Δ
为什么要过密评?
密评天天说,但为什么要过密评?不过密评又会怎么样呢?今天,轻松过密评小课堂,就来聊聊这个话题。
1、为什么要做密评?
密评全称:商用密码应用安全性评估
定义:对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
为什么要做密评?要从目前密码应用的几个问题说起。
• 密码应用不广泛:
2017年以来,通过全国开展密评工作,90%甚至95%的信息系统不满足密码应用要求,大量数据没有使用密码技术保护,处于“裸奔”状态。
• 密码应用不规范:
未使用合规密码产品
软件实现的密码策略
合规的密码产品但配置不合理
• 密码应用不安全:
大量在使用MD5、SHA1、DES等已被警示有风险的密码算法。
因此,开展密评是应对网络安全严峻形式的迫切需要。确保商用密码在网络与信息系统中的有效使用,有效抵御网络攻击,切实构建起坚实可靠的网络空间安全密码屏障。
2、必做密评的六个原因
• 政策要求:
《密码法》、国办发57号文等要求信息系统要开展密码应用安全性评估
• 行业监管:
通过行业主管部门的监管,要求行业单位需要通过密评,提高系统安全防御能力,如金融、医疗等
• 等保延伸:
等保可以解决网络监控、边界防护、集中安全管理、访问控制、安全审计等,密评可进一步有效解决数据传输和存储机密性及完整性、数据来源真实可信、操作行为不可否认
• 安全需求:
保证数据机密性、完整性、来源真实性等
• 业务属性:
情报板、网站等防篡改、电子合同、电子票据等防篡改及否认、网上交易、医疗健康等防泄漏
• 数据合规:
《数据安全法》出台,加快我国数据安全合规的进程,通过密码可以为数据采集、存储、整合、呈现与使用、分析与应用、归档和销毁全生命周期保驾护航
3、不做密评的后果
• 密码法 第三十七条
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
• 国办发57号文 第二十八条
加强国家政务信息化项目建设投资和运行维护经费协同联动……对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
• 数据安全法 第四十五条
拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
4、什么时候开展密评?
对于新建系统
• 规划阶段∶
根据系统网络安全保护等级,参照编制密码应用方案,并组织密码专家或委托密评机构进行评估,通过后方可建设。
• 建设阶段∶
委托系统集成单位严格按照通过密评的密码应用方案开展工程实施,建设密码保障体系。
• 验收阶段∶
委托密评机构对密码应用系统进行密评,合格后方可组织验收运维阶段∶ 定期委托密评机构对系统开展密评, 网络安全等级保护第三级及以上的政务信息系统,每年至少开展一次。
对于已建系统
• 差距评估及改造规划∶
根据系统网络安全保护等级,组织系统集成单位、密评机构进行信息化系统差距分析,组织编制密码应用方案,并组织密码专家或委托密评机构进行评估,通过后方可建设实施
• 改造实施:
委托系统集成单位严格按照通过评估的密码应用方案开展工程实施,建设密码保障体系。
• 验收阶段∶
委托密评机构对密码应用系统进行密评,合格后方可组织验收运维阶段定期委托密评机构对系统开展密评,网络安全等级保护第三级及以上的政务信息系统,每年至少开展一次。
为什么要过密评,简单地来说,这是相关法律法规的明确要求,不过密评,就会受到相应的处罚。相关单位、行业对照自身信息系统建设情况,符合要求的,及时积极的开展密评;不符合要求的,积极主动的开展密改,做到符合国家政策要求,同时也保障自身信息系统的安全性。
作为全国领先的商用密码创新应用企业,信长城自主研发的商用密码合规解决方案,可基于现有密码应用现状,为用户量身打造一套符合国家密码管理局相关要求的密码应用体系。并通过自有符合国家标准规定的一系列商密产品,实现新老场景免改造或轻改造,帮助用户快速完成密码算法及密码应用方式的改造。
密评到底“评”什么?
