为什么要做密评
文章目录
前言
我国密码工作开展比较晚,推进工作不顺利,国密局 2018 年进行了密码检查,发现密码应用形势不乐观。主要体现在:
- 密码应用不广泛:未使用密码技术的系统占 75%
- 不规范:不符合标准要求,未使用合规产品、合规算法等
- 不安全:MD5、RSA1024、SHA1 等有重大风险算法仍在使用,
- 密钥管理不规范(如秘钥存在硬盘上、使用时间因子当做秘钥)等。
商用密码工作推进
“密码用的对不对、好不好,要拿测评结果来说话。”2017 年,国家密码管理局开展密评的试点工作;
☆构建设计密评体系
☆发布试行管理办法等制度文件
☆制定标准和指导文件
☆组织认定密评机构(2018 年,第一批 27 家)
☆对重要领域信息系统开展密评试点(全国数百个系统)
☆中国密码协会下成立密评联委会(行业自律组织,进行行为规范、标准约束等工作)
☆认定更多密评机构
☆国家出台各种法律、行政法规、条例推动密码工作执行,密码项目逐渐增多
一、政策依据
- 商用密码管理条例,国务院发布,1999 年 10 月 7 日发布之日起实施。
- 《中华人民共和国电子签名法》2005 年 4 月 1 日起实施
以及 网络安全法:
-
2015 年中办、国办发布《关于加强重要领域密码应用的指导意见》(厅字 2015.4 号),要求各行业、部委梳理密码应用需求并制定《行业规划》;
-
密码法有法可依 2020 年 1 月 1 日期开始实施的《中华人民共和国密码法》
-
国办《关于印发国家政务信息化项目建设管理办法的通知》〔2019〕57 号,2020 年 2 月 1 日正式实施。
☆对政务信息系统进行密评工作;
☆三同步一评估:同步规划、同步建设、同步运行密码障系统并定期进行密码应用安全性评估;
☆密评报告作为验收必要材料;
☆不符合密码应用和网络安全要求的政务信息系统,不安排维护经费。 -
国密局配合 57 号文发布《国家密码管理局关于请进一步加强国家政务信息系统密码应用与安全性评估工作的函》(国密局函【2020】119号)
☆新建项目:三同步一评估
☆ 在建系统:验收前开展密评工作
☆已建系统:不要求有密评通过的结论,进行密评,根据密评结论进行进一步规划、改造 -
《贯彻落实网络安全等保制度和关保制度的指导意见》公网安[2020]1960 号
-
《商用密码管理条例(修订草案征求意见稿)》