安全应用与服务
● 开展密评是应对网络安全严峻形势的迫切需要
建立密评体系,就是为了解决商用密码应用中存在的突出问题,为重要网络与信息系统的安全提供科学评价方法,以评促建、以评促改、以评促用,逐步规范商用密码的使用和管理,从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络与信息系统中的有效使用,切实构建起坚实可靠的网络空间安全密码屏障。
● 开展密评是系统安全维护的必然要求
商用密码应用安全是整体的、系统的、动态的。密码安全是网络与信息系统安全的前提,构建成体系的、安全有效的密码保障系统,对重要网络与信息系统有效抵御网络攻击具有关键作用和重要意义。密码应用是否合规、正确、有效,涉及密码算法、协议、产品、技术体系、密钥管理、密码应用等多个方面。有必要委托专业机构、专业人员,采用专业工具和专业手段,对系统整体的商用密码应用安全进行专项测试和综合评估,形成科学准确的评估结果,以便及时掌握商用密码安全现状,采取必要的技术和管理措施。
● 开展密评是相关责任主体的法定职责
《中华人民共和国密码法》规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护自行或者委托商用密码检测机构开展商用密码应用安全性评估。《中华人民共和国网络安全法》也指出,网络运营者应当履行网络安全保护义务,并明确在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护。采取技术措施和其他必要措施,维护网络数据的完整性、保密性和可用性。《网络安全等级保护条例(征求意见稿)》强化密码应用要求,突出密码应用监管,重点面向网络安全等级保护第三级及以上系统,落实密码应用安全性评估制度。因此,针对网络安全等级保护第三级及以上信息系统、关键信息基础设施开展密评,将是网络运营者和主管部门的法定责任。
● 方案评估:对于新建/改造信息系统,密码应用建设方案/改造方案,一般由责任单位组织商用密码从业单位编写。包括:《密码应用解决方案》《实施方案》《应急处置方案》。
责任单位编写密码应用建设方案/改造方案后,应委托测评机构对方案进行评估。
● 系统评估:系统评估主要从物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面开展。
测评机构完成系统评估后出具评估报告。在密评活动结束30个工作日内,将评估结果报密码管理部门等相关部门备案。
● 密评定级备案咨询服务:参考相关国家标准、行业标准及行业主管单位下发的指导文件,协助用户明确测评系统的范围边界,并确定相应的定级标准和测评定级。在完成《密评备案表》和《专家评审意见》等材料的过程中,提供必要的协助,以完成系统测评备案流程。
● 密码应用差距分析服务:利用工具扫描和人工核查等安全测试方法,对被测系统进行安全风险评估、排查与差距分析。结合密码应用测评标准,提供详细的差距分析报告与整改实施建议。
● 密评建设方案支撑服务:根据《GB/T39786-2021信息系统密码应用基本要求》等相关标准文件,结合行业特性要求、监管单位要求和密码安全业务需求,提供密码应用方案的设计与撰写支持。协助用户对方案进行机构评审或专家评审。
● 密评整改咨询指导服务:对系统密码应用设计与建设方案进行全面评估,梳理密码支撑能力建设的合规性与合理性。提供密码应用支撑体系建设与实施过程中的难点咨询服务,指导用户成功开展密码合规性建设与密码服务运营。
● 密码系统建设实施支撑服务:根据系统密码应用解决方案,协调应用开发方、设备供应方与项目集成方,对系统进行整改建设。确保整改后的系统完全符合《GB39786-2021信息系统密码应用基本要求》及相关行业标准。
● 密码安全制度整改与测试辅助服务:通过工具扫描和人工核查等安全测试方法,对被测系统进行安全风险评估、排查与差距分析。结合密码应用测评标准,提供详细的差距分析报告与整改实施建议。
● 商用密码应用安全测评服务:协调合规的商用密码应用安全性测评机构,根据相关测评标准对信息系统在总体安全、物理与环境、网络与通信、设备与计算、应用与数据、密钥管理和安全管理等层面进行全面安全评测。