公司

首頁 > 關于我們 > 安恒動態(tài) > 2022 > 正文

推進國密改造，安恒信息助力密評“大考”

閱讀量：次

密碼是保障網絡與信息安全的核心技術和基礎支撐，是解決網絡與信息安全問題最有效、最可靠、最經濟的手段，在我國革命、建設、改革各個歷史時期，都發(fā)揮了不可替代的重要作用。

2022年，“密評”（即“商用密碼應用安全性評估”）成了各行業(yè)關注的熱詞。在《密碼法》的要求下，在國標《信息安全技術信息系統(tǒng)密碼應用基本要求》（GB/T 39786-2021）的指導下，各地各行業(yè)積極、嚴謹?shù)亻_展密評工作，將是推動密碼應用的良好開端。各行業(yè)紛紛出臺了相關標準、要求，將密評工作提上日程，關鍵信息基礎設施、政務信息系統(tǒng)、等保三級以上信息系統(tǒng)建設，都要“過密評”。

今天，安恒信息從密碼專業(yè)領域來解讀2022年商用密碼安全性評估（簡稱“密評”）那些事兒。

什么是密評

商用密碼應用安全性評估（簡稱“密評”）是指針對采用商用密碼技術、產品和服務集成建設的網絡和信息系統(tǒng)應用的合規(guī)性、正確性、有效性進行評估。

合規(guī)性：使用密碼算法、密碼協(xié)議、密鑰管理符合國家法律法規(guī)和標準規(guī)定，密碼產品或服務經過國家密碼管理局核準和認證機構認證合格。

正確性：密碼算法、密碼協(xié)議、密鑰管理、密碼產品或服務使用正確，即按照密碼相關的國家和行業(yè)標準進行正確設計和實現(xiàn)，密碼產品和服務的部署、使用正確。

有效性：密碼保障系統(tǒng)在系統(tǒng)運行過程中能夠發(fā)揮實際效用，保障信息系統(tǒng)的安全需求，解決信息系統(tǒng)面臨的安全問題。

遵循的技術標準

《信息安全技術信息系統(tǒng)密碼應用基本要求》（GB/T 39786-2021）是貫徹落實《中華人民共和國密碼法》，指導我國商用密碼應用與安全性評估工作開展的綱領性、框架性標準。中國密碼學會密評聯(lián)委會發(fā)布并持續(xù)更新依照GB/T 39786-2021開展密評的系列指導文件，目前包括5項：

01 ?GM/T 0115-2021《信息系統(tǒng)密碼應用測評要求》

02 ?GM/T 0116-2021《信息系統(tǒng)密碼應用測評過程指南》

03 《信息系統(tǒng)密碼應用高風險判定指引》

04 《商用密碼應用安全性評估量化評估規(guī)則》

05 《商用密碼應用安全性評估報告模板（2021版）》

密評的基本要求和程序設計

范圍要求

法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的網絡與信息系統(tǒng)，其運營者應當使用商用密碼進行保護，制定商用密碼應用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設、同步運行商用密碼保障系統(tǒng)并定期進行密評。

機構性質

密評機構應當經國家密碼管理局認定，依法取得商用密碼檢測機構資質，且資質認定業(yè)務范圍載明“商用密碼應用安全性評估”。

實施要求

包含方案測評、系統(tǒng)測評、運營者支持配合義務、結果備案等。

信息系統(tǒng)密碼應用基本要求

如何通過“密評”

需要從實際業(yè)務需求出發(fā)，根據GB/T 39786要求的物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數(shù)據安全、安全管理制度、人員管理、建設運行及應急處置等層面，進行密碼應用需求分析，規(guī)劃密碼應用方案，搭建符合密評要求的密碼服務平臺。

某省地礦測繪院案例解析

安恒信息基于某省地礦測繪院的實際業(yè)務需求，結合云平臺架構情況，根據實際安全需求編制密碼應用方案，并針對性選擇密碼產品實現(xiàn)方案中所述的密碼應用措施，助力該省地礦測繪院高分通過密評。

\? 政策背景

●?國家要求：2019年12月30 日國辦發(fā)布《國家政務信息化項目建設管理辦法》要求：“同步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)并定期進行密碼應用安全性評估”（三同步一評估）對于不符合密碼應用和網絡安全要求，或者存在重大安全隱患的政務信息系統(tǒng)，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統(tǒng)。

●?公安部要求：2020年9月22日，公安部印發(fā)《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》要求：第三級及以上網絡在規(guī)劃、建設和運行階段充分考慮符合要求的密碼產品及服務，并在網絡安全等保測評中同步開展商用密碼應用安全性評估工作（三級系統(tǒng)要用密碼過密評）

●?國家密碼管理局要求：2020年8月20日發(fā)布的《商用密碼管理條例(修訂草案征求意見稿)》要求：非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統(tǒng)等網絡與信息系統(tǒng)，其運營者應當使用商用密碼進行保護，同步規(guī)劃、同步建設、同步運行商用密碼保障系統(tǒng)，自行或委托商用密碼檢測機構開展商用密碼應用安全性評估。

●國家密碼管理局要求：《商用密碼應用與安全性評估》第二章第十條關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統(tǒng)，每年至少評估一次。