随着网络信息安全意识的不断提升,金融、电信、能源、教育、公安、交通等在内的各类基础信息网络和重要信息系统都面临“密评”大考。
那么密评的重点在哪里?具体要评测哪些方面?本期轻松过密评小课堂,咱们就来聊聊这个【密评到底“评”什么?】
商用密码应用安全性评估的三个重点
密评重点涵盖了密码应用安全的三个方面,分别是合规性、正确性、有效性。这也是密码应用安全性评估的重点。
• 1 商用密码应用合规性评估
主要指判定网络和信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求。网络和信息系统使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。
• 2 商用密码应用正确性评估
主要指判定密码算法、密码协议、密钥管理、密码产品和密码服务是否使用正确,即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的国家和行业密码标准进行正确的设计和实现;自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求,密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。
• 3 商用密码应用有效性评估
主要指判定网络和信息系统中的密码保障系统是否在网络和信息系统运行过程中发挥了实际效用,是否满足了 信息系统的安全需求,是否切实解决了信息系统面临的安全问题。
商用密码应用安全性评估的主要对象
根据《商用密码应用安全性评估管理办法(试行)》第三条、第二十条:
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系,实施商用密码应用安全性评估。
重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统、以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
• 基础信息网络:电信网、广播电视网、互联网;
• 重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统;
• 重要工业控制系统:核设施、航天航空、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工控系统;
• 面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
商用密码应用安全性评估的政策指导
为规范密评工作,国密局制定印发了《商用密码应用安全性评估管理办法(试行)》、《商用密码应用安全性测评机构管理办法(试行)》、《商用密码应用安全性测评机构能力评审实施细则(试行)》等相关管理文件;还组织编制了《信息安全技术信息系统密码应用基本要求》标准、《信息系统密码应用基本要求》标准,以及《信息系统密码测评要求(试行)》、《商用密码应用安全性评估测试过程指南(试行)》、《商用密码应用安全性评估测评作业指导书(试行)》、《商用密码应用安全性评估测评工具使用需求说明(试行)》等指导性文件,主要用于指导测评机构规范有序开展评估工作。
其中,GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》作为指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准,于2021年10月1日正式实施。该标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求,以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。
商用密码应用安全性评估的主要内容
商用密码应用安全性评估所涵盖的测评单元包括物理和环境安全层面、网络和通信安全层面、设备和计算安全层面、应用和数据安全层面,涉及的测评指标体系详见下图所示。
用安全性评估管理层面测评涉及到的测评内容包括制度管理制度、人员管理、建设运行、应急处置四个方面,各项测评内容的测评指标体系详情如下图所示。
信长城是国内领先的商用密码创新应用企业,一直积极推动密码产业发展。自主研发的10余款商密产品,均通过国密局检测并取得型号。凭借着雄厚的研发实力和技术积累,2021年,信长城推出专门针对于密评场景的商用密码合规解决方案,可基于责任主体现有密码应用现状,为用户量身打造一套符合密评要求的密码应用体系,帮助责任主体快速完成国密合规改造,顺利通过密评。目前,信长城商用密码合规解决方案已经在公安、运营商、政府、军队、电力、汽车、交通、互联网及教育等多行业、多场景成功落地,帮助责任主体顺利完成合规改造,并高分通过测评。
未来,信长城将继续深耕密码安全领域,助力密码技术在政务、教育、电力、交通等领域的合规应用,为网络信息安全保驾护航。
密评政策知多少?
