一、密评系统需要制定《密码应用方案》,并组织专家或委托测评机构进行评估的依据?
答:《商用密码应用安全性评估管理办法》(试行)
第八条重要领域网络和信息系统规划阶段,责任单位应当依据商用密码应用安全性有关标准,制定商用密码应用建设方案,组织专家或委托测评机构进行评估,评估结果作为项目规划立项的重要依据和申报使用财政性资金项目的必备材料。
1.《商用密码应用安全性评估管理办法》(试行)
第九条重要领域网络和信息系统建设完成后,责任单位应当委托测评机构进行商用密码应用安全性评估,评估结果作为项目建设验收的必备材料。
第十条重要领域网络和信息系统投入运行后,责任单位应当委托测评机构定期开展商用密码应用安全性评估。评估未通过,责任单位应当限期整改并重新组织评估。
2.《国家政务信息化项目建设管理办法》
第九条除国家发展改革委审批或者核报国务院审批的外,其他有关部门自行审批新建、改建、扩建,以及通过政府购买服务方式产生的国家政务信息化项目,应当按规定履行审批程序并向国家发展改革委备案。
备案文件应当包括项目名称、建设单位、审批部门、绩效目标及绩效指标、投资额度、运行维护经费、经费渠道、信息资源目录、信息共享开放、应用系统、等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容,其中改建、扩建项目还需提交前期项目第三方后评价报告。
第十五条 项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。
第二十五条国家政务信息化项目建成后半年内,项目建设单位应当按照国家有关规定申请审批部门组织验收,提交验收申请报告时应当一并附上项目建设总结、财务报告、审计报告、安全风险评估报告(包括涉密信息系统安全保密测评报告或者非涉密信息系统网络安全等级保护测评报告等)、密码应用安全性评估报告等材料。
3.《密码法》
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
4.《商用密码管理条例》(修订草案征求意见稿)
第三十八条 非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
前款所列网络与信息系统通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况报送所在地设区的市级密码管理部门备案。
5.《网络安全等级保护条例》(征求意见稿)
第四十七条非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。
第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。密码应用安全性评估结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。
1.《密码法》
第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
2.《国家政务信息化项目建设管理办法》
第二十八条 对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
第三十条 国务院办公厅、国家发展改革委、财政部、中央网信办会同有关部门按照职责分工,对国家政务信息化项目是否符合国家有关政务信息共享的要求,以及项目建设中招标采购、资金使用、密码应用、网络安全等情况实施监督管理。发现违反国家有关规定或者批复要求的,应当要求项目建设单位限期整改。逾期不整改或者整改后仍不符合要求的,项目审批部门可以对其进行通报批评、暂缓安排投资计划、暂停项目建设直至终止项目。网络安全监管部门应当依法加强对国家政务信息系统的安全监管,并指导监督项目建设单位落实网络安全审查制度要求。
各部门应当严格遵守有关保密等法律法规规定,构建全方位、多层次、一致性的防护体系,按要求采用密码技术,并定期开展密码应用安全性评估,确保政务信息系统运行安全和政务信息资源共享交换的数据安全。
1.《密码法》
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
2.商用密码管理条例(修订草案征求意见稿)
第三十八条 非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
3.《商用密码应用安全性评估管理办法(试行)》
第三条 涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位),应当健全密码保障体系,实施商用密码 应用安全性评估。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。
第二十条本办法第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿开展商用密码应用安全性评估。
1.《中华人民共和国计算机信息系统安全保护条例》
第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。
