浅谈商用密码应用安全性评估(密评)
商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性、有效性进行评估。一、密评简介
商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性、有效性进行评估。
1、法律法规
国家主席习近平2019年10月26日签署了第35号主席令。
第35号主席令说,《中华人民共和国密码法》已由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过,现予公布,自2020年1月1日起施行。
《密码法》第二十七条
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
为规范密评工作,国家密码管理局制定印发了《商用密码应用安全性评估管理办法(试行)》、《商用密码应用安全性测评机构管理办法(试行)》、《商用密码应用安全性测评机构能力评审实施细则(试行)》等管理文件。《商用密码应用安全性评估管理办法(试行)》第十条
重要领域网络与信息系统投入运行后,责任单位应当委托测评机构定期开展商用密码应用安全性评估,评估未通过,责任单位应当限期整改并重新组织评估。
关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次,测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。对其他信息系统定期开展检查和抽查。
同时,在《网络安全等级保护条例(征求意见稿)》第四十七条、《国家政务信息化项目建设管理办法》第十五条及第二十五条、《商用密码管理条例(修订草案征求意见稿)》第三十八条中均有提及对密评的要求。
2、参考标准
《中华人民共和国密码法》
《商用密码应用安全性评估管理办法(试行)》
《信息安全等级保护商用密码管理办法》
《信息安全等级保护商用密码技术实施要求》
《信息安全等级保护商用密码技术要求》
《信息系统密码测评要求》
《信息系统密码应用基本要求》GM/T 0054-2018
二、什么是商用密码
商用密码工作是密码工作的重要组成部分。商用密码主要用于保护不属于国家秘密的信息,广泛用于通信、金融、税控、社保、能源等重要领域,在维护国家安全、促进经济发展、保护人民群众利益中发挥不可替代的作用。1996年7月,中央政治局常委会专题研究商用密码,做出在我国大力发展商用密码和加强对商用密码管理的决定,“商用密码”从此成为专有名词。
根据1999年10月7日国务院发布实施的《商用密码管理条例》第一章第二条规定:“本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”。
如何来理解《条例》中对商用密码的定义呢?第一,它明确了商用密码是用于“不涉及国家秘密内容的信息”领域,即非涉密信息领域。商用密码所涉及的范围很广,凡是不涉及国家秘密内容的信息,又需要用密码加以保护的,均可以使用商用密码。第二,它指明了商用密码的作用,是实现非涉密信息的加密保护和安全认证等具体应用。加密是密码的传统应用。采用密码技术实现