近年来,信息化、网络化、数字化程度不断加深,密码技术已经渗透到了社会生产生活各个方面,重要网络和信息系统、关键信息基础设施、数字化平台都离不开密码的保护。许多行业主管部门近年也出台了一系列政策文件,对密码应用及商用密码应用安全性评估提出了明确的要求。特别是2022年国务院发布《“十四五”数字经济发展规划》,各行业进一步加强密码应用工作在行业的落地,切实防范重要信息系统安全风险,助力网络强国建设。
政务
关于加强数字政府建设的指导意见
【发布日期】2022年06月06日
【发布单位】国务院
加强关键信息基础设施安全保护和网络安全等级保护,建立健全网络安全、保密监测预警和密码应用安全性评估的机制,定期开展网络安全、保密和密码应用检查,提升数字政府领域关键信息基础设施保护水平。
国家政务信息化项目建设管理办法
【发布日期】2019年12月30日
【发布单位】国务院
建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。
对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
全国一体化政务服务平台移动端建设指南
【发布日期】2021年09月29日
【发布单位】国务院
各地区和国务院有关部门要综合利用密码技术、安全审计等手段强化本地区本部门政务服务平台移动端安全保障和风险防控能力,构建全方位、多层次、一致性的防护体系,切实保障全国一体化平台移动端安全平稳高效运行。
金融
金融标准化“十四五”发展规划
【发布日期】2022年1月23日
【发文单位】中国人民银行
健全金融业网络安全与数据安全标准体系。建立健全金融业关键信息基础设施保护标准体系,支持提升安全防护能力。加强金融网络安全能力评估、风险排查、安全防御、漏洞管理等标准建设,助力提升网络安全威胁发现、监测预警、应急处置、攻击溯源能力。推动金融信息科技外包服务评价、金融机构安全运营中心建设、金融数据分级、生命周期安全与评估、商用密码应用等标准供给与实施。
关于预防银行业保险业从业人员金融违法犯罪的指导意见
【发布日期】2020年02月24日
【发布单位】中国人民银行
银行保险机构要制定内部网络安全管理制度和操作规程,建立监督制约机制,确保制度得到刚性执行。加强数据安全管理,严格控制数据授权范围,实现数据分类、重要数据备份和加密。
交通
车联网安全和数据安全标准体系建设指南
【发布日期】2022年2月25日
【发布单位】工业和信息化部
总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准,包括术语和定义、总体架构、密码应用等3类标准。
密码应用标准主要规范车联网密码应用通用要求,明确数字证书格式、数字证书应用、设备密码应用等要求。
交通领域科技创新中长期发展规划纲要(2021—2035年)
【发布日期】2022年3月25日
【发布单位】交通运输部 科技技术部
围绕全面提升智慧交通发展水平,集中攻克交通运输专业软件和专用系统,加快移动互联网、人工智能、区块链、云计算、大数据等新一代信息技术及空天信息技术与交通运输融合创新应用,推动交通运输领域商用密码创新应用,加快发展交通运输新型基础设施。
能源
“十四五”现代能源体系规划
【发布日期】2022年1月29日
【发布单位】国家能源局
网络安全管控。加快推进电力监控系统安全防护体系完善工程、电力信息系统密码基础设施建设工程、北斗时空基础设施应用及智能化运营体系工程建设,开展北斗时频网建设,推进重点企业电力北斗综合服务平台建设和终端应用试点。建成电力行业网络安全态势感知平台和全业务、分布式、高仿真的电力行业网络安全仿真验证环境。
电力行业网络安全管理办法(修订征求意见稿)
【发布日期】2022年6月12日
【发布单位】国家能源局
电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全等级保护测评、关键信息基础设施安全检测和风险评估、商用密码应用安全性评估和网络安全审查等工作,未达到要求的应当及时进行整改。
电力行业网络安全等级保护管理办法(修订征求意见稿)
【发布日期】2022年4月16日
【发布单位】国家能源局
电力监控系统网络安全等级保护测评工作应当与电力监控系统安全防护评估、关键信息基础设施网络安全检测评估、商用密码应用安全性评估工作相衔接,避免重复测评。
水利
“十四五”水利科技创新规划
