为贯彻落实《中华人民共和国密码法》、新修订的《商用密码管理条例》等相关法律法规,国家密码管理局公布了《商用密码应用安全性评估管理办法》,其中第九条规定:重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估(以下简称“密评”),以确保商用密码保障系统正确有效运行。
在此背景下,各行业、各单位逐渐将商用密码应用改造(以下简称“密改”)作为下一步工作重点,以确保能够顺利、高效地完成密评工作。下面本文将以密改为核心内容,为大家进行详细的阐述与说明。
根据国家密码管理的相关法规,关键信息基础设施和重要信息系统的密码应用必须落实“三同步一评估”,即密码应用与对应系统同步规划、同步建设、同步运行,实施密码应用安全性评估。实践中,因为信息化发展历程不统一等原因,未使用、未合规使用密码技术的现象普遍存在,需要实施密码应用工程,以建立健全基于密码的安全保护体系,维护密码应用安全性。
对于密改,目前存在两类误解:一是认为没有通过密评的信息系统才需要密改;二是认为密改通过密评就一劳永逸。其实,密评与密改的关系就像人类针对病毒的体检与抗体的关系,需要随着外部病毒和体内抗体的变化,开展周期性体检和增强抗体。
密改是一项对规范性和技术性要求很高的系统工程。整个工程分为三大阶段:规划阶段、建设阶段和运行阶段。每个阶段都有各自的抓手,分别是密码应用解决方案、密码应用实施方案和密码应用应急处置方案等。密改过程中需要严格把握这些方案的技术水平和工程质量。
密改应遵循基本的项目管理要则,做好密改项目队伍建设,可以事半功倍。首先,在密改过程中,需要把握好项目建设的资质、资金、进度、质量和可持续性等关键指标的设计和落实。其次,密改方案应充分体现密码支撑总体架构、密码基础设施建设部署、密钥管理体系构建、密码产品部署及管理等内容,维护密码应用的持续性和发展性。最后,在密改技术选择上,应选用国家认可的密码算法、技术、产品和服务,确保密码应用的合规、正确和有效。
密改项目队伍应当充分做好合规自查,为密评工作做好充分准备。合规自查应当依据密码应用相关技术标准和管理规范,认真评审项目的密码应用方案,评审密码应用与对应信息系统整体安全保护等级的一致性,评审密码应用在整个信息系统的完备性、正确性和有效性,并分项细查物理与环境安全、网络和通信安全、设备和计算安全、应用和数据安全等层面的密码技术应用的合规性、正确性和有效性,细查密码应用相关的规章制度、人员管理、建设运行和应急处置等策略配置和流程细节。
密码改造所需产品主要包括服务器密码机、安全网关和签名验签服务器等。服务器密码机是服务端密码运算类设备,提供密钥生成、数字签名、签名验证、数据加密和数据解密等通用密码服务功能;安全网关是一种网络安全设备,提供虚拟专用网络、访问控制和传输加密等密码安全服务;签名验签服务器具有数据签名与验证、证书验证和身份认证等功能。