公司

首頁 > 關于我們 > 安恒動態 > 2022 > 正文

推進國密改造，安恒信息助力密評“大考”

閱讀量：次

密碼是保障網絡與信息安全的核心技術和基礎支撐，是解決網絡與信息安全問題最有效、最可靠、最經濟的手段，在我國革命、建設、改革各個歷史時期，都發揮了不可替代的重要作用。

2022年，“密評”（即“商用密碼應用安全性評估”）成了各行業關注的熱詞。在《密碼法》的要求下，在國標《信息安全技術信息系統密碼應用基本要求》（GB/T 39786-2021）的指導下，各地各行業積極、嚴謹地開展密評工作，將是推動密碼應用的良好開端。各行業紛紛出臺了相關標準、要求，將密評工作提上日程，關鍵信息基礎設施、政務信息系統、等保三級以上信息系統建設，都要“過密評”。

今天，安恒信息從密碼專業領域來解讀2022年商用密碼安全性評估（簡稱“密評”）那些事兒。

什么是密評

商用密碼應用安全性評估（簡稱“密評”）是指針對采用商用密碼技術、產品和服務集成建設的網絡和信息系統應用的合規性、正確性、有效性進行評估。

合規性：使用密碼算法、密碼協議、密鑰管理符合國家法律法規和標準規定，密碼產品或服務經過國家密碼管理局核準和認證機構認證合格。

正確性：密碼算法、密碼協議、密鑰管理、密碼產品或服務使用正確，即按照密碼相關的國家和行業標準進行正確設計和實現，密碼產品和服務的部署、使用正確。

有效性：密碼保障系統在系統運行過程中能夠發揮實際效用，保障信息系統的安全需求，解決信息系統面臨的安全問題。

遵循的技術標準

《信息安全技術信息系統密碼應用基本要求》（GB/T 39786-2021）是貫徹落實《中華人民共和國密碼法》，指導我國商用密碼應用與安全性評估工作開展的綱領性、框架性標準。中國密碼學會密評聯委會發布并持續更新依照GB/T 39786-2021開展密評的系列指導文件，目前包括5項：

01 ?GM/T 0115-2021《信息系統密碼應用測評要求》

02 ?GM/T 0116-2021《信息系統密碼應用測評過程指南》

03 《信息系統密碼應用高風險判定指引》

04 《商用密碼應用安全性評估量化評估規則》

05 《商用密碼應用安全性評估報告模板（2021版）》

密評的基本要求和程序設計

范圍要求

法律、行政法規和國家有關規定要求使用商用密碼進行保護的網絡與信息系統，其運營者應當使用商用密碼進行保護，制定商用密碼應用方案，配備必要的資金和專業人員，同步規劃、同步建設、同步運行商用密碼保障系統并定期進行密評。

機構性質

密評機構應當經國家密碼管理局認定，依法取得商用密碼檢測機構資質，且資質認定業務范圍載明“商用密碼應用安全性評估”。

實施要求

包含方案測評、系統測評、運營者支持配合義務、結果備案等。

信息系統密碼應用基本要求

如何通過“密評”

需要從實際業務需求出發，根據GB/T 39786要求的物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、安全管理制度、人員管理、建設運行及應急處置等層面，進行密碼應用需求分析，規劃密碼應用方案，搭建符合密評要求的密碼服務平臺。

某省地礦測繪院案例解析

安恒信息基于某省地礦測繪院的實際業務需求，結合云平臺架構情況，根據實際安全需求編制密碼應用方案，并針對性選擇密碼產品實現方案中所述的密碼應用措施，助力該省地礦測繪院高分通過密評。

\? 政策背景

●?國家要求：2019年12月30 日國辦發布《國家政務信息化項目建設管理辦法》要求：“同步規劃、同步建設、同步運行密碼保障系統并定期進行密碼應用安全性評估”（三同步一評估）對于不符合密碼應用和網絡安全要求，或者存在重大安全隱患的政務信息系統，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統。

●?公安部要求：2020年9月22日，公安部印發《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》要求：第三級及以上網絡在規劃、建設和運行階段充分考慮符合要求的密碼產品及服務，并在網絡安全等保測評中同步開展商用密碼應用安全性評估工作（三級系統要用密碼過密評）

●?國家密碼管理局要求：2020年8月20日發布的《商用密碼管理條例(修訂草案征求意見稿)》要求：非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統，其運營者應當使用商用密碼進行保護，同步規劃、同步建設、同步運行商用密碼保障系統，自行或委托商用密碼檢測機構開展商用密碼應用安全性評估。