【发布日期】2021年12月31日
【发布单位】水利部
水利关键信息基础设施网络安全技术。开展水利关键信息基础设施网络安全防护体系研究,构建网络安全监控平台,研制安全可控的水利关键信息基础设施核心装备,并基于国产密码技术开展数据安全防护研究。
研究建立水利关键信息基础设施网络安全防护体系架构,构建网络空间安全挂图作战一体化监控平台,研制国内领先的水利关键信息基础设施核心装备,创新发展基于风险管控的数据安全治理方法,提升水利关键信息基础设施安全防护能力。
医疗
药品监管网络安全与信息化建设“十四五”规划
【发布日期】2022年4月24日
【发布单位】国家药监局
加强网络安全保障管理。完善网络安全保障体系,健全网络安全管理制度,开展信息系统安全等级保护备案与信息安全等级保护测评、关键信息基础设施安全保护、密码应用安全性评估等工作。依据《网络安全法》《密码法》等法规,落实《关键信息基础设施安全保护条例》,贯彻网络安全工作责任制,进一步完善大安全体系。
工业
关于促进钢铁工业高质量发展的指导意见
【发布日期】2022年01月20日
【发布单位】工业和信息化部
大力发展智能制造。开展钢铁行业智能制造行动计划,推进5G、工业互联网、人工智能、商用密码、数字孪生等技术在钢铁行业的应用。
落实网络安全主体责任,大力提高商用密码应用安全,提升工业控制系统安全防护水平,制定应急响应预案,积极应对新兴技术融合带来的安全挑战。
工业和信息化领域数据安全管理办法(试行)(征求意见稿)
【发布日期】2022年2月10日
【发布单位】工业和信息化部
【数据存储】工业和电信数据处理者应当依据法律规定或者与用户约定的方式和期限存储数据。存储重要数据的,还应当采用校验技术、密码技术等措施进行安全存储,不得直接提供存储系统的公共信息网络访问,并实施数据容灾备份和存储介质安全管理。存储核心数据的,还应当实施异地容灾备份。
物联网
物联网新型基础设施建设三年行动计划(2021—2023年)
【发布日期】2021年09月10日
【发布单位】工业和信息化部
强化安全支撑保障。加快物联网领域商用密码技术和产品的应用推广,建设面向物联网领域的密码应用检测平台,提升物联网领域商用密码安全性和应用水平。
邮政
“十四五”邮政业发展规划
【发布日期】2021年12月28日
【发布单位】国家邮政局
加强网络数据安全。严格落实网络安全工作责任制,完善行业网络安全、数据安全有关标准规范。在网络建设和运营过程中,同步规划、建设、使用有关安全保护措施,严格落实国家关于等保、关保、密评等有关要求。加强行业关键信息基础设施保护,组织编制相关规划,强化行业指导和监督。加强行业重要数据和个人信息保护。
事实上,除上述行业外,教育、公安、住建、卫生计生等领域主管部门,均制定了本领域密码应用总体规划或工作方案,明确要求使用符合国家密码法律法规和标准规范的密码算法和密码产品,实现密码在本领域的全面应用。
密评怎么“评”?
商用密码应用安全性评估的流程
密评工作总共分为:申请、审批、建设、评估、报备五个步骤。
首先,由信息系统责任单位(甲方)提出开展密评工作的申请。如开展过密评工作则直接对该系统密码应用的安全性进行评估;如未开展密评工作,则需要确定该系统是否为新建系统,以此决定密码从业单位编制密码应用建设方案还是密码应用改造方案。
形成具体的建设/改造方案后,由相关专家组对方案进行评审。待方案通过评审,信息系统建设单位(密码集成商/密码厂商)就会开展系统密码应用的建设工作。建设完成后,由第三方密评机构对建设后的密码应用安全性进行评估(三级及以上的系统需要每年开展密评工作)。
评估工作通过后则由密评机构编制《密码应用方案评估报告》、《密码应用安全性评估报告》,并由信息系统责任单位将相关评估报告送至主管部门、密码管理部门进行报备(三级及以上系统还需要到当地公安机关进行备案)。评估不通过,则该系统针对不符合标准的地方进行整改,直至通过安全性评估。
密码应用安全性评估工作参与方及职责
从上面的密码安全性评估流程可知,在商用密码整体应用中,共有网络与信息系统责任单位、密码集成商/密码厂商、测评机构、密码管理部门四大角色。
• 信息系统的责任单位
信息系统的责任单位即甲方,作为信息系统的责任主体,主要负责信息系统同步规划、同步建设、同步使用以及定期评估的相关协调工作,工作内容包括:协调配合方案的编制与评估、相关评估报告的上报与备案以及定期组织商用密码应用安全性评估工作的开展等。
• 密码集成商/密码厂商
