本文介绍了中国国家密码管理局的职责、级别及其在密码管理和信息安全中的角色。重点讲解了密评的定义、发展历程、目的以及当前存在的问题,强调了法律法规对密评的强制性要求,并提供了通过密评的关键标准和流程概述。
文章目录
密码管理局以及什么是密评?为什么要做密评?
关于密码管理局
政府官网:https://www.oscca.gov.cn/
国家密码管理局全称为国家商用密码管理办公室,与中央密码工作领导小组办公室,实际上是一个机构两块牌子,列入中共中央直属机关的下属机构。
国家密码管理局是中央国家机关,下属的研究所、密码分析测评中心和专用芯片实验室系国家全额拨款事业单位,工作性质特殊,国家政策优惠,科研任务饱满,经费来源充足,科研条件优良,社会和经济效益显著。
《中华人民共和国密码法》第五条 国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
第十六条 密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。
第十七条 密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。
总结:国家密码管理局是中国的一个专门机构(属于国家政府部门,事业单位的。),负责管理和保护国家的信息安全和密码安全。密码管理局是指负责管理和监督密码的机构或部门。其职责包括制定密码政策、规范密码使用要求、监督密码安全实施等。
国家密码管理局属于什么级别?
我国有三个中央直属机关下属副部级国家局:国家档案局、国家保密局、国家密码管理局。
- 国家档案局:珍贵历史的守护者
- 国家保密局:国家安全的坚实屏障
- 国家密码管理局:信息安全的守护者
在我国的行政体制中,有一些副部级国家局被直属于中共中央直属机关,由中央办公厅进行管理,与国务院机构序列并列,形成了“同一个机构、挂两块牌子”的独特模式。这种设置涵盖了国家档案局、国家保密局、国家密码管理局三个重要机构,它们分别承担着档案管理、保密工作、密码管理等职责,具有极其重要的国家战略地位。
副部级单位是指在国家行政机构中,级别位于部级单位下方的一级机构。在中国政府组织结构中,国家行政机关按照级别可以分为国务院、部级单位、副部级单位等。
副部级单位作为国家行政机构的一级机构,通常具有较高的管理职能和权力。它们负责制定和执行相关政策法规,管理和监督特定领域的工作,并与其他部级单位协同合作,以实现国家政策和目标。
与部级单位相比,副部级单位的规模和权力可能相对较小,但在特定领域或行业中承担着重要的职责和责任。副部级单位通常由副部长或类似职位的领导负责领导和管理。
国家密码管理局属于副部级单位,级别与其他副部级机构相同。该机构负责制定和执行密码管理、密码技术、密码产品的政策法规,并负责国家密码行业的统一管理和监督。同时,国家密码管理局还负责编制密码安全标准,监督密码安全审计和密码产品认证等工作。
什么是密评?
密评全称:商用密码应用安全性评估
定义:对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
根据《中华人民共和国密码法》的规定,密码分为核心密码、普通密码和商用密码。区别于用于保护国家秘密信息的核心密码和普通密码,我国《密码法》规定商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。在网络安全技术层面,商用密码通常指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。
密评是指对系统、设备或组织的密码安全性进行评估和测试的过程。密评的目的是评估密码系统的安全性和可靠性,检查是否存在潜在的漏洞和风险,并提供相应的建议和措施来改善密码的保密性、完整性和可用性。
密评发展史
2011年:ZUC序列算法成为了4G移动通信密码算法国际标准
2017年:非对称算法SM2和SM9的数字签名算法成为国际标准
2018年:密码杂凑算法SM3成为国际标准
2021年:2月,SM9标识加密算法成为国际标准
6月,SM4分组密码算法成为国际标准
10月,SM9密钥交换协议成为国际标准
我国自主研发的密码算法相继走出国门并受到国际上的认可,国密局也在大力推进国密算法,借着政策之风,排兵布阵,准备打一场密码应用攻坚战。
2017年以来,通过全国开展密评工作,90%甚至95%的信息系统不满足密码应用要求,大量数据没有使用密码技术保护,处于“裸奔”状态。
为什么要做密评?
1、 首先是国家法律规定的要去,《密码法》、《网络安全法》、《网络安全等级保护条例》等法律强调了等级保护三级及以上信息系统、关键信息基础设施都要做密评。
2、密评是为了保护系统安全,通过密评检测系统安全级别,提升信息系统安全性。
总结:相关法律法规的明确要求,不过密评,就会受到相应的处罚。相关单位、行业对照自身信息系统建设情况,符合要求的,及时积极的开展密评;不符合要求的,积极主动的开展密改,做到符合国家政策要求,同时也保障自身信息系统的安全性。
目前密码应用的几个问题
-
密码应用不广泛:
2017年以来,通过全国开展密评工作,90%甚至95%的信息系统不满足密码应用要求,大量数据没有使用密码技术保护,处于“裸奔”状态。 -
密码应用不规范:
未使用合规密码产品
软件实现的密码策略
合规的密码产品但配置不合理 -
密码应用不安全:
大量在使用MD5、SHA1、DES等已被警示有风险的密码算法。
密评对象
商用密码应用安全性评估的对象包括:
• 基础信息网络:电信网、广播电视网、互联网;
• 涉及国计民生和基础信息资源的重要信息系统:能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统;
• 重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统;
• 面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
关键信息基础设施、网络安全等级保护第三级及以上的信息系统,密码应用安全性评估每年至少一次。
不做“密评”或密评不合格有什么影响?
对于相关责任主体不做密评或“密评”不合格的处理,《密码法》和《国家政务信息化项目建设管理办法》等法律法规都有明确规定:
-
《密码法》第三十七条第一款
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 -
《国家政务信息化项目建设管理办法》第二十八条第三款
对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。 -
国办发57号文 第二十八条
加强国家政务信息化项目建设投资和运行维护经费协同联动……对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。 -
数据安全法 第四十五条
拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
如何才能顺利通过密评?
目前密评测试机构主要依照GB/T 39786的技术要求和管理要求开展评估工作。GB/T 39786是贯彻落实《中华人民共和国密码法》,指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准。
总结:密评需要吃透GB/T 39786
密评的相关标准
- 《GB∕T 39786-2021 信息安全技术 信息系统密码应用基本要求》 重要 ✔
- 《信息系统密码应用高风险判定指引》
- 《商用密码应用安全性评估量化评估规则(2023版)》
- 《商用密码应用安全性评估报告模板(2023版)》
- 《GM-T 0115—2021 信息系统密码应用测评要求》 重要 ✔
- 《GM-T 0116—2021 信息系统密码应用测评过程指南》
- 《商用密码应用安全性评估FAQ(第二版)》
其中,商用密码应用安全性评估量化评估规则,主要参考遵循 GB/T 39786—2021 和 GM/T 0115—2021
参考
我国有三个副部级国家局国家档案局、国家保密局、国家密码管理局
参考URL: https://baijiahao.baidu.com/s?id=1782515109881841477&wfr=spider&for=pc
各行各业都在关注的“密评”到底是啥?一文带你读懂!
参考URL: https://zhuanlan.zhihu.com/p/567013915?utm_id=0
什么是密评?初步认识密评
参考URL: https://www.sohu.com/a/549312334_121229811
轻松过密评小课堂 | 为什么要过密评?
参考URL: https://www.i-wall.com.cn/h-nd-135.html
为什么必须做密评
参考URL: https://blog.csdn.net/weixin_45882672/article/details/124710297
扫一扫
567
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
