商用密码应用安全性评估 >>>
SECURITYASSESSMENT OF COMMERCIAL PASSWORD APPLICATIONS
商用密码应用安全性评估(以下简称“密评”),是指在采用商用密码算法、技术、产品和服务建设的信息系统中,对其密码应用的合规性、正确性、有效性进行评估。具体可分为信息系统规划阶段对密码应用方案的评审和信息系统建设完成后对信息系统开展的实际密评。
《中华人民共和国密码法》自2020年1月1日起施行,是为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定的法律。是中国密码领域的综合性、基础性法律。
密码法规定了密码分为核心密码、普通密码和商用密码,实行分类管理。核心密码、普通密码用于保护国家秘密信息,属于国家秘密,由密码管理部门依法实行严格统一管理。商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。
商用密码的主要制度,包括规定国家鼓励商用密码技术的研究开发和应用,健全商用密码市场体系,鼓励和促进商用密码产业发展;规定了商用密码标准化制度;建立了商用密码检测认证制度,并鼓励从业单位自愿接受商用密码检测认证等。
|
网络运营者 |
星野科技 |
密码管理部门 |
安全规划 |
编制密码应用方案 |
方案规划咨询 |
指导监督检查 |
方案评审 |
完成密码应用方案 |
密码方案评审 |
指导监督检查 |
安全建设 |
开展密码应用建设 |
安全建设咨询 |
指导监督检查 |
运行阶段 |
重要系统定期评估(关键信息基础设施,等保三级以上系统,每年一次) |
商用密码应用安全性评估 |
指导监督检查 |
密码应用工作流程-新建系统
|
网络运营者 |
星野科技 |
密码管理部门 |
安全规划 |
组织评估 |
开展差距评估 |
指导监督检查 |
方案评审 |
编制密码应用方案 |
方案规划咨询及评审 |
指导监督检查 |
安全建设 |
开展密码应用建设 |
安全建设咨询 |
指导监督检查 |
运行阶段 |
重要系统定期评估(关键信息基础设施,等保三级以上系统,每年一次) |
密码应用安全性评估 |
指导监督检查 |
密码应用工作流程-已建系统
物理和环境安全
——
物理和环境安全应包括:身份鉴别、电子门禁记录数据完整性、视频记录数据完整性。
网络和通信安全
——
网络和通信安全应包括:身份鉴别、访问控制信息完整性、通信数据完整性、通信数据机密性、安全接入认证。
设备和计算安全
——
设备和计算安全应包括:身份鉴别、远程管理身份鉴别信息机密性、访问控制信息完整性、重要信息资源安全标记的完整性、日志记录完整性、重要可执行程序完整性和真实性保护。
商用密码应用安全性评估内容
应用和数据安全
——
应用和数据安全应包括身份鉴别、访问控制、信息资源安全标记的完整性、数据传输安全、数据存储安全、日志记录完整性、不可否认性。
密钥管理
——
密钥管理应包括密钥生成、密钥存储、密钥分发、密钥导入与导出、密钥使用、密钥备份与恢复、密钥归档、密钥销毁。
安全管理
——
安全管理应包括制度、人员、建设、应急等工作单元。