●國家密碼管理局要求：《商用密碼應用與安全性評估》第二章第十條關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統，每年至少評估一次。

\? 項目需求

●?根據云平臺架構與業務系統需求，搭建密碼資源池，建設統一的密碼服務平臺

●?需滿足信息系統的商用密碼應用安全性評估的要求。

●?各類密碼服務能夠滿足不同系統的現狀，盡可能避免業務系統改造。

●?需要實現對各租戶密碼資源的可視化管理，提升運維及管理工作效率。

\? 解決方案

針對于政務云平臺上多云、多機房、多系統的現狀，統籌建設標準化、集約化的密碼服務平臺，在每朵云的機房內，各自部署密碼資源池，通過密碼能力的封裝，向云上的各類系統提供多樣化的密碼服務，滿足密評的要求，實現密碼資源的統一管理與監管。

\? 四大管理功能

●?租戶權限分級管理：根據不同單位的權限劃分，提供密碼資源的權限分級設置，實現本單位內對密碼服務平臺的系統管理、服務管理、狀態管理功能。

●?密碼資源動態調度：聚焦業務需求，利用平臺化手段實現密碼能力的整合、復用，實現各類密碼服務及密碼計算資源按需分配、動態調度，靈活調整密碼資源池中的密碼資源與信息系統的對應關系，滿足信息系統的簽名/驗簽、加密/解密等密碼需求。

●?資源狀態監測預警：支持密碼資源監測功能，能夠準確度量密碼服務平臺的各項指標，量化說明CPU、帶寬、硬盤等各個密碼資源的使用情況；提供自動報警服務。

●?密碼資源統計分析：能夠根據不同用戶單位的政務信息系統對各項密碼服務的使用情況，提供平臺運行態勢的全景展示，并形成相關數據分析圖表。

\? 客戶價值

●滿足云上系統與云平臺自身對于商用密碼應用安全性評估的需求。

●構建了“集約化”的理念，減少了各單位為滿足密碼應用安全性評估的需要而重復投資密碼基礎設施，避免了安全系統的重復建設，節省密碼應用領域的建設成本。

●提供了輕量化改造模式，能夠應對多樣化的信息系統，滿足不同應用在密評上的需求，減少系統二次改造的成本。

支持彈性擴容，能滿足功能不斷擴展以及系統容量和用戶數量不斷增長的要求，使業務系統不會因將來內容和功能上的擴充而導致數據安全需求無法滿足的情況。

\? 四大效益

●?利用平臺化手段實現密碼能力的整合、復用，提供各類密碼服務，實現密碼資源按需分配、彈性擴容。

●?通過建設標準統一、集約化的共性安全支撐平臺，減少基礎設施重復投資，避免安全系統重復建設。

●?實現密碼業務的融合協同、應用的快速開發部署、安全的整體防護、資源的統一調配與管理，極大的降低了開發、運營和運維成本。

●?通過統籌設計云上系統的密碼安全體系，盡可能消除云平臺信息系統的安全隱患，保障大數據行業運行質量和安全。

密碼服務平臺目前已經在多個地級市數據資源管理局得到應用和實踐。通過密碼服務平臺建設，打造行業標桿項目，各省市的大數據資源管理局提供借鑒意義，進行廣泛推廣。包括推廣至醫療、教育、金融等客戶。

關于我們

安恒信息子公司弗蘭科信息，專注于密碼領域，聚焦密碼功能服務，構建國密整體建設方案；以密碼基礎設施為依托，搭建密碼產品體系；全面滿足國家對信息系統的密碼建設要求；為各類信息系統提供整體密碼建設方案咨詢、密碼應用規劃、實施運維等一體化服務和產品。

產品涵蓋密碼應用、密碼服務平臺、密碼生態三個層面，廣泛服務智慧城市、大數據、政務信息化領域，為政府組織、醫療、金融、互聯網等20+行業提供國密完整解決方案。

參考文獻：

1、《商用密碼應用與安全性評估?》

2、GB/T39786-2021信息安全技術信息系統密碼應用基本要求

3、《國家政務信息化項目建設管理辦法》2019-12-30

4、《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》2020-9-22

5、《商用密碼管理條例(修訂草案征求意見稿)》2020-8-20

關閉

AI+安全>

數據安全>

數據基礎設施>

態勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網絡空間靶場>

工業互聯網安全>