商用密码应用安全性评估(密评)六大基础问题解答

这篇具有很好参考价值的文章主要介绍了商用密码应用安全性评估(密评)六大基础问题解答。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

2021年3月9日,国家市场监管总局、国家标准化管理委员会发布公告,正式发布国家标准GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》,该标准将于2021年10月1日起正式实施。这是贯彻落实我国《密码法》,指导密评工作的一项基础性标准,对于规范和引导信息系统合规、正确、有效应用密码,切实维护国家网络与信息安全具有重要意义。

密评六大基础问题解答
商用密码应用安全性评估,以下简称密评:

Q1:运营单位怎么判定是否需要开展商用密码应用安全性评估?
1)《密码法》第二十七条
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
2)《商用密码应用安全性评估管理办法(试行)》第三条、第二十条
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制 系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿开展商用密码应用安全性评估。

Q2:重要领域网络和信息系统有哪些?
基础信息网络:电信网、广播电视网、互联网。
重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。
重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。

Q3:不做密评或测评结果不合格有什么影响?
《密码法》第三十七条第一款规定:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第二十八条第三款规定:对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
《商用密码应用安全性评估管理办法(试行)》第二章第十条规定:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。

Q4:刚接触商密并不熟,系统要进行商密改造,到底怎么改,有参考的标准或依据吗?
目前参考的标准和依据主要是GM/T0054《信息系统密码应用基本要求》,其他新建和改造方案要求和指导文件正在制定中。
如果刚接触商密并不熟,可委托第三方进行方案设计,方案完成后需经过专家论证或者测评机构评审。方案应包含密码应用设计方案、实施方案和应急方案三部分。

Q5:信息系统密评如何定级?实施流程怎么样?
目前密评系统的定级参照等级保护的系统定级。
实施流程主要包括:前期准备,主要是责任单位信息收集和系统自查,具体时间要根据被测单位准备进度来定;现场测评,测评方案由测评机构根据信息采集表内容在入场前制定完成,测评方案将于前期准备同步进行。
责任单位越重视,负责层级越高,配合程度越高,时间越短;反之,越长。系统规模越大,时间越长;反之,越短。

Q6:取得了商用密码应用安全性评估报告后应向哪些部门和机构进行备案?
根据现有规定,责任单位取得报告后,被测单位自行上报主管部门及所在地区(部门)密码管理部门备案,测评机构上报国密局备案;
等保三级及以上信息系统,评估报告还需由被测单位上报至所在地区公安部门备案。
 文章来源地址https://www.toymoban.com/news/detail-585826.html

到了这里,关于商用密码应用安全性评估(密评)六大基础问题解答的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 商用密码应用安全性评估中的密评分析工具,WireShark3.7.1的国密版本

    工具之一:通信信道密码算法分析工具。 这里一般指的是WireShark类的抓包分析工具,它可以抓取常见的网络协议数据报文,然后用于离线分析。 随着商用密码体系建设的完善和推进,分析商用密码算法和协议成为密评工作中重要的一环。 电信数智密评中心,根据工作需要研

    2024年02月09日
    浏览(49)
  • 商用密码应用安全性评估----技术层面实现

    网络和通信安全        三个密码产品  SSL VPN IPSEC VPN  安全认证网关-----数字证书---双证书-----SM2签名  SM4加密   D 是否使用这些安全产品   A用的算法是否符合国家密码算法要求       K密钥管理是否安全(商用密码产品检测中心认证的)       对象:一般划分根据

    2024年02月16日
    浏览(52)
  • 商用密码应用与安全性评估要点笔记(FAQ)

    5 商用密码应用安全性评估FAQ汇编 词条 内容 密钥应用基本要求的等级 一般按照信息系统网络安全等级保护的级别确定。对于未完成网络安全等级保护定级的重要信息系统,其密码应用等级至少为第三级。 【宜】测评指标 系统没有密码应用方案或方案未对【宜】指标明确说

    2024年02月02日
    浏览(79)
  • 商用密码应用与安全性评估要点笔记(密码算法ZUC)

    1、ZUC算法简介         ZUC算法属于对称密码算法,具体来说是一种序列密码算法或流密码算法。ZUC算法以中国古代数学家祖冲之首字母命令。         ZUC算法标准包括三个部分:         GMT 0001.1-2012 祖冲之序列密码算法:第1部分:算法描述         GMT 0001.2-201

    2024年02月16日
    浏览(48)
  • 商用密码应用与安全性评估要点笔记(密码标准和产品)

    3.5 密码标准和产品 词条 内容 智能IC卡分类 存储器卡,外部可对片内信息任意存储,存放不需要保密的信息 逻辑加密卡,硬件加密逻辑,具备简单的信息处理能力。保密要求较低的场合。 智能CPU卡,如银行卡、门禁卡、护照、身份证、社保卡、手机SIM卡 接触式(多个金属触

    2024年02月09日
    浏览(38)
  • 《商用密码应用与安全性评估》第三章商用密码标准与产品应用3.3商用密码产品检测

    GM/T 0028-2014《密码模块安全技术要求》将 密码模块 安全分为从一级到四级安全性逐次增强的 4个等级 GM/T 0008-2012《安全芯片密码检测准则》将 安全芯片 安全分为从一级到三级安全性逐次增强的 3个等级 。 对于不同安全等级密码产品的选用,应考虑以下两个方面∶ 运行环境提

    2024年02月06日
    浏览(71)
  • 《商用密码应用与安全性评估》第三章商用密码标准与产品应用3.2商用密码产品类别

    商用密码产品按形态可以划分为六类∶软件、芯片、模块、板卡、整机、系统 软件是指以纯软件形态出现的密码产品,如密码算法软件。 芯片是指以芯片形态出现的密码产品,如算法芯片、安全芯片。 模块是指将单一芯片或多芯片组装在同一块电路板上,具备专用密码功能

    2024年02月12日
    浏览(40)
  • 商用密码应用安全性评估从业人员考核知识点

    1. 密码政策法规(占比10%) 1.1党和国家关于密码工作的方针政策 1.2密码法律法规与规范性文件 1.3涉及密码的网络安全相关法律法规 1.4密码应用政策文件 2. 密码技术基础及相关标准(占比20%) 2.1密码学基础知识 2.2分组密码 2.3序列密码 2.4杂凑密码 2.5公钥密码 2.6实体鉴别协

    2024年02月04日
    浏览(57)
  • 商用密码应用与安全性评估要点笔记(密评测评方法)

    4.3 密评测评方法 词条 内容 密评方法 对密码算法、密码技术、密码产品和密码服务进行核查。 核查前的工作 确认在信息系统中,应当使用密码保护的资产是否采用了密码技术进行保护(默认情况下按照GB/T39786-2021中对应条款判定),如有不适用,信息系统责任方应当在密码

    2024年02月12日
    浏览(40)
  • 商用密码应用与安全性评估要点笔记(SM3密码杂凑算法)

    1、杂凑密码算法         可以对任意长度的消息M进行压缩,输出定长的消息摘要/杂凑值h,表示为h = H(M)。         一般来说,H具备三个性质:         (1)单向性。已知h,试图找打M满足h=H(M)是困难的。         (2)抗第二/二次原像攻击(弱抗碰撞性)。给定M1,试图

    2024年02月01日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包