是商用密码整体应用的建设主体。在受到责任单位的委托后,对信息系统的密码应用现状进行调研评估,编制密码应用建设/改造方案,并严格按照方案内的标准规范进行实施,确保方案实施的合理性和内容的完整性可以通过评审。
• 密评机构
主要责任是根据相关的密评国标要求,对建设完成的系统开展相关的密评工作,评估完成后出具相应的评估报告,并将评估结果上报国密局进行备案。
• 密码管理部门
作为密评工作的主管部门,主要是针对系统责任单位上报的评估报告进行审核,并对审核的结果进行备案归档,并在密评工作完成后,进行不定期的监督指导和检查工作。
其中,密码集成商/密码厂商的技术水平和能力直接决定商用密码应用的效果。因此,密码集成商/密码厂商实际上承担着三种角色:
• 密码应用方案的撰写者
商用密码保障系统应随着项目同步规划、同步建设、同步运行,并定期开展商用密码安全性评估,其中密码应用建设方案是前提条件。
商用密码应用方案应包括密码应用解决方案、密码实施方案、密码应急处置方案三个部分组成。
• 密码产品的实施者
在系统实施过程中,实施者要根据商用密码应用方案的要求,完成设备的采购、部署、联调、测试、上线等工作。尤其是涉及不同密码设备厂家的产品,及时协调厂商进行适配。
• 商密安全性评估的配合者
在开展商密安全性评估过程中,应配合测评单位进行安全性评估,提供网络架构图和实施文档,评估商密测评对整个项目带来的风险。
如何选择密码集成商/密码厂商?
既然作为建设单位的密码集成商/密码厂商如此重要,那如何选择呢?可以参考以下择优标准:
01 熟悉国产密码升级改造的要求
有成熟的方案实施经验,了解《网络安全法》《数据安全法》《密码法》等相关法律法规中的合规性要求。
02 熟悉待改造的系统技术细节
能够提供全流程服务,从前期调研、后期实施,全面掌握信息系统的情况,技术改造的问题,把握最终改造的细节。
03 解决密码产品、集成产品系统性能问题
信息系统较为复杂,商密改造困难较大。因此,对已建系统的商密改造,需要注意系统兼容性问题,产品适配性强。
04 熟悉密码改造的实施流程
拥有多场景多案例的改造经验,能够应对多种复杂环境,完成密码升级改造的实施工作。
信长城是国内领先的商用密码创新应用企业,一直积极推动密码产业发展。2021年,信长城推出专门针对于密评场景的商用密码合规解决方案,可基于责任主体现有密码应用现状,为用户量身打造一套符合密评要求的密码应用体系,帮助责任主体快速完成国密合规改造,顺利通过密评。
信长城商用密码合规解决方案
• 安全合规
深耕密码行业,自主研发的10余款商密产品,均符合国家密码管理局标准,具有商用密码产品认证证书
• 一条龙服务
可为客户提供专业咨询规划,综合解决方案,密码项目建设,后期运行维护全流程的服务,协助责任主体以最小成本,一次性快速通过密评
• 对业务系统改造较小
实施便捷,部署灵活,无需对原有系统进行工程化的改造,兼容支持已有的业务系统、已有的密码设备,减少密改对业务影响
• 多场景应用
已在公安、运营商、政府、军队、电力、汽车、交通、互联网及教育等多行业多场景落地应用
• 符合长远预期
不仅能满足客户现有业务系统,还能为客户未来数智化新型业务系统预埋方案
未来,信长城将继续深耕密码安全领域,助力密码技术在多行业多场景的合规应用,为网络信息安全保驾护航。
密评“义诊”课堂之“望闻问切”
密评“义诊”课堂之疑难杂症
商密合规解决方案解读
2023年3月6日,「聚力行远·创赢未来——2023年信长城渠道生态合作大会」在北京隆重举行。会议围绕密评密改背景下,密码应用的机遇与挑战,信长城渠道合作理念等主题进行开展,旨在加强信长城与合作伙伴的紧密合作,共同探讨商密合规应用的市场发展与机遇。近100家渠道合作伙伴共同参与了本次大会。
众所周知,密码作为网络安全的核心技术和基础支撑,是构建网络信任体系的重要基石。而密评工作是对网络和信息系统中商用密码应用的合规性、正确性和有效性进行检测与评估。
2021-2022年在新冠疫情流行的大环境下,商用密码产业逆势发展,总体规模达已经达到近700亿。预计,2023年整个商用密码行业规模有望破千亿。
在密改花费方面,一套系统最小化的密改方案除了采购服务器密码机、安全网关、签名验签服务器,客户端还需加上key和安全浏览器,金额总计为60万元左右。考虑到客户信息系统规模大小、功能,一般改造花费为150-250万元。
商密合规应用市场大有可为。有这么大的市场,那哪些行业要做密评呢?
