密码应用安全性评估

商用密码应用安全性评估,又可以称为“密评”。密评工作主要是对信息系统使用的密码技术(比如:SM系列的密码算法)、产品(比如说智能密码钥匙、SSL VPN加密客户端、SSL VPN加密服务端、密码卡、密码机、密管系统等)、密码服务(比如沃通CA等)从合规性、有效性、正确性进行评估的活动;目前,密评工作最重要的参考依据就是在2021年10月正式实施的 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,规定了信息系统从第一级到第四级的密码应用的基本要求;密评实施时还会参考GM/T 0115-2021《信息系统密码应用基本要求》、GM/T 0116-2021 《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等规范。密评采取的是打分制的,密评分数不低于60,且无高风险项,密评通过;量化评估细则中规定了每一项对应的分值;高风险项在高风险判定指引里面进行了详细说明。

系统密评的改造的流程有哪些?

密评改造的流程遵循“三同步一评估”的原则:同步规划、同步建设、同步运行;在系统的建设阶段的话,首先需要对系统密码应用现状进行分析,并根据 GB/T 39786-2021进行方案的设计;方案设计完成之后需要对方案进行评审;方案评审目前分两种方式:一,密评机构对方案进行评审,评审完成之后,由密评机构出具一个评审报告;二,邀请专家进行方案评审,由专家出具方案评审意见。项目建设单位根据密评方案对系统进行建设实施,建设实施完成之后进行整改上线;上线之后,需要找具有密评资质的密评机构进行密评测试的工作。

密评测试的流程有哪些?

密评测试的流程,分为五个基本的测评的活动,分别是测评准备、方案编制、现场测评、分析与报告编制和备案活动;备案活动完成即整个密评的项目完成;密评备案和等保备案类似,需要到当地的密码管理局进行备案,备案的时候需要填写《网络与信息系统密评备案信息表》,提交密评合同、密评报告,以及其他需要的盖章的文件,材料审核通过后,密码局会反馈一个回执,收到回执之后即完成了备案的工作。

不做密评或测试结果不合格会有哪些影响呢?

首先,是《中华人民共和国密码法》里面提出:关键信息基础设施的运营者未按照要求使用商用密码,或者开展密评的,由密码管理部门责令改正,给予警告;拒不改正或者说导致了危害网络安全等后果的,将处以罚款。《国家政务信息化项目建设管理办法》里面指出:对于不符合密码应用和网络安全要求的,不安排项目的运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。目前,全国各地方也在不断将密码应用要求纳入行业管理规范、工作计划中。比如近两年印发的《广东省政务信息化项目建设管理办法》《河北省省级政务信息化项目建设管理办法》《江西省政务信息化项目建设管理办法》《吉林省政务信息化项目建设管理办法》等政务信息管理办法里面,均提到了要按要求采用密码技术和定期开展密评的工作。

密评主要由哪些机构开展?

首先,从事密评活动的机构,应当获得国家密码管理部门的认定,依法取得商用密码检测机构资质。2021年6月,国家密码管理局正式发布公开《商用密码应用安全性评估试点机构目录》,工业和信息化部密码应用研究中心在第一个,其中中心的第一测评实验室就设立在中国信息通信研究院。实验室里面也具备商用密码测试评估平台、模拟仿真系统、测评工具等,相关技术人员具备专业的测评实施能力,可依据GB/T 39786-2021等标准规范,为用户提供密评相关的咨询服务以及测评评估服务。并且目前已为多家政务、金融、医疗、互联网等相关机构提供密评及相关服务。

声明:内容来源中国信通院云计算与大数据研究所,转载目的在于传递更多信息。如有侵权,请联系本站处理。

商密科普:(四)商用密码应用安全性评估 第2张

最新资讯

为什么要停止使用RSA密钥交换?

什么是DNS-over-HTTPS.是如何工作的?

Apple macOS操作系统中存在三个致命漏洞

"此网站提供的安全证书不安全"的解决方法

Chrome浏览器中出现“安全连接”错误,该如何解决?

标签推荐:数字证书申请 | ssl证书验证失败 | https证书申请| 数字签名技术| 电子签名软件| ssl证书更新| 小程序证书| ca认证电子签名| 个人代码签名| 微软代码签名| 泛域名证书| java代码签名| 代码签名证书| https证书配置| PKI技术知识| SQL注入| openssl漏洞| 识别钓鱼网站