公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

推進國密改造，安恒信息助力密評“大考”

閱讀量：次

密碼是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐，是解決網(wǎng)絡(luò)與信息安全問題最有效、最可靠、最經(jīng)濟的手段，在我國革命、建設(shè)、改革各個歷史時期，都發(fā)揮了不可替代的重要作用。

2022年，“密評”（即“商用密碼應(yīng)用安全性評估”）成了各行業(yè)關(guān)注的熱詞。在《密碼法》的要求下，在國標(biāo)《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T 39786-2021）的指導(dǎo)下，各地各行業(yè)積極、嚴謹?shù)亻_展密評工作，將是推動密碼應(yīng)用的良好開端。各行業(yè)紛紛出臺了相關(guān)標(biāo)準、要求，將密評工作提上日程，關(guān)鍵信息基礎(chǔ)設(shè)施、政務(wù)信息系統(tǒng)、等保三級以上信息系統(tǒng)建設(shè)，都要“過密評”。

今天，安恒信息從密碼專業(yè)領(lǐng)域來解讀2022年商用密碼安全性評估（簡稱“密評”）那些事兒。

什么是密評

商用密碼應(yīng)用安全性評估（簡稱“密評”）是指針對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)用的合規(guī)性、正確性、有效性進行評估。

合規(guī)性：使用密碼算法、密碼協(xié)議、密鑰管理符合國家法律法規(guī)和標(biāo)準規(guī)定，密碼產(chǎn)品或服務(wù)經(jīng)過國家密碼管理局核準和認證機構(gòu)認證合格。

正確性：密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品或服務(wù)使用正確，即按照密碼相關(guān)的國家和行業(yè)標(biāo)準進行正確設(shè)計和實現(xiàn)，密碼產(chǎn)品和服務(wù)的部署、使用正確。

有效性：密碼保障系統(tǒng)在系統(tǒng)運行過程中能夠發(fā)揮實際效用，保障信息系統(tǒng)的安全需求，解決信息系統(tǒng)面臨的安全問題。

遵循的技術(shù)標(biāo)準

《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T 39786-2021）是貫徹落實《中華人民共和國密碼法》，指導(dǎo)我國商用密碼應(yīng)用與安全性評估工作開展的綱領(lǐng)性、框架性標(biāo)準。中國密碼學(xué)會密評聯(lián)委會發(fā)布并持續(xù)更新依照GB/T 39786-2021開展密評的系列指導(dǎo)文件，目前包括5項：

01 ?GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測評要求》

02 ?GM/T 0116-2021《信息系統(tǒng)密碼應(yīng)用測評過程指南》

03 《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》

04 《商用密碼應(yīng)用安全性評估量化評估規(guī)則》

05 《商用密碼應(yīng)用安全性評估報告模板（2021版）》

密評的基本要求和程序設(shè)計

范圍要求

法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的網(wǎng)絡(luò)與信息系統(tǒng)，其運營者應(yīng)當(dāng)使用商用密碼進行保護，制定商用密碼應(yīng)用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設(shè)、同步運行商用密碼保障系統(tǒng)并定期進行密評。

機構(gòu)性質(zhì)

密評機構(gòu)應(yīng)當(dāng)經(jīng)國家密碼管理局認定，依法取得商用密碼檢測機構(gòu)資質(zhì)，且資質(zhì)認定業(yè)務(wù)范圍載明“商用密碼應(yīng)用安全性評估”。

實施要求

包含方案測評、系統(tǒng)測評、運營者支持配合義務(wù)、結(jié)果備案等。

信息系統(tǒng)密碼應(yīng)用基本要求

如何通過“密評”

需要從實際業(yè)務(wù)需求出發(fā)，根據(jù)GB/T 39786要求的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全、安全管理制度、人員管理、建設(shè)運行及應(yīng)急處置等層面，進行密碼應(yīng)用需求分析，規(guī)劃密碼應(yīng)用方案，搭建符合密評要求的密碼服務(wù)平臺。

