密评是什么——精选推荐.pdfVIP

密评是什么——精选推荐--第1页 密评是什么 什么是商⽤密码应⽤安全性评估（以下简称 “密评”） 密评是指在采⽤商⽤密码技术、产品和服务集成建设的⽹络和信息系统中，对其密码应⽤的合规性、正确性和有效性进⾏评估的活动。 密评是对密码应⽤安全的评估，⽴⾜系统安全、体系安全和动态安全，对包括密码算法、密码协议和密码设备等进⾏整体安全性评估。 密码应⽤正确、合规、有效，是⽹络和信息系统安全的关键所在，因此密评要做到合规、正确和有效。开展密评，对于规范密码应⽤，切实保障⽹络安全，具有不可替代的重要 作⽤。 开展密评，是适应改⾰要求，提升商⽤密码科学化、规范化管理⽔平的关键举措。 通过开展密评，能够更好发挥密码在保障⽹络和信息系统安全中的核⼼⽀撑作⽤。 通过开展密评，确保新技术、新应⽤的密码安全，是推动科技创新的有⼒⽀撑。 什么是0054 我们通常说的0054是国密标准《GM/T 0054-2018 信息系统密码应⽤基本要求》的标准发布顺序号，该标准由国家密码管理局于2018年2⽉8 ⽇发布并实施。 0054标准中主要包括总体要求、密码功能要求、密码技术应⽤要求、密钥管理和安全管理。 其中总体要求包括：密码算法、密码技术、密码产品和密码服务； 密码功能要求包括：机密性、完整性、真实性和不可否认性； 密码技术应⽤要求包括物理和环境安全、⽹络和通信安全、设备和计算安全、应⽤和数据安全； 密钥管理包括密钥的⽣成、存储、分发、导⼊、导出、使⽤、备份、恢复、归档与销毁等环节进⾏管理和策略制定的全过程； 安全管理包括制度、⼈员、实施和应⽤。 其中，密码技术应⽤要求、密钥管理和安全管理针对等级保护不同级别的信息系统分别有不同的要求。 密评与0054 密评主要按照《GM/T 0054-2018信息系统密码应⽤基本要求》等标准，对信息系统的规划、建设、运⾏三个阶段的密码应⽤情况进⾏安全性评估。 信息系统规划阶段：组织专家或者委托具有相关资质的测评机构评估密码应⽤是否是依据商⽤密码技术标准，制定的商⽤密码应⽤建设⽅案。 信息系统建设阶段：委托具有相关资质的测评机构进⾏商⽤密码应⽤安全性评估，评估结果作为项⽬建设验收的必备材料，评估通过后，⽅可投⼊运⾏。 信息系统运⾏阶段：委托具有相关资质的测评机构定期开展商⽤密码应⽤安全性评估，评估未通过，⽹络运营者应当限期整改并重新组织评估。其中，关键信息基础设施、⽹络 安全等级保护第三级及以上信息系统每年⾄少评估⼀次。 密评主要是依据0054标准，对信息系统的规划、建设、运⾏三个阶段的密码应⽤情况进⾏安全性评估。 所以说密评是信息系统要达到的⽬标，⽽0054标准是信息系统达到⽬标所依赖的准则。 密评的基本原则是要做到合规性、正确性和有效性。 合规性： 密码算法、密码协议、密钥管理、密码产品和服务使⽤合规。 按照将要发布的《密码法》、《商⽤密码管理条例》等密码使⽤要求，使⽤符合国家密码法规和标准规定的商⽤密码算法，使⽤经过国家密码管理局审批的密码产品或服务。 按照《信息系统密码应⽤基本要求》等标准，进⾏相应密码应⽤建设⽅案设计。 正确性： 密码算法、密码协议、密钥管理、密码产品和服务使⽤正确。 系统中采⽤的标准密码算法、协议和密钥管理机制按照密码国家和⾏业标准进⾏正确设计和实现。 ⾃定义密码协议、密钥管理机制的设计和实现正确，符合相关标准要求。 密码保障系统建设或改造过程中密码产品和服务的部署和应⽤正确。 有效性： 信息系统中采⽤的密码协议、密钥管理系统、密码应⽤⼦系统和密码安全防护机制不仅设计合理，在系统运⾏过程中能够发挥密码效⽤，保障信息的机密性、完整性、真实性、 不可否认性。 信息系统要做好密评，就必须对于0054标准有个很好的理解和应⽤。 0054标准属于密码⾏标，现在正在升国标修订中，虽然部分内容作了修订和调整，但是核⼼内容是不变的，因为我们还是重点对于现有发布的0054标准进⾏解读。 从技术要求来看，密评的服务对象是信息系统，服务内容是系统密码改造（0054-7 密码技术应⽤要求）。服务内容的实现依赖于合规的密码组件（0054-5 总体要求），服务内 容中要解决的问题使⽤了基本的密码功能（0054-6 密码功能要求），服务内容中的安全核⼼为密钥管理（0054-8 密钥管理）。 密评是密码应⽤情况的安全性评估，因为密评的核⼼是密码，⽽密码的核⼼是密钥，所以密钥管理的安全性是密评中核⼼的核⼼。 哪些系统要做密评 《密码法》（征求意见稿）要求“国家对关键信息基础设施的密码应⽤安全性进⾏分类分级评估，按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关 服务和密码