1. 首页
  2. -  资讯
  3. -  新闻动态
  4. -  新闻详情

怎么通过商用密码安全性评估?你要了解的都在这里

发布时间:July 14, 2020

怎么通过商用密码安全性评估?你要了解的都在这里

发布时间:July 14, 2020

7月3日下午两点,上海CA邀请到了智巡密码(上海)检测技术有限公司副总经理,中国密码学会密码芯片专业委员会委员——刘军荣博士为我司同仁带来了一场精彩的密码学讲座。

 

刘博士紧紧围绕商业密码应用安全性评估(以下简称“密评”),从密评的重要性、测评标准、测评方法等环节进行了专业、详尽的解说。上海CA员工纷纷通过线下、线上等多种形式积极参与了这场关于密码学的知识盛宴。

 

 

  • 密评的重要性及其与等保的关系

 

 

密码法

第三十七条

 

 

关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

 

关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或服务的,由有关主管部门责令停止使用产品或服务,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

 

相信大部分用户对“网络安全等级保护”都并不陌生,那么“密评”和“等保”究竟有着什么样的关系呢?

 

让我们往下看↓↓↓

 

 

01.网络安全等级保护规划、建设、运行阶段开展密码应用安全性评估

 

02.《密评管理办法》明确等保三级及以上系统应当通过密码测评后方可投入运行

 

03.等保三级以上网络每年进行一次密评,且测评结果需报主管部门、密码管理部门及公安部门备案;

 

04.《 网络安全等级保护条例 》中保留了密码专章在统一标准体系的基础上合并开展;

 

05.《 网络安全等级保护基本要求 》明确各级系统在哪些环节使用密码;

 

06.《 网络安全等级保护测评要求 》将密码测评结果列为等保测评通过的必要条件

 

 

 

 

 

 

网络安全等级保护条例(征求意见稿)

第四十七条

 

 

非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。

 

第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。密码应用安全性评估结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。

 

  • 密评与密评工作所遵循的标准和形式

 

商用密码应用安全性评估(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

 

 

 

据了解,针对密码应用要求,国家也在制定相应的国标。但在新的国标出台之前,我国的密评工作仍然以《 GM/T 0054-2018 信息系统密码应用基本要求 》作为系统责任单位密码应用依据和密评的主要标准。

 

 

 

密评测评形式主要有5类,它们分别是、访谈、文档审查、实地查看、配置检查和工具测试。其中,现场测评是密评较主要的环节。

 

  • 现行行标对参与密评的系统有哪些基本要求?

 

根据GM/T0054-2018行业标准, 信息系统密码应用基本要求主要分为四大部分,它们分别是:总体要求技术应用要求密钥管理要求安全管理要求。具体如何,让我们来一探究竟。

 

 

 

总体要求方面,信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求;密码技术应遵循密码相关国家标准和行业标准;密码产品与密码模块应通过国家密码管理部门核准。此外,信息系统中使用的密码服务应通过国家密码管理部门许可。

 

密码技术应用要求的四个层面分别是物理和环境、网络和通信、设备和计算、应用和数据。其要求的强度使用应、宜、可三个等级来表示。作为密评的核心内容,我们待会儿会把密码技术应用要求单独拎出来详细解说。(向下滑↓↓↓)

 

密钥管理要求主要从密钥生成、存储、分发、导入/导出的安全性和正确性、使用的正确性、备份与恢复的可靠性、归档的安全性和正确性、紧急情况下的密钥销毁等几个层面做出了一定的要求。

 

安全管理要求主要包括制度、人员、实施、应急四个维度。

 

  • 密码技术的应用要求

 

下面,我们以密评三级为例,从技术要求的四个层面出发,详细谈一谈:要想通过测评,我们该如何做好充分的准备呢?

 

 

 

1、物理和环境安全

据上图,我们可以看到,物理和环境安全层面,强度为“应”的密评要求指标有 ①身份鉴别、②电子门禁记录数据完整性、③视频记录数据完整性,每一具体指标对应的方案如下图。

 

 

 

针对此,上海CA可以通过为您提供身份认证系统、电子签章系统、支持国产密码算法的安全认证网关等商用密码产品帮助您通过商用密码应用安全性评估。

 

2、网络和通信安全

网络和通信安全层面,强度为“应”的密评要求指标有 ①身份鉴别、②访问控制信息完整性、③通信数据完整性与机密性、④集中管理通道安全,每一具体指标对应的方案如下图。

 

 

 

对于这些指标,上海CA可以通过为您提供SJJ1516 SSLVPN安全网关、SRJ1922-G安全认证网关等可靠商用密码产品为您的评估工作提供网络和通讯安全支撑!

 

3、设备和计算安全

设备和计算安全层面,强度为“应”的密评要求指标有 ①身份鉴别、②访问控制信息完整性、③敏感标记的完整性、④日志记录完整性、⑤远程管理身份鉴别信息机密性、⑥重要程序或文件完整性。测评实施要点包括:通用服务器、操作系统、数据库,每一具体指标对应的方案如下图。

 

 

 

基于上述内容,上海CA可以通过为您提供SRJ1811身份认证服务器、SRJ1402签名验签服务器、SFJ1601时间戳服务器等可靠商用密码产品为您的评估工作提供设备和计算安全方面的帮助。

 

4、应用和数据安全

应用和数据安全层面,强度为“应”的密评要求指标有 ①身份鉴别、②访问控制信息完整性、③数据传输安全、④数据存储安全、⑤日志记录完整性、⑥核心程序加载与卸载、⑦抗抵赖。这一层面的测评实施要点为关键业务应用和重要应用数据,每一具体指标对应的方案如下图。

 

 

 

对此,上海CA可以通过为您提供身份认证系统、安全认证网关、签名验证服务器、时间戳服务器等商用密码安全产品保障您的应用和数据安全,为您的评估工作提供帮助。

 

★★★

 

作为上海市密码管理局指定的五家商用密码应用安全性评估支撑单位之一,上海CA从2018年开始参与金融和重要领域国产密码应用试点工作,参与完成宝山区、松江区、上海市档案局、上海市应急管理局等多家单位的密码安全性评估试点工作,在密码应用安全性评估方面具有丰厚经验。

 

未来,我们仍将坚持自主创新、锐意进取,在做好现有各项服务的基础上,不断提高密码服务能级,争取在国产证书和国产密码领域取得更大的成果,为我国密码安全产业的发展添砖加瓦!

上一篇:工信部信发司王建伟副司长莅临上海CA调研指导 下一篇:“一网通办”入选联合国经典案例,上海CA提供网络信任有力支撑