发布时间:[ 2021-09-02 ]
2020年1月1日
《密码法》正式实施
目前《密码法》处于密评落地阶段
本期慧盾安全将带领大家了解密评政策篇
(该系列文章作者为慧盾安全视频安全产品线,共三篇,分别讲述政策、技术、方案,本期为第一篇,锁定“慧盾安全”持续关注哦!)
《浅谈密码应用系列之一——密评政策》
Q1:什么是密评?
密评是国家密码行政管理部门批准的测评机构根据标准要求,对不同测评单元给出测评结果,并判断密码应用实际情况是否解决相应安全问题的过程。
Q2:密评的背景是什么?
密评是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。
《中华人民共和国密码法》
第二十七条:法律、行政法规和国家有关规定要求使用密码进行保护的关键信息基础设施,其运营者应当使用密码进行保护,自行或者委托密码检测机构开展密码应用安全性评估。
《商用密码应用安全性评估管理办法(试行)》
第十条:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
《网络安全等级保护条例(征求意见稿)》
第四十七条:第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。
Q3:测评依据
依据标准和规范
《信息系统密码应用基本要求》(GB/T 39786-2021)
《信息系统密码应用基本要求》(GB/T 39786-2021)
《信息系统密码测评要求》(试行)
《商用密码应用安全性评估测评过程指南》(试行)
《商用密码应用安全性评估测评作业指导书》(试行)
《政务信息系统密码应用于安全性评估工作指南》(2020年版)
《公安机关商用密码应用指南(2020年版)》
参考标准和规范
行业密码应用标准和规范、建设指南等
其他依据
通过评审的《信息系统密码应用方案》
《信息安全等级保护定级报告》
Q4:测评对象
根据《商用密码应用安全性评估管理办法(试行)》第三条、第二十条:
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
基础信息网络
涉及国计民生和基础信息资源的重要信息系统
重要工业控制系统
面向社会服务的政务信息系统
Q5:测评机构
国家密码管理局更新密评试点机构目录,单位增至48家。
Q6:实施流程
“密评”的测评工作主要包括密码应用方案评估、测评准备、方案编制、现场测评、分析和报告编制五个环节。
Q7:基本要求
【身份鉴别】
密码法中针对技术要求中的所有项中都有身份鉴别功能,而且排在第一位,可见其重要性。在第三、四级别要求“应”。
关于应的理解:
1、应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
2、应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
3、应采取必要措施防止鉴别信息在远程管理时,网络传输过程中被窃听;
4、应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
【数据机密性】
数据机密性在网络和通信安全中排在第二位,在第三、四级别要求“应”。
关于应的理解:
1、应对用户外发数据进行加密处理后,以密文形式发出;
2、应对加密密文所使用的密钥存储在介质中,不可导出;
3、应对收到的数据保密处理,不能允许内部人员进行非法操作;
4、应对服务端的系统安装保护节点,对数据进行安全保护。
(对于以上身份鉴别和数据机密性的详细方案在“方案篇”中讲解)
Q8:法律责任
《密码法》第三十七条第一款
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第三十七条第一款
对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
《商用密码应用安全性评估管理办法(试行)》第二章第十条
关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
关注慧盾官方微信
