密码应用安全性评估方案.docxVIP

密码应用安全性评估方案

背景

随着网络与信息技术的高速发展，尤其是互联网的广泛普及和应用，网络正深刻影响并改变着人类的生活和工作方式，我们已经身处信息时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。我国信息化建设在不断深入，信息化的水平也在不断提升，同时导致了对信息系统的依赖程度也越来越高。越来越多的政府机构、企事业单位建立了依赖于网络的业务信息系统，比如门户WEB应用、电子政务、电子商务、网上银行、网络办公等；同时也利用互联网提供给用户各类Web应用服务，如提供信息发布、信息搜索、电子政务、电子商务等业务，便利了工作，也极大丰富了人们的生活。

网络技术对社会各行各业产生了巨大深远影响的同时，随之而来的网络安全问题亦凸现出来。计算机、网络、信息等系统资产在服务于各部门业务的同时，也受到越来越多的安全威胁，如病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈等利用计算机网络实施的各种犯罪行为。密码技术作为网络安全的基础性核心技术，保障信息资产和网络信任体系，保障网络空间安全的关键技术。密码保障系统有效抵御网络攻击，有效保护数据和系统安全，体现了密码使用的合规性、正确性、有效性，涉及典型的密码技术包括密码算法、密钥管理、密码协议。安全测评通过静态评估、现场测试、综合评估等相关环节和阶段，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理等六个方面，对信息系统进行综合测评。

为全面贯彻总体国家安全观和网络强国战略，深入贯彻落实习近平总书记关于核心技术自主可控重要批示精神和工作安排，落实中共中央办公厅、国务院办公厅推进重要领域密码应用与创新发展的相关要求，在重要信息系统密码应用情况普查工作基础上，对重点行业重要信息系统开展密码应用安全性评估。通过密码应用安全性评估深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，为提升我国信息系统密码安全奠定基础。

相关法规政策

《中华人民共和国密码法》要求“国家对关键信息基础设施的密码应用安全性进行分类分级评估，按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查”。《信息安全等级保护商用密码管理办法》规定：“国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查”。在国家密码管理局印发的《信息安全等级保护商用密码管理办法实施意见》中规定“第三级及以上信息系统的商用密码应用系统，应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行”。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。此外，在《网络安全等级保护条例》明确要求在规划、建设、运行阶段开展密码应用安全性评估。

为规范商用密码应用安全性评估工作，国家密码管理局制定了《商用密码应用安全性评估管理办法》、《商用密码应用安全性测评机构管理办法》等有关规定，对测评机构、网络运营者、管理部分等三类对象提出了要求，对评估程序、评估方法、监督管理等进行了明确。同时，制定了《信息系统密码应用基本要求》、《信息系统密码测评要求》等标准，及《商用密码应用安全性评估测评过程指南（试行）》、《商用密码应用安全性评估测评作业指导书（试行）》等指导性文件，指导测评机构规范有序开展评估工作。其中，《信息系统密码应用基本要求》从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理以及安全管理六个方面提出密码应用安全性评估指标。

密码测评的意义

开展商用密码应用安全性评估工作，是国家网络安全和密码相关法律法规提出的明确要求，是法定责任和义务。商用密码应用安全性评估工作，不仅对规范密码应用具有重大意义，同时对维护网络和信息系统密码安全，切实保障网络安全，有效应对各类网络安全风险，也具有不可替代的重要作用。商用密码应用安全性评估工作是密码检测认证体系的重要组成部分，也是《中华人民共和国密码法》和中央有关文件的明确要求，是落实总体国家安全观和网络强国战略的具体行动，是深入推进重要领域密码应用的必然要求。

测评依据

主要依据标准

GB17859-1999《计算机信息系统安全保护等级划分准则》

GB/T39786-2021信息系统密码应用基本要求（以下简称“基本要求”）

信息系统密码测评要求（试行）

《信息系统密码应用高风险判定指引》

《商用密码应用安全性评估量化评估规则》

《商用密码应用安全性评估测评作业指导书（试行）》

《政务信息系统密码应用与安全性评估工作指南》

商用密码管理条例（1999年国务院令第273号）

《信息系统密码应用测评过程指南》

GB/T39786-2021《