2.《信息安全等级保护商用密码管理办法》(国密局发〔2007〕11 号)
第十一条 信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。
3.《商用密码应用安全性评估管理办法(试行)》
第六条商用密码应用安全性评估工作由国家密码管理部门认定的密码测 评机构(以下简称测评机构)承担,国家密码管理部门定期发布测评机构目录。
1.《信息安全等级保护商用密码管理办法实施意见》
第八条第三级以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行。密码测评包括资料审查、系统分析、现场测评、综合评估等。信息系统的责任单位应当将测评结果报相应的密码管理部门备案。
密评工作主要包括两部分内容:一是信息系统规划阶段的密码应用方案评估,这一环节主要用于保证建设方案的安全性;二是信息系统建设完成后针对该系统开展现场测试。
方案评估阶段
主要针对新建或改造信息系统,密码应用改造方案一般由用户单位组织编写,用户单位编写密码应用建设方案/改造方案后,应委托专家对方案进行评估或委托密评机构出具方案密评报告。
系统评估阶段
主要依据国标GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》,从物理和环境、网络和通信、设备和计算、应用和数据、安全管理等方面开展评估。
目前只有广东省商用密码协会发布的T/GDCCA 0001-2022《信息系统密码应用方案评估规范》、T/GDCCA 0002-2022《信息系统密码应用方案评估过程指南》,暂无行标和国标。
参考的标准主要分为两类:
第一类是基本要求:就是我们通常说的“信息系统密码应用基本要求”,主要依据国家标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,此标准于2021年10月1日正式实施。
第二类是评估方法:目前主要参考的文件是2021年发布的GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》,中国密码学会密评联委会修订形成的《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》。
GB/T 39786-2021中的密码应用等级一般由网络安全等级保护(等保)的级别确定。对于为定级的关键信息基础设施或其他的重要信息系统,其密码应用等级至少为第三级。
现在是4-5 个,以后常态化应该是2-3 个。
国家密码管理局印发《关于规范商用密码应用安全性评估结果备案工作的通知》。《通知》提出,落实《密码法》及国家商用密码管理相关要求,进一步规范商用密码应用安全性评估结果备案相关工作。《通知》要求,各地区网络与信息系统运营者应当在密评报告出具之日起30日内,填写《网络与信息系统密评备案信息表》,连同密评报告报网络与信息系统所在地省级密码管理部门备案。
河北省的目前是河北省国家密码管理局
1、入门级(标准分:65分+)
服务器密码机/云密码机:必选
签名验签服务器:必选
SSL VPN:必选
(管理侧)安全浏览器+智能密码钥匙:必选
(用户侧)安全浏览器+智能密码钥匙:可选,可采用短信验证降低安全风险
2、进阶版(标准分:75分+)
服务器密码机/云密码机:【必选】
签名验签服务器:【必选】
SSL VPN: 【必选】
(管理侧)安全浏览器+智能密码钥匙:【必选】
(用户侧)安全浏览器+智能密码钥匙:【必选】
数字证书系统:”【可选】,或对接第三方CA服务
协同签名系统:(客户端和服务端密码二级模块)【必选】
数据库透明加密:【可选】,业务少改造。影响存诸加密分数
3、完善版(标准分:85分+)
服务器密码机/云密码机:【必选】
签名验签服务器:【必选】
SSL VPN:【必选】
IPSEC VPN:【必选】
密码服务平台:【可选】
时间戳服务器:【必选】
(管理侧)安全浏览器+智能密码钥匙:【必选】
(用户侧)安全浏览器+智能密码钥匙:【必选】
数字证书系统:【可选】,或对接第三方CA服务
协同签名系统:(客户端和服务端密码二级模块)【必选】
电子签章系统:【可选】
数据库透明加密:【可选】,影响存储加密分数
日志系统:【可选】,需要配套密码机做完整性使用
密钥管理系统:【必选】,磁盘、文件系统、大数据透明加密,密钥生命周期管理
安全电子门禁系统:【必选】
安全视频系统:【必选】
密码应用安全性评估报告应给出信息系统的测评结论,确认信息系统达到相应等级保护要求的程度。应结合整体测评和对单元测评结果的风险分析给出测评结论。
1. a) 符合:信息系统中未发现安全问题,测评结果中所有单元测评结果中部分符合和不符合项的统计结果全为 0,综合得分为 100 分。
2. b) 基本符合:信息系统中存在安全问题,部分符合和不符合项的统计结果不全为 0,但存在的安全问题不会导致信息系统面临高等级安全风险,且综合得分不低于阈值(60分)。
3. c) 不符合:信息系统中存在安全问题,部分符合项和不符合项的统计结果不全为 0,而且存在的 安全问题会导致信息系统面临高等级安全风险,或综合得分低于阈值(60分)。
文章来源:FreeBuf.COM、信息新安全
