商用密码应用安全性评估与0054标准

2019-07-11 11:24:45 作者:佚名 出处 :

  什么是商用密码应用安全性评估(以下简称“密评”)?

  密评是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估的活动。

  密评是对密码应用安全的评估,立足系统安全、体系安全和动态安全,对包括密码算法、密码协议和密码设备等进行整体安全性评估。

  密码应用正确、合规、有效,是网络和信息系统安全的关键所在,因此密评要做到合规、正确和有效。

  开展密评,对于规范密码应用,切实保障网络安全,具有不可替代的重要作用。

  开展密评,是适应改革要求,提升商用密码科学化、规范化管理水平的关键举措。

  通过开展密评,能够更好发挥密码在保障网络和信息系统安全中的核心支撑作用。

  通过开展密评,确保新技术、新应用的密码安全,是推动科技创新的有力支撑。

  什么是0054?

  我们通常说的0054是国密标准《GM/T 0054-2018 信息系统密码应用基本要求》的标准发布顺序号,该标准由国家密码管理局于2018年2月8日发布并实施。

  0054标准中主要包括总体要求、密码功能要求、密码技术应用要求、密钥管理和安全管理。

  其中总体要求包括:密码算法、密码技术、密码产品和密码服务;密码功能要求包括:机密性、完整性、真实性和不可否认性;密码技术应用要求包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;密钥管理包括密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程;安全管理包括制度、人员、实施和应用。

  其中,密码技术应用要求、密钥管理和安全管理针对等级保护不同级别的信息系统分别有不同的要求。

  密评与0054

  密评主要按照《GM/T 0054-2018信息系统密码应用基本要求》等标准,对信息系统的规划、建设、运行三个阶段的密码应用情况进行安全性评估。

  信息系统规划阶段:组织专家或者委托具有相关资质的测评机构评估密码应用是否是依据商用密码技术标准,制定的商用密码应用建设方案。

  信息系统建设阶段:委托具有相关资质的测评机构进行商用密码应用安全性评估,评估结果作为项目建设验收的必备材料,评估通过后,方可投入运行。

  信息系统运行阶段:委托具有相关资质的测评机构定期开展商用密码应用安全性评估,评估未通过,网络运营者应当限期整改并重新组织评估。其中,关键信息基础设施、网络安全等级保护第三级及以上信息系统每年至少评估一次。

  关于海泰方圆:

  北京海泰方圆科技股份有限公司( 简称“海泰方圆”) 是一家以密码技术为核心,以网络安全和数据管理为两翼的新一代信息安全企业。公司以密码、数据(电子文件)、安全浏览器、智能安全终端四大业务板块为基础,以市场需求为导向,为客户提供综合解决方案及服务,是国内领先的自主可控商用密码综合解决方案及服务提供商,是国内电子文件管理的先行者和可信数据资产管理的倡导者。

  海泰方圆的客户遍布近30个部委及中央机关、20个省市自治区100多个地市近5万个政府机关、100多家银行/证券等金融机构、国防科工局11大军工集团近1000家院所。在北京、天津均设有研发中心,下设多个子公司和区域办事处,服务覆盖全国。