密评的要求
密评的对象
《信息安全技术 信息系统密码应用基本要求》、《商用密码应用安全性评估管理办法》、《商用密码管理条例》等文件都对应当参加“密评”的对象进行了相关规定,即涉及国家安全和社会公共利益的重要领域网络和信息系统都要需要进行商用密码应用的安全性评估。
具体而言,这些重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统。其中:
基础信息网络:包括电信网、广播电视网、互联网,俗称三网,三网融合就是值的这三网;
涉及国计民生和基础信息资源的重要信息系统:包括能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统;
重要工业控制系统:包括核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统;
面向社会服务的政务信息系统:包括党政机关和使用财政性资金的事业单位和团体组织使用的、面向社会服务的信息系统。
与此同时,《密码法》也与《信息安全等级保护管理办法》、《关键信息基础设施安全保护条例》相互配合,对网络安全等级保护第三级及以上信息系统,以及关键信息基础设施的商用密码应用安全性评估提出了要求。其中,等保三级信息系统指“信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的信息系统”,而关键信息基础设施是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破环、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。所有以上提及信息系统的运营者,都应当使用商用密码对系统进行保护,通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估。
密评的要求
“密评”的核心要求在《信息安全技术 信息系统密码应用基本要求》中做了详细的规定。分为通用要求和基本要求。
通用要求:
信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求;
信息系统中使用的密码技术应遵循密码相关国家标准和行业标准;
信息系统中使用的密码产品、密码服务应符合法律法规的相关要求。
基本要求
基本要求包括以下8个层面,前4个为技术部分,后4个为管理部分。技术部分用来保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的不可否认性;管理部分可以提供管理方面的密码应用安全保障。
- 物理与环境:包括身份鉴别、电子门禁和视频监控记录数据完整性。
- 网络和通信:包括身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性和安全接入认证。
- 设备和计算:包括身份鉴别、远程管理通道安全、系统资源访问控制信息的完整性、重要信息资源安全标记完整性、日志记录完整性、重要可执行程序完整性、重要可执行程序完整性和来源真实性。
- 应用和数据:包括身份鉴别、访问控制信息完整性、重要信息资源安全标记完整性、重要数据传输和存储的机密性和完整性、不可否认性。
- 管理制度:具备密码应用安全管理制度、密钥管理规则、建立操作规程、定期修订安全管理制度、明确管理制度发布流程和制度执行过程记录留存。
- 人员管理:了解并遵守密码相关法律法规和密码管理制度、建立密码应用岗位责任制度、建立上岗人员培训制度、定期进行安全岗位人员考核、建立关键岗位人员保密制度和调离制度。
- 建设运行:制定密码应用方案、制定密钥安全管理策略、制定实施方案、投入运行前进行密码应用安全性评估、定期开展密码应用安全性评估及攻防对抗演习。
- 应急处置:应急策略、事件处置、向有关主管部门上报处置情况。
3034
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
