随着信息技术的飞速发展,网络安全形势愈发严峻,各种安全威胁来势汹汹,勒索软件、数据泄露等各种安全事件层出不穷。我国面临的网络安全问题同样严峻。而商用密码是保障网络空间安全的根本性核心技术和基础支撑,因此,更加标准和规范的管理和使用密码技术就显得尤为重要。实现这一目标的唯一途径是发展先进的密码评估技术,并建立完善的密码检测和认证系统。那么到底什么是密码应用安全性评估?哪些信息系统需要做密码安全性评估?跟着小编一起来了解一下吧。
01、什么是密码应用安全性评估?
密码应用安全性评估简称密评,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
密码应用安全性评估不仅对规范密码应用具有重大意义,同时对维护网络与信息系统密码安全,切实保障网络安全,都具有不可替代的重要作用。
02、为什么开展密码应用安全性评估?
一是,改变商用密码应用不足的现状,确保商用密码在网络和信息系统中有效使用,补足商用密码应用短板,切实构建起坚实可靠的网络安全密码屏障。
二是,国家法律法规要求。
相关法律法规
《中华人民共和国密码法》第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
第三十七条第一款规定:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第十五条项目建设单位应落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。
第二十八条第三款也有提到:对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
《信息系统密码应用基本要求》GM/T0054-2018,五、安全管理,(三)实施,3.运行,1)等级保护第三级信息系统要求:a)信息系统投入运行前,应经密码测评机构进行安全性评估,评估通过方可投入正式运行。b)信息系统投入运行后,责任单位每年应委托密码测评机构开展密码应用安全性评估,并根据评估意见进行整改;有重大安全隐患的,应停止系统运行,制定整改方案,整改完成并通过评估后方可投入运行。
此外,全国各地方也在不断将密码应用要求纳入行业管理规范、工作计划。如近两年印发的《广东省政务信息化项目建设管理办法》《河北省省级政务信息化项目建设管理办法》《河南省政务云管理办法》《江西省政务信息化项目建设管理办法》《吉林省政务信息化项目建设管理办法》《广西政务信息化项目建设管理办法》,均提到了要按要求采用密码技术和定期开展密评。
03、哪些信息系统需要做密码安全性评估?
涉及国家安全和社会公共利益的重要领域网络和信息系统,重要领域网络和信息系统。主要包括:
基础信息网络:电信网、广播电视网、互联网等。
重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。
重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的信息系统
04、密码安全性评估的多久做一次?
定期委托密评机构对系统开展密评,网络安全等级保护第三级及以上的政务信息系统,每年至少开展一次。另外,《中华人民共和国密码法》中提出商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
标签:信息系统,密码,密评,应用,商用,安全性,评估 From: https://blog.51cto.com/u_15899913/6106284