密评简介
什么是密评?

商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。密码技术是保障网络安全的核心技术和基础支撑,是落实国家网络安全战略的重要手段。我国陆续颁布多项法律法规和政策性文件对密码应用安全性评估提出明确要求,密码应用和密码测评已成为法定责任和义务。

密评的对象

《商用密码应用安全性评估管理办法(试行)》第三条、第二十条:涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位) 应当健全密码保障体系,实施商用密码应用安全性评估。

重要领域网络和信息系统包括:
  • 基础信息网络
  • 涉及国计民生和基础信息资源的重要信息系统
  • 重要工业控制系统
  • 面向社会服务的政务信息系统
  • 关键信息基础设施
  • 网络安全等级保护第三级及以上信息系统
密评的周期

《商用密码应用安全性评估管理办法(试行)》第二章第十条:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。

政策要求

《国家安全法》

第二十五条

“加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。

《网络安全法》

第二十一条

“国家实行网络安全等级保护制度,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改……”;都需要发挥密码技术的核心支撑作用。

《密码法》

第二十七条

“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”

《国家政务信息化建设管理办法》

要求“三同步”规划密码保障系统,并进行密评工作。对于不符合密码应用和网络安全要求的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

要求落实密码安全保障政策,明确了等保三级及以上网络在规划、建设和运行阶段要充分考虑符合要求的密码产品与服务,要求在等保测评中同步开展商用密码应用安全性评(密评)工作。

>
<
密码应用基本要求
  • 安全管理

    制度、人员、实施、应急要求

  • 物理和环境

    密码技术实现物理访问控制、监控记录完整性保护等要求

  • 网络和通信

    密码技术实现网络传输过程的通信双方真实性、数据机密性、完整性保护等要求

  • 密钥管理

    密钥全生命周期管理,包括密码生成、密钥存储、使用、分发、导入导出、备份恢复、归档

  • 应用和数据

    密码技术实现身份真实性,数据传输和存储的机密性、完整性、行为不可抵赖性等要求

  • 设备和计算

    密码技术实现设备用户身份真实性、远程鉴别信息机密性、重要文件完整性保护等要求

服务内容

沃通公司密评工作主要参照《GBT 39786-2021信息安全技术 信息系统密码应用基本要求》等标准,对信息系统的规划、建设、 运行三个阶段的密码应用情况进行安全性评估。密评的责任主体包括网络与信息系统责任单位、密码测评机构、密码管理部门。在密码测评全流程中, 沃通为需要进行密评工作的责任单位(政企客户)提供全流程服务,保障密评工作的顺利开展。政企客户与沃通协同共担,共同完成密评工作。

流程
系统定级
  • 密码应用现状及需求分析
  • 方案设计
  • 方案评审
系统备案
  • 建设实施
  • 安全评估
  • 整改上线
建设整改
  • 安全运行
  • 应急响应
  • 安全评估
流程解读
责任单位依据商用密码技术标准,制定密码应用方案(由密码应用解决方案、密码应用实施方案、密码应用应急方案组成), 组织专家或委托具有相关资质的测评机构进行方案评审;评估结果作为项目立项的必备材料。
系统建设完成后,责任单位委托测评机构开展密评(对照密码应用方案);测评机构按照有关法律法规和标准要求科学、 公正地开展评估。评估结果作为项目验收必备材料。
责任单位委托测评机构定期开展密评(对照密码应用方案);评估未通过,责任单位应当限期整改并重新组织评估。 系统发生密码相关重大事件、重大调整或特殊金级情况,责任单位应当及时组织测评机构开展商用密评。 测评机构完成密评工作后,应在30个工作日内将评估结果报国家密码管理部门备案。
流程
系统定级
  • 密码应用现状及需求分析
  • 方案设计
  • 方案评审
系统备案
  • 建设实施
  • 安全评估
  • 整改上线
建设整改
  • 安全运行
  • 应急响应
  • 安全评估
沃通服务内容
  • 【1】根据责任单位的需要,对现有系统及应用进行密码应用现状及需求分析,提出密码应用解决方案;
  • 【2】根据密码应用解决方案,结合现有系统或者新建系统实际情况,在满足其业务流程的前提下,进行方案设计;
  • 【3】将方案设计提交给密评机构进行方案评审,并根据反馈结果对方案进行调整和完善,形成最终的密码应用方案;
  • 【1】配合责任单位,开展密码应用的建设实施工作,包括提供符合国家密码管理局认证的密码应用相关产品、技术支持、集成应用和定制开发等;
  • 【2】配合密评机构,完成信息系统密码应用测评工作,协助提供必要的技术支持和人员支持;
  • 【3】根据密评机构的测评结果,对不符合项进行整改,并协助责任单位进行系统上线;
  • 【1】提供日常技术支持服务,确保信息系统中密码应用的安全稳定运行;
  • 【2】在发生密码相关重大安全事件、重大调整或特殊情况时,提供应急响应服务,积极协调密评机构和主管机构,及时完成评估和整改;
  • 【3】提供定期评估服务和维保服务。
产品推荐
  • 网络和通信安全
    国密SSL证书

    国密SSL证书遵循国家标准技术规范并参考国际标准,支持SM2/SM3/SM4国产密码算法和国密安全协议,兼容360浏览器、密信浏览器、 红莲花浏览器等主要国密浏览器,使用国密算法实现SSL加密连接及服务器身份认证,通过自主可控的密码技术,保护数据传输安全和服务器身份可信。

  • 密钥管理安全
    密钥管理系统

    密钥管理系统全面支持SM1、SM2、 SM3、 SM4国密算法,支持SM2密钥对、RSA密钥对,支持密码全生命周期管理,满足各行业信息化系统对业务数据、文件加解密等密钥管理安全要求。

  • 设备和计算安全
    国密USB Key、国密客户端证书

    国密USB Key支持国密算法,配合国密客户端证书可用于Web互联网登录、网站身份认证、访问安全站点、应用系统认证、业务系统认证、企业内网认证、企业OA认证、行业专网认证、文件签名等应用场景,实现设备用户身份真实性、远程鉴别信息机密性、重要文件完整性保护等要求。

  • 应用和数据安全
    证书认证系统、VPN综合安全网关、电子签章、时间戳

    部署证书认证系统、密钥管理系统、VPN安全网关等主要密码安全产品,为终端客户端密码应用、安全传输、服务端密码应用提供可信认证能力和数据安全保护能力,通过电子签章系统、时间戳系统添加电子签名、加盖时间戳,实现身份真实性、数据机密性完整性、行为不可否认性的保护。