1. 首页
  2. -  资讯
  3. -  行业动态
  4. -  动态详情

国密应用及改造——政策篇

来源:   发布时间:August 18, 2022

国密应用及改造——政策篇

发布时间:August 18, 2022

密码国产化是新时期各行业重要信息系统安全建设的内在需求,也是构筑“新基建”安全防线、实现自主创新和安全可信的必然选择,因此,推进密码算法应用与国密改造是行业大势所趋和必然要求。

从政策看国密应用及改造的必要性

随着互联网应用拓展到全行业全社会的覆盖,为了切实维护网络空间安全,筑建信息安全防线,我国近年来《网络安全法》《密码法》《关键信息基础设施安全保护条例》《数据安全法》等法律法规陆续发布实施,为承载我国国计民生的重要网络信息系统的安全提供了法律保障,与正在实施的网络安全等级保护、关键信息基础设施保护、商用密码应用安全性评估一起为我国重要网络信息系统的安全构筑了四道防线。

为确保相关数据的真实性、完整性、保密性和安全性,充分保障国家、社会和个人的切身利益,在法律法规层面,国家发布的密码法、网络安全法、关键信息基础设施安全保护条例(征求意见稿)、网络安全等级保护条例(征求意见稿)、政务信息系统政府采购管理暂行办法、国家政务信息化项目建设管理办法等都对信息系统的密码应用与信息安全保护等内容提出了相关要求。

在《密码法》的要求下,在国标《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)的指导下,各地各行业积极、严谨地开展密评工作,将是推动密码应用的良好开端。各行业纷纷出台了相关标准、要求,将密评工作提上日程,关键信息基础设施、政务信息系统、等保三级以上信息系统建设,都要“过密评”。

《中华人民共和国密码法》 第二十七条明确,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者 应当使用商用密码 进行保护, 自行或者委托商用密码检测机构开展商用密码应用安全性评估 。

《国家政务信息化项目建设管理办法》 第九条明确,除国家发展改革委审批或者核报国务院审批的外,其他有关部门自行审批新建、改建、扩建,以及通过政府购买服务方式产生的国家政务信息化项目,应当按规定履行审批程序并向国家发展改革委备案。备案文件应当包括项目名称、建设单位、审批部门、绩效目标及绩效指标、投资额度、运行维护经费、经费渠道、信息资源目录、信息共享开放、应用系统、等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容,其中改建、扩建项目还需提交前期项目第三方后评价报告。办法第三十条提到,各部门应当严格遵守有关保密等法律法规规定,构建全方位、多层次、一致性的防护体系, 按要求采用密码技术,并定期开展密码应用安全性评估 ,确保政务信息系统运行安全和政务信息资源共享交换的数据安全。

《网络安全等级保护条例(征求意见稿)》 中提到,第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准, 委托密码应用安全性测评机构开展密码应用安全性评估 。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。

《<信息安全等级保护商用密码管理办法>实施意见》明确,第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行,密码测评包括资料审查系统分析、现场测评、综合评估等。

《商用密码应用安全性评估管理办法(试行)》指出,涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。

重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制 系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

工业和信息化部印发的《工业控制系统信息安全行动计划》 提出“通过落实企业主体责任、落实监督管理责任来提升安全管理水平”“通过加强技术防护研究和建立健全标准体系来提升安全防护能力”。这与密码应用“三同步一评估”(同步规划、同步建设、同步运行密码保障系统并定期进行评估)的要求十分契合,有助于规范和督促工业控制系统中的密码应用,切实保障工业控制系统信息安全。

国密应用及改造项目中上海CA可以提供的服务

为了从根本上摆脱对国外密码技术的过度依赖,保护数据主权,并提高密码体系的安全性,国家已将国产密码安全支撑体系作为网络安全的顶层战略规划,并由国家密码管理局及其密码管理标准委员会制定了自主可控的国产密码算法标准,包括SM1、SM2、SM3 、SM4、SM7、SM9、祖冲之密码算法(ZUC)等。上海CA将从物理和环境、网络和通信、设备和计算、安全管理、密钥管理、应用和数据等多个维度帮助用户应用系统实现合法、合规、应用密码安全加固需求,帮助客户通过密评。

作为上海市密码管理局指定的7家商用密码应用安全性评估支撑单位之一,上海CA从2018年开始参与金融和重要领域国产密码应用试点工作,先后参与完成宝山区、松江区、上海市档案局、上海市应急管理局等多家单位的密码安全性评估试点工作,参与上海市级、区级政务云密码服务平台建设,打造密码服务运营平台,形成云化密码服务能力,在密码产品和安全密码服务方面具有丰厚的咨询、建设和运营经验。

上海CA可承担业务系统密码应用情况调研和前期规划评估、方案设计、辅助备案,以及改造实施过程中的软硬件部署配置、调试等工作,我们的商用密码安全服务团队还将在相应阶段根据项目实际情况为客户输出各种定制化解决方案。若您有相关需求或疑问,欢迎致电上海CA咨询或探讨。

上一篇:上海CA诚挚邀您相约“圈”时代的西部电博会! 下一篇:上海CA助力22家医院通过电子病历5级及以上评审