《中华人民共和国密码法》于2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过。2020年1月1日起施行。《中华人民共和国密码法》第二十七条明确要求关键信息基础设施必须依法使用商用密码进行保护,并开展商用密码应用安全性评估;要求关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家网信办会同国家密码管理局等有关部门组织的国家安全审查。
随着国家加大力度在金融和公共通信和信息服务、交通、能源、水利、电力、民生、工业制造、电子政务、智慧城市、基础软硬件保障、电子商务等重要领域开展密码应用试点工作,应该根据不同行业的业务信息系统和安全需求,在项目立项可行性研究方案中加大密码系统设计重要章节,推动信息系统普遍使用密码应用,保障信息系统运行安全可靠。确保信息系统密码应用的合规、正确,具有十分重要的意义。密码应用安全性评估使密码保障系统切实有效保护身份真实性、数据机密性、完整性、不可否认性。
一、总体要求的实现
1. 合规性要求
信息系统采用密码算法、密码技术、密码产品、密码服务等必须满足密码相关标准规范和要求。合规性要求采用经认可的密码算法,如SM2、SM3、SM4、SM9等密码算法;采用密码设备/系统是否经国家密码管理主管部门认可;产品必须取商用密码产品型号证书或者信息安全产品密码检测证书;密码技术设计和密码保障系统设计应遵循密码相关标准政策法规。
2. 密码算法要求
规范密码算法的选用,要求使用国家密码管理部门或相关行业认可的标准算法。一般情况下,有三类算法可满足该要求:
(1)以国家标准或国家密码行业标准形式公开发布的密码算法。
(2)为特定行业、特定需求设计的专用算法以及未公开的通用算法,使用前应向密码管理部门咨询有关政策。
(3)由于国际互联互通等需要而兼容的国外算法,应在应用中默认优先使用国产商用密码算法。不能使用明显存在安全隐患的算法,如 DES、MD5、SHA1、RSA1024。
3. 密码产品要求
密码技术密码产品,应获得商用密码产品型号证书或国家密码管理部门认可的商用密码检测机构出具的合格检测报告。2019年12月30日,国家密码管理局网站发布《国家密码管理局、市场监管总局关于调整商用密码产品管理方式的公告》取消“商用密码产品品种和型号审批”。市场监管总局会同国家密码管理局建立国家统一推行的商用密码认证制度,采取支持措施,鼓励商用密码产品获得认证,将商用密码产品型号证书转换成国推商用密码产品认证证书。在功能上满足相关产品标准,自身安全性(即安全防护能力)满足符合GM/T0028-2014《密码模块安全技术要求》某个安全等级的要求。截止2019年10月,已获得商用密码产品型号证书近3000个产品。
4. 密码服务
信息系统选密码服务时,要求应取得国家密码管理部门颁发的密码服务许可证。现阶段,密码服务许可的范围还集中在较为成熟的电子认证服务领域。截止 2019 年 12 月,全国已获得电子认证服务密码许可单位有 51 家第三电子认证服务机构和 49 家电子政务电子认证服务机构。
二、密码技术应用要求与实现
密码技术应用分别从物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评等四个方面进行说明。
1. 物理和环境安全的要求与实现
电子门禁系统和视频监控设备使用密码算法,对物理和环境的访问控制,对各类物理和环境的监控信息的完整性保护,实现事前警示、事中监控、事后追责。电子门禁系统和视频监控设备访问控制典型的做法是将信息系统部署在机房,机房配套部署电子门禁系统和视频监控设备符合GM/T0036-2014《采用非接触卡的电子门禁密码应用指南》。在实际信息系统应用中,信息系统大部份都部署在云平台,物理环境一般由云平台运营商管理。按照信息系统和信息设备使用原则“谁主管谁负责,谁使用谁负责”的要求,此部份在实际项目实施过程中很难得到实施。建议由云平台基础设备负责单位统一进行负责升级,在今后标准制定信息系统密码应用基本要求标准时,适当将此部份作为推荐使用,以便项目正常实施使用。
2. 网络和通信安全的要求与实现
网络和通信安全主要保护网络通信链路的安全,不涉及其他层次的相关概念;采用符合国内标准要求的通用安全通信协议;非通用安全通信协议,应提供整体技术方案,以及对应标准或对应方案通过国家密码管理部门审查的有关文件。通过在网络边界部署核准的IPSecVPN或SSLVPN设备;对网络边界内的安全设备、安全组件进行集中管理时,需建立一条与普通业务数据通信链路相隔离的专用信道,如VPN通道。保护数据传输过程和远程维护时通讯安全。
3. 设备和计算安全的要求与实现
设备和计算安全主要涉及对登录设备用户的身份鉴别。远程管理用户身份标识信息机选用密码产品时,须选用已通过国家密码管理部门的审批。在通用产品中使用内置密码部件完成各类关键系统资源、文件、程序的完整性保护;外置智能密码钥匙或服务器密码机、密码卡等完成访问人员的身份鉴别或完整性保护。
………………
信息系统密评(密码应用安全性)评估与测评实践 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/GdzEVNu9iEp 提取码: tb45