商用密码安全性评估
一、密码测评业务介绍
1.商用密码应用安全性评估业务:
针对系统商用密码应用设计方案及已建成的系统,依据《信息系统密码应用基本要求》(GM/T 0054-2018)、《信息系统密码测评要求》及《商用密码应用安全性评估测评过程指南(试行)》等标准规范,从总体要求、密码功能要求、密码技术应用要求(包括:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全)、密钥管理以及安全管理五个方面进行密码应用安全性评估,并出具测评报告。
2.信息系统密码应用方案设计、咨询、评估业务:
在系统规划阶段,依据《信息系统密码应用基本要求》(GM/T 0054-2018)等标准规范,从总体要求、密码功能要求、密码技术应用要求(包括:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全)密钥管理以及安全管理五个方面进行商用密码应用安全方案设计。
3.商用密码应用安全培训业务:
密码应用安全意识培训、密码应用安全性评估(密码测评)相关工作介绍等密码相关培训。
三、密码测评意义
商用密码应用安全性评估主要对重要信息系统和关键信息基础设施(CII)的密码安全进行整体的专项测试和综合评估,以形成科学准确的评估结果,评估涉及密码算法、协议、产品、技术体系、密码管理、密码与应用结合等诸多方面。通过以评促改、以评促用,逐步规范网络运营者的密码使用和管理行为,最终确保密码在重要信息系统和关键信息基础设施中使用的正确、合规、有效。商用密码应用安全性评估工作是密码检测认证体系的重要组成部分,也是《密码法》和中央有关文件的明确要求,是落实总体国家安全观和网络强国战略的具体行动,是深入推进重要领域密码应用的必然要求。
四、密码测评应用范围
依据《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》,下列单位系统需要进行密码测评:
信息网络:电信运营商、广播电视、互联网服务提供商、数据中心
信息系统:金融、科学、教育、卫生、文化、社保、环保、交通
服务系统:政府门户网站、企业的互联网+服务平台、各类票务销售系统
工控系统:石油化工、城市水务、电力系统、燃气管网、交通运输、民用航空
五、参考依据
《信息系统密码应用基本要求》
《信息系统密码测评要求》
《信息安全等级保护商用密码管理办法》
《信息安全等级保护商用密码技术实施要求》
《信息安全等级保护商用密码技术要求》使用指南
六、合作客户
服务客户涉及:政府机关、金融证券、医疗卫生、教育科研、大型企业、互联网行业等多个领域。