01什么是商用密码?
商用密码:指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。商用密码技术是商用密码的核心,是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
02什么是密评?密评全称:商用密码应用安全性评估定义:对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。这句话精简一下,即:对网络和信息系统密码应用进行评估。在网络和信息系统中,密码几乎无处不在,用户登录、管理员操作、业务系统之间互相调用数据…全都跟密码息息相关,因此在做密评的时候,需要针对整个网络和信息系统进行测评。03哪些系统需要做密评?《网络安全等级保护条例》第四十七条非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。■基础信息网络:电信网、广播电视网、互联网。■重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。■重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。■面向社会服务的*务信息系统:**机关和使用财*性资金的事业单位和团体组织使用的面向社会服务的信息系统。规定范围之外的其他网络和信息系统,其责任单位可以自愿开展商用密码应用安全评估。04国家法律法规开展密评,是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。《中华人民共和国密码法》第二十七条:法律、行*法规和国家有关规定要求使用密码进行保护的关键信息基础设施,其运营者应当使用密码进行保护,自行或者委托密码检测机构开展密码应用安全性评估。《商用密码应用安全性评估管理办法(试行)》第三条:涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。第十条:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。《网络安全等级保护条例(征求意见稿)》第四十七条:第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。《国家*务信息化项目建设管理办法》第十五条:项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。第二十五条:项目建设单位提交验收申请报告时应当附上密码应用安全性评估报告等材料。因此,及时开展密评,是网络安全运营者落实法律法规要求,履行网络安全义务的一项重要责任。05密评的标准有哪些?《GB/T-信息安全技术信息系统密码应用基本要求》《信息系统密码应用测评要求》《信息系统密码应用测评过程指南》《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估测试过程指南(试行)》06开展密评工作的必要性是应对网络安全形势的需求通过密评可以及时发现在密码应用过程中存在的问题,为网络和信息安全提供科学的评价方法,逐步规范密码的使用和管理,从根本上改变密码应用不广泛、不规范、不安全的现状,确保密码在网络和信息系统中得到有效应用,切实构建起坚实可靠的网络安全密码保障。是系统安全维护的必然要求密码应用是否合规、正确、有效,涉及密码算法、协议、产品、技术体系、密钥管理、密码应用多个方面。因此,需委托专业机构、专业人员,采用专业工具和专业手段,对系统整体的密码应用安全进行专项测试和综合评估,形成科学准确的评估结果,以便及时掌握密码安全现状,采取必要的技术和管理措施。是相关责任主体的法定职责国家各项法律、行*法规和有关规定要求使用密码进行保护的关键信息基础设施,其运营者应当使用密码进行保护,自行或者委托密码检测机构开展密码应用安全性评估。
《网络安全等级保护条例(征求意见稿)》强化密码应用要求,突出密码应用监管,重点面向网络安全等级保护第三级及以上系统,落实密码应用安全性评估制度。因此,针对重要领域网络与信息系统开展密评,是网络运营者和主管部门的法定责任。