2023年重点行业密码应用情况
信长城是从2021年开始进入商密合规领域,经过两年的积累和实践经验,我们总结了未来五大密评密改的重点领域。建议大家在2023年重点关注。
首先是运营商广电行业。政策上2022年底,运营商、广电行业陆续发布了针对商用密码应用安全性评估工作的通知。除此之外,不管是云平台还是云平台所在的机房都是要满足密评要求。运营商作为关键基础设施领域,内部系统也需要满足密评要求。所以,2023年这将是一个重要的市场。
第二是教育行业。今年2月,教育部发布了教育直播在线平台的密评要求,同时高校已基本完成校园信息化建设,已建立学生、人事、财务、科研等重要信息系统,支撑校内各类型教育教学管理业务开展。但是密码应用服务比较薄弱,在2021年教育部也发布了“加强新时代教育管理信息化工作的通知”,要求建立统一的校验系统密码基础设施和支撑平台。由此可见,未来很长一段时间,密码应用与教育相关场景的融合是主要方向。
第三个重点的行业是医疗卫生行业。去年及今年国家陆续发布相关政策,全面推广商用密码应用,完善医疗卫生健康行业的商用密码体系。另外分享一点,就是医院都是自建的机房,自建机房是最容易过物理和环境这一部分的,但是对于很多密改供应商来说,这块没有解决方案,而对信长城来说,却是我们杀手锏,到后面我给大家详细解说。所以医疗卫生在2023年也是重点发力的行业。
接下来是能源/电力行业。从2020年开始,能源/电力行业就陆续发布多项政策,要求各级密码管理部门对网络安全进行密码等级保护。到2022年,能源/电力行业基本上已完成密评工作,但是密改还没有施行。
最后是政务领域。2022年大部分政务系统也只进行了测评的工作,今年的主要任务就是完成商密改造工作。
密码应用技术分值如何分布?
密评覆盖多个技术点。GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》作为指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准,于2021年10月1日正式实施。该标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求。共占70分。
应用和数据安全30分:用户和管理员在访问业务系统时,需要采用密码技术进行身份鉴别,对重要业务数据传输的机密性和完整性、重要业务数据存储的机密性和完整性进行保护。
设备和计算安全10分:运维管理员在对业务系统进行运维时,需要采用密码技术进行身份鉴别,并保障网络环境中服务器、应用程序、访问记录等重要数据的完整性。
网络和通信安全20分:对业务系统网络通信实体,采用密码技术进行身份鉴别,并对传输数据进行机密性和完整性保护。
物理和环境安全10分:对重要物理区域(如:机房)出入人员采用密码技术进行身份鉴别,并对门禁进出记录、视频监控数据进行完整性保护。
如何拿到物理和环境的满分10分?
