国密证书信创密评商用密码解决方案.pptxVIP

国密证书信创密评商用密码解决方案 目 录01产品背景产品简介0203应用案例 PART 01-01信创项目密码应用要求 从2019党政机关到2022全面替面推进，以通用设备的替换和采购为主，目前处于这个阶段明确安可设备替代工作政策，建立替代工作台帐，2022年底之前完成党政机关安可设备全面替换2019年3月，信创商用密码产品目录正式下发全面替代安全可靠测评 信创项目对密码应用的要求 密评、等保、信创的关系密评等保3级信创规划阶段加入密码应用方案使用信创目录的密码产品依据等保要求建设属于等保3级系统必须先过密评再过等保，无密码应用不批预算信创需使用信创目录商密产品，同样需要过密评过等保先密评再等保有密码批预算 PART 01-02密评简介 密评定义 商用密码应用安全性评估（简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。 密评是什么？合规性正确性有效性 是指密码算法、密码协议、密钥管理、密码产品和服务使用合规，即按照《商用密码管理条例》等密码法规和行业相关的密码使用要求，使用符合国家密码法规和标准规定的商用密码算法，使用经过国家密码管理局审批的密码产品或服务。是指密码应用安全立足系统安全、体系安全、动态安全，信息系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制不仅设计合理，而且在系统运行过程中能够发挥密码效用，保障信息的机密性、完整性、真实性、抗抵赖性。 是指密码算法、密码协议、密钥管理、密码产品和服务使用正确，及系统中采用的标准密码算法、协议和秘钥管理机制按照相应的密码国家和行业标准进行正确的设计和实现；自定义密码协议、密钥管理机制的设计和实现正确，符合相关标准要求；密码保障系统建设或改造过程中密码产品和服务的部署和应用正确。 《中华人民共和国密码法》法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。（部分摘抄）关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款第二十七条第三十七条法规要求政策指导评估检查《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》同步规划、同步建设、同步运行密码保障系统不符合密码应用要求的政务信息系统不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》完善密码应用安全性评估审查机制。建立商用密码测评认证和分类分级检测体系强化网络运营者及其主管部门的密码应用主体责任，落实关键信息基础设施密码应用安全性评估和密码应用要求《商用密码管理条例》第八条：商用密码产品的品种和型号，必需经过国家密码管理机构批准《商用密码应用安全性评估管理办法（试行）》第三条、第二十条涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。国密标准《GM/T 0054-2018 信息系统密码应用基本要求》为什么要做密码应用安全性评估（密评） 哪些系统需要做密评？基础信息网络：电信网、广播电视网、互联网。重要信息系统：能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。重要工业控制系统：核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。面向社会服务的政务信息系统：党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次信创项目重要领域及信息系统不做/不合格未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。密评对应的处罚《中华人民共和国密码法》《国家政务信息化项目建设管理办法》 PART 01-03密评与等保的关系 密评与等保间的关系 《商用密码应用安全性评估管理办法》是根据网络安全法、商用密码管理条例以及国家关于网络安全等级保护和重要