通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

  新兵

注册:2020-11-8
跳转到指定楼层
1#
发表于 2024-6-7 08:34:42 |只看该作者 |倒序浏览
本帖最后由 18120862096 于 2024-6-7 08:41 编辑

商用密码应用安全性评估探究

1.前言
       当前,我国面临着世界新一轮数字化革命浪潮,建设网络强国、数字中国,实现现代化的国家治理体系和治理能力已成为党和国家的新责任、新使命和新担当,发展数字经济既面临着历史性机遇,也面临着来自网络空间中的安全问题与挑战,如何正确处理好网络安全与数字经济发展之间的关系,治理好国家网络空间,关乎国家数字经济发展、数字中国建设的成败。密码是国家网络空间的安全基石与核心技术,是保障网络空间安全秩序的国之利器,是维护国家安全的重要战略资源;密码工作直接关系国家政治安全、经济安全、国防安全和网络安全,直接关系社会组织和公民个人的合法权益。
       根据《中华人民共和国密码法》规定,密码分为核心密码、普通密码和商用密码。三者的区别是服务对象和使用环境的不同,其中核心密码、普通密码都属于国家秘密,都用于保护国家秘密信息;商用密码主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。
       针对商用密码应用不广泛、密码技术被乱用、密码技术被误用等不容乐观的问题,中华人民共和国国家标准《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)于2021年10月1日正式实施;2021年12月,福建省人民政府印发《福建省“十四五”数字福建专项规划》,明确指出需坚持“自主可控”原则,完善密码基础设施建设,健全密码应用安全评估机制。

2.什么是密评
      商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
      密评对象包括非涉密的关键信息基础设施、国家政务信息系统、网络安全等级保护第三级及以上的信息系统,例如:电信网/广播电视网/互联网等基础信息网络、党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的政务信息系统、公安/教育/能源/社保/交通/金融等涉及国计民生和基础信息资源的重要信息系统等。
      密评工作包括两部分重要内容:信息系统规划阶段对密码应用方案进行评审/评估、建设完成后对信息系统开展的实际测评。其中密码应用方案评估包括密码应用解决方案评估、实施方案评估和应急处置方案评估;对建设完成后的信息系统开展的实际测评内容包括物理和环境测评、网络和通信测评、设备和计算测评、应用和数据测评、密钥管理测评、安全管理测评。
      在密评中,信息系统密码应用安全要求参照GB/T 22239-2019 的等级保护对象应具备的基本安全保护能力要求,分为五个级别:
      第一级,是信息系统密码应用安全要求等级的最低等级,要求信息系统符合通用要求和最低限度的管理要求,并鼓励使用密码保障信息系统安全;
      第二级,是在第一级的等级要求上,增加操作规程、人员上岗培训与考核、应急预案等管理要求,并要求优先选择使用密码保障信息系统安全;
      第三级,是在第二级的等级要求上,增加对真实性、机密性的技术要求以及全部的管理要求;
      第四级,是在第三级的等级要求上,增加对完整性、不可否认性的技术要求。
      第五级,略(预留更多扩展空间)。

3.怎么做密评
      通过密评可发现在网络和信息系统中商用密码应用中存在的问题与不足,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。密评作为信息系统投入运行前的一道防线,可确认系统的密码安全现状及存在的风险,为加强信息系统安全提供基础。
      1、密评总体流程图
      基于《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)、《政务信息系统密码应用与安全性评估工作指南》(2020.9)、《信息系统密码应用测评过程指南》(2020.12)等要求和规范,开展密评的申请、评审、建设、评估和报备等工作。
      2、密码应用要求与实现
      密码应用要求从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求,以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。整体量化评估结果采用百分制,只有达到分数阈值(目前执行的是60分)且没有高风险项,才能被判定基本符合GB/T39786-2021相应等级要求。

4.结语
       今后,我们需要对商用密码发展进行更加系统性、体系性的研究和探索,在基础信息网络和政企信息系统的规划、建设上严格执行密评相关关法律法规和标准规范的要求,同步规划、同步 建设 、 同 步 运 行 密 码 保 障 系 统 并 定 期 进 行 评 估,进一步挖掘商用密码潜力、创新密码科技、打造密码生态和发挥密码效能,充分发挥密码在数字经济发展和网络空间安全中的重要支撑作用。

举报本楼

本帖有 1 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-12-23 19:39 , Processed in 0.131061 second(s), 16 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部