某省地礦測繪院案例解析

安恒信息基于某省地礦測繪院的實際業(yè)務(wù)需求，結(jié)合云平臺架構(gòu)情況，根據(jù)實際安全需求編制密碼應(yīng)用方案，并針對性選擇密碼產(chǎn)品實現(xiàn)方案中所述的密碼應(yīng)用措施，助力該省地礦測繪院高分通過密評。

\? 政策背景

●?國家要求：2019年12月30 日國辦發(fā)布《國家政務(wù)信息化項目建設(shè)管理辦法》要求：“同步規(guī)劃、同步建設(shè)、同步運行密碼保障系統(tǒng)并定期進行密碼應(yīng)用安全性評估”（三同步一評估）對于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運行維護經(jīng)費，項目建設(shè)單位不得新建、改建、擴建政務(wù)信息系統(tǒng)。

●?公安部要求：2020年9月22日，公安部印發(fā)《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見》要求：第三級及以上網(wǎng)絡(luò)在規(guī)劃、建設(shè)和運行階段充分考慮符合要求的密碼產(chǎn)品及服務(wù)，并在網(wǎng)絡(luò)安全等保測評中同步開展商用密碼應(yīng)用安全性評估工作（三級系統(tǒng)要用密碼過密評）

●?國家密碼管理局要求：2020年8月20日發(fā)布的《商用密碼管理條例(修訂草案征求意見稿)》要求：非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護第三級以上網(wǎng)絡(luò)、國家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)，其運營者應(yīng)當(dāng)使用商用密碼進行保護，同步規(guī)劃、同步建設(shè)、同步運行商用密碼保障系統(tǒng)，自行或委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估。

●國家密碼管理局要求：《商用密碼應(yīng)用與安全性評估》第二章第十條關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護第三級及以上信息系統(tǒng)，每年至少評估一次。

\? 項目需求

●?根據(jù)云平臺架構(gòu)與業(yè)務(wù)系統(tǒng)需求，搭建密碼資源池，建設(shè)統(tǒng)一的密碼服務(wù)平臺

●?需滿足信息系統(tǒng)的商用密碼應(yīng)用安全性評估的要求。

●?各類密碼服務(wù)能夠滿足不同系統(tǒng)的現(xiàn)狀，盡可能避免業(yè)務(wù)系統(tǒng)改造。

●?需要實現(xiàn)對各租戶密碼資源的可視化管理，提升運維及管理工作效率。

\? 解決方案

針對于政務(wù)云平臺上多云、多機房、多系統(tǒng)的現(xiàn)狀，統(tǒng)籌建設(shè)標(biāo)準化、集約化的密碼服務(wù)平臺，在每朵云的機房內(nèi)，各自部署密碼資源池，通過密碼能力的封裝，向云上的各類系統(tǒng)提供多樣化的密碼服務(wù)，滿足密評的要求，實現(xiàn)密碼資源的統(tǒng)一管理與監(jiān)管。

\? 四大管理功能

●?租戶權(quán)限分級管理：根據(jù)不同單位的權(quán)限劃分，提供密碼資源的權(quán)限分級設(shè)置，實現(xiàn)本單位內(nèi)對密碼服務(wù)平臺的系統(tǒng)管理、服務(wù)管理、狀態(tài)管理功能。

●?密碼資源動態(tài)調(diào)度：聚焦業(yè)務(wù)需求，利用平臺化手段實現(xiàn)密碼能力的整合、復(fù)用，實現(xiàn)各類密碼服務(wù)及密碼計算資源按需分配、動態(tài)調(diào)度，靈活調(diào)整密碼資源池中的密碼資源與信息系統(tǒng)的對應(yīng)關(guān)系，滿足信息系統(tǒng)的簽名/驗簽、加密/解密等密碼需求。

●?資源狀態(tài)監(jiān)測預(yù)警：支持密碼資源監(jiān)測功能，能夠準確度量密碼服務(wù)平臺的各項指標(biāo)，量化說明CPU、帶寬、硬盤等各個密碼資源的使用情況；提供自動報警服務(wù)。