其中,物理和环境安全这10分,是最容易拿、性价比最高的10分。为什么这么说?因为物理和环境安全与业务系统没有直接关联,改造相对容易。
首先看下目前常规的物理和环境安全解决方案。物理和环境安全主要是指针对企事业单位机房的门禁和视频监控。视频监控部分,目前的常规解决方案是需要更换摄像头和NVR,这就存在兼容性的问题,更换后的产品不能用,或者还需要重新调试,实施难度大,周期长,还会影响业务系统正常运行,费用也高。
门禁方面,从密评合规角度看,目前市场上大多数的门禁改造方案,都只能算是部分合规,只满足了身份鉴别要求,未能满足进出记录完整性的要求。且都需要责任主体准备操作系统、数据库等环境,兼容性差、成本高、周期长。测评时,测评机构还需要借助第三方工具才能实现证据留存。
因此,很多企事业单位往往因为流程复杂或者经费紧张而放弃物理和环境安全的合规改造,影响最终的密评结果。
信长城针对密评场景的“物理和环境合规整体解决方案”,延续了一贯的免改造、轻改造的建设思路。视频监控安全方面,只需要将自主研发的视频安全监控一体机,串联到摄像头和NVR之间,无需更换摄像头和NVR,设备上架、通电、配置IP地址,最多半天就可完成。
门禁改造上,也只需在信长城国密门禁管理网关上集成安全模块,不需要有更改现有线路、设备就可以实现门禁系统进出记录的完整性保护,对于测评机构也非常友好,在产品后端页面直接取证,即可完成测评。
目前,该方案已广泛应用于电子政务、金融、军工、能源、电信等关键基础设施领域,帮助责任主体在物理和环境安全的层面拿到满分10分的成绩!
商用密码改造案例
信长城从2021年介入密改市场,接触了大量的项目。这些项目,用一个字概括,就是“急”,因为密改是一个新事物,市场不成熟,场景复杂。我们经常充当救火队员的角色。很多项目都是第二天就必须部署实施完成,甚至有些密评机构就已经在现场,部署完成后马上就测试。
这是当前密改项目的一个现状。
以某省审计厅项目为例。这个项目的客户是密改需求最为迫切的政府单位。这个审计厅的机房为租用的运营商机房,当时密评单位就在现场,已经完成网络和通信、设备计算、应用和数据层面的取证,但分数上还不理想。
业主单位的需求是要在最短时间内,完成物理和环境的合规性改造,拿到物理和环境这10分,快速通过密评。
如何在短时间内完成这个任务?
Step1 视频监控系统改造。我们工程师到达现场的第一件事,就是快速部署视频监控安全一体机。作为我们的拳头产品,我们视频监控安全一体机,最大的特点就是实施快速,轻改造。信长城工程师到现场后,0.5小时就完成了部署。实现了视频监控数据记录存储的完整性保护。
Step2 门禁系统改造。通常的物理和环境合规性改造,都需要对门禁系统进行大规模的替换,线路都需要重新更改,至少需要一周的时间。但这个项目是租赁机房,不能大规模工程化施工,这也是之前业主单位进行物理与环境合规改造的难点。信长城的国密门禁解决方案则完全实现了现有线路的复用。只需要将现有读卡器替换成国密门禁读卡器,替换现有控制器和门禁服务器,就可以完成门禁系统的国密合规改造。
Step3 密评测评取证。信长城物理和环境解决方案,是专为密评场景定制。从产品设计之初,就考虑到密评取证的便捷性问题。现场实施,现场截图,就可以完成取证工作。
实施效果
测评机构现场打分,该项目的物理和环境部分,拿到了满分10分!
整个实施过程用时3小时。
该项目再次验证了信长城在密评场景下的优势,能够帮助客户快速高分通过密评。
1.实施简单,部署便捷
无需对原有系统进行工程化的改造,插电即用;
2.最小化改造,不影响现有业务系统
兼容支持已有的业务系统、已有的密码设备,减少密改对业务影响;
3. 落地经验丰富,取证简单
专为密评场景研发,取证便捷,只需要简单截图就可完成取证;
4. 无感加密,快速通过测评
产品符合国密认证,安全合规,能够快速帮助客户通过密评。