\? 項目需求

●?根據云平臺架構與業(yè)務系統(tǒng)需求，搭建密碼資源池，建設統(tǒng)一的密碼服務平臺

●?需滿足信息系統(tǒng)的商用密碼應用安全性評估的要求。

●?各類密碼服務能夠滿足不同系統(tǒng)的現(xiàn)狀，盡可能避免業(yè)務系統(tǒng)改造。

●?需要實現(xiàn)對各租戶密碼資源的可視化管理，提升運維及管理工作效率。

\? 解決方案

針對于政務云平臺上多云、多機房、多系統(tǒng)的現(xiàn)狀，統(tǒng)籌建設標準化、集約化的密碼服務平臺，在每朵云的機房內，各自部署密碼資源池，通過密碼能力的封裝，向云上的各類系統(tǒng)提供多樣化的密碼服務，滿足密評的要求，實現(xiàn)密碼資源的統(tǒng)一管理與監(jiān)管。

\? 四大管理功能

●?租戶權限分級管理：根據不同單位的權限劃分，提供密碼資源的權限分級設置，實現(xiàn)本單位內對密碼服務平臺的系統(tǒng)管理、服務管理、狀態(tài)管理功能。

●?密碼資源動態(tài)調度：聚焦業(yè)務需求，利用平臺化手段實現(xiàn)密碼能力的整合、復用，實現(xiàn)各類密碼服務及密碼計算資源按需分配、動態(tài)調度，靈活調整密碼資源池中的密碼資源與信息系統(tǒng)的對應關系，滿足信息系統(tǒng)的簽名/驗簽、加密/解密等密碼需求。

●?資源狀態(tài)監(jiān)測預警：支持密碼資源監(jiān)測功能，能夠準確度量密碼服務平臺的各項指標，量化說明CPU、帶寬、硬盤等各個密碼資源的使用情況；提供自動報警服務。

●?密碼資源統(tǒng)計分析：能夠根據不同用戶單位的政務信息系統(tǒng)對各項密碼服務的使用情況，提供平臺運行態(tài)勢的全景展示，并形成相關數(shù)據分析圖表。

\? 客戶價值

●滿足云上系統(tǒng)與云平臺自身對于商用密碼應用安全性評估的需求。

●構建了“集約化”的理念，減少了各單位為滿足密碼應用安全性評估的需要而重復投資密碼基礎設施，避免了安全系統(tǒng)的重復建設，節(jié)省密碼應用領域的建設成本。

●提供了輕量化改造模式，能夠應對多樣化的信息系統(tǒng)，滿足不同應用在密評上的需求，減少系統(tǒng)二次改造的成本。

支持彈性擴容，能滿足功能不斷擴展以及系統(tǒng)容量和用戶數(shù)量不斷增長的要求，使業(yè)務系統(tǒng)不會因將來內容和功能上的擴充而導致數(shù)據安全需求無法滿足的情況。

\? 四大效益

●?利用平臺化手段實現(xiàn)密碼能力的整合、復用，提供各類密碼服務，實現(xiàn)密碼資源按需分配、彈性擴容。

●?通過建設標準統(tǒng)一、集約化的共性安全支撐平臺，減少基礎設施重復投資，避免安全系統(tǒng)重復建設。

●?實現(xiàn)密碼業(yè)務的融合協(xié)同、應用的快速開發(fā)部署、安全的整體防護、資源的統(tǒng)一調配與管理，極大的降低了開發(fā)、運營和運維成本。

●?通過統(tǒng)籌設計云上系統(tǒng)的密碼安全體系，盡可能消除云平臺信息系統(tǒng)的安全隱患，保障大數(shù)據行業(yè)運行質量和安全。

密碼服務平臺目前已經在多個地級市數(shù)據資源管理局得到應用和實踐。通過密碼服務平臺建設，打造行業(yè)標桿項目，各省市的大數(shù)據資源管理局提供借鑒意義，進行廣泛推廣。包括推廣至醫(yī)療、教育、金融等客戶。

關于我們

安恒信息子公司弗蘭科信息，專注于密碼領域，聚焦密碼功能服務，構建國密整體建設方案；以密碼基礎設施為依托，搭建密碼產品體系；全面滿足國家對信息系統(tǒng)的密碼建設要求；為各類信息系統(tǒng)提供整體密碼建設方案咨詢、密碼應用規(guī)劃、實施運維等一體化服務和產品。

產品涵蓋密碼應用、密碼服務平臺、密碼生態(tài)三個層面，廣泛服務智慧城市、大數(shù)據、政務信息化領域，為政府組織、醫(yī)療、金融、互聯(lián)網等20+行業(yè)提供國密完整解決方案。

參考文獻：

1、《商用密碼應用與安全性評估?》

2、GB/T39786-2021信息安全技術信息系統(tǒng)密碼應用基本要求

3、《國家政務信息化項目建設管理辦法》2019-12-30

4、《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》2020-9-22

5、《商用密碼管理條例(修訂草案征求意見稿)》2020-8-20

關閉

AI+安全>

數(shù)據安全>

數(shù)據基礎設施>

態(tài)勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網絡空間靶場>

工業(yè)互聯(lián)網安全>