●?密碼資源統(tǒng)計分析：能夠根據(jù)不同用戶單位的政務(wù)信息系統(tǒng)對各項密碼服務(wù)的使用情況，提供平臺運行態(tài)勢的全景展示，并形成相關(guān)數(shù)據(jù)分析圖表。

\? 客戶價值

●滿足云上系統(tǒng)與云平臺自身對于商用密碼應(yīng)用安全性評估的需求。

●構(gòu)建了“集約化”的理念，減少了各單位為滿足密碼應(yīng)用安全性評估的需要而重復(fù)投資密碼基礎(chǔ)設(shè)施，避免了安全系統(tǒng)的重復(fù)建設(shè)，節(jié)省密碼應(yīng)用領(lǐng)域的建設(shè)成本。

●提供了輕量化改造模式，能夠應(yīng)對多樣化的信息系統(tǒng)，滿足不同應(yīng)用在密評上的需求，減少系統(tǒng)二次改造的成本。

支持彈性擴容，能滿足功能不斷擴展以及系統(tǒng)容量和用戶數(shù)量不斷增長的要求，使業(yè)務(wù)系統(tǒng)不會因?qū)韮?nèi)容和功能上的擴充而導(dǎo)致數(shù)據(jù)安全需求無法滿足的情況。

\? 四大效益

●?利用平臺化手段實現(xiàn)密碼能力的整合、復(fù)用，提供各類密碼服務(wù)，實現(xiàn)密碼資源按需分配、彈性擴容。

●?通過建設(shè)標(biāo)準統(tǒng)一、集約化的共性安全支撐平臺，減少基礎(chǔ)設(shè)施重復(fù)投資，避免安全系統(tǒng)重復(fù)建設(shè)。

●?實現(xiàn)密碼業(yè)務(wù)的融合協(xié)同、應(yīng)用的快速開發(fā)部署、安全的整體防護、資源的統(tǒng)一調(diào)配與管理，極大的降低了開發(fā)、運營和運維成本。

●?通過統(tǒng)籌設(shè)計云上系統(tǒng)的密碼安全體系，盡可能消除云平臺信息系統(tǒng)的安全隱患，保障大數(shù)據(jù)行業(yè)運行質(zhì)量和安全。

密碼服務(wù)平臺目前已經(jīng)在多個地級市數(shù)據(jù)資源管理局得到應(yīng)用和實踐。通過密碼服務(wù)平臺建設(shè)，打造行業(yè)標(biāo)桿項目，各省市的大數(shù)據(jù)資源管理局提供借鑒意義，進行廣泛推廣。包括推廣至醫(yī)療、教育、金融等客戶。

關(guān)于我們

安恒信息子公司弗蘭科信息，專注于密碼領(lǐng)域，聚焦密碼功能服務(wù)，構(gòu)建國密整體建設(shè)方案；以密碼基礎(chǔ)設(shè)施為依托，搭建密碼產(chǎn)品體系；全面滿足國家對信息系統(tǒng)的密碼建設(shè)要求；為各類信息系統(tǒng)提供整體密碼建設(shè)方案咨詢、密碼應(yīng)用規(guī)劃、實施運維等一體化服務(wù)和產(chǎn)品。

產(chǎn)品涵蓋密碼應(yīng)用、密碼服務(wù)平臺、密碼生態(tài)三個層面，廣泛服務(wù)智慧城市、大數(shù)據(jù)、政務(wù)信息化領(lǐng)域，為政府組織、醫(yī)療、金融、互聯(lián)網(wǎng)等20+行業(yè)提供國密完整解決方案。

參考文獻：

1、《商用密碼應(yīng)用與安全性評估?》

2、GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

3、《國家政務(wù)信息化項目建設(shè)管理辦法》2019-12-30

4、《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見》2020-9-22

5、《商用密碼管理條例(修訂草案征求意見稿)》2020-8-20

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>