简称“密评” 二、商用密码应用安全评估是什么? 哪些单位需要开展密评工作?

商用密码应用安全性评估“十问十答”
本文转载自 商用密码应用安全性评估“十问十答”。
一、什么是商用密码,为什么要使用商用密码?
密码分为核心密码、普通密码和商用密码 。我们日常生活中接触到的多是商用密码 。工作中,网上办公、缴税纳税等过程都有商用密码在起作用 。生活中,第二代居民身份证就通过商用密码技术保证认证一致,购买火车票、网络购物等在线支付全过程都有商用密码的保护 。
商用密码,是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品 。其中,商用密码技术,是保障信息安全的核心技术 。从功能上看,主要包括加密保护技术和安全认证技术;从内容上看,主要包括密码算法、密钥管理和密码协议 。商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品,即承载密码技术、实现密码功能的实体 。按照形态划分,商用密码产品分为六类,即软件、芯片、模块、办卡、整机、系统;按照功能划分,商用密码产品分为七类,即密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类 。
密码是网络信任体系的重要基石,是目前世界上公认的,保障网络与信息安全最有效、最可靠、最经济的关键核心技术 。《网络安全法》、《密码法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规均不同程度地提到要使用商用密码 。在信息互联时代,密码除传统加密外,体现在身份认证、权限管理、访问控制等 。数字经济时代,密码的作用不断扩展到数据流通、数据共享等新维度,密码技术自身也需要持续革新 。
二、商用密码应用安全评估(简称“密评”)是什么? 哪些单位需要开展密评工作?
“密评”是指采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估 。
国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、等保三级及以上系统、国家政务等重要信息系统要开展密评工作 。并且,密评管理办法也明确规定:关键信息基础设施、网络安全等级保护第三级及以上信息系统,需要每年至少评估一次 。
三、不做密评或测试结果不合格会有哪些影响呢?
首先,是《密码法》第三十七第一款指出:关键信息基础设施的运营者未按照要求使用商用密码,或者未按照要求开展密评的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,将处十万以上一百万元以下罚款 。
【简称“密评”二、商用密码应用安全评估是什么? 哪些单位需要开展密评工作?】《国家政务信息化项目建设管理办法》第二十八第三款也有提到:对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统 。

简称“密评”  二、商用密码应用安全评估是什么? 哪些单位需要开展密评工作?

文章插图
四、密评在密码应用部署过程中所处的位置,全过程涉及的参与方有哪些?
项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估 。
五、密评主要由哪些机构开展?
从事密评活动的机构(简称“密评机构”),应当经过国家密码管理部门认定,依法取得商用密码检测机构资质 。