商用密码应用安全性评估 主讲人：王佳 手机号：13823549398 目 录 01 密评背景与政策 02 密评业务流程 03 密评要求和方法 04 密评典型案例 05 公司介绍 密评背景与政策 什么是密评 密评工作开展的背景 密码 商用密码 指采用特定变换的方法 指对不涉及国家秘密内容 对信息等进行加密保护、 的信息进行加密保护或者 安全认证的技术、产品 安全认证所使用的密码技 和服务。 术和密码产品。 合规性、正确性、有效性等进 —《商用密码管理条例》 行评估。——《商用密码应用 ——《密码法》 密评 商用密码应用安全性评估，简 称密评。指采用商用密码技术、 产品和服务集成建设的网络和 信息系统中，对其密码应用的 安全性评估管理办法（试行）》 密码应用现状 密评工作开展的背景 01 密码应用不安全 密码应用不规范 密码应用不广泛 网络和信息系统安全 得不到有效保障 密码应用问题 密评的发展历程 密评工作开展的依据 《信息系统密码应用基本要求》 《商用密码应用安全性评估管理办法》 （试行） ， 《关于开展密码应用安全性评估试点工作的通知》， 密评联委会成立。 在七省五行业开展密评试点。 10月第二批机构报名。 10月1日作为国标实施。 42号公告《机构目录》扩展到 10月26日《中华人民共和国密码法》颁布 1999 2017 2018 《信息系统密码应用基本要求》发布 《商用密码管理条例》 《商用密码应用安全性测评机构目 录》（第一批机构共27家） 《中华人民共和国电子签名法》2004年 《信息安全等级保护商用密码管理办法》 2008年 2019 2020 48家机构。 2021 正式发布《商用密码应用安全性评估试点 机构目录》（第一批机构共24家）；第二 批机构36家进入试点期，可在本地或本行 业开展业务。 密码法和网络安全法 密评工作开展的依据 《网络安全法》自2017年6月1日起施行 第十条中明确，“维护网络数据的完整性、保密性和可用性”。 第二十一条中表明“国家实行网络安全等级保护制度，保障网络免受干扰、破坏或 者未经授权的访问，防止网络数据泄露或者被窃取、篡改，且需要采取数据分类、 重要数据备份和加密等措施”。 《密码法》自2020年1月1日起施行 第八条表明“公民、法人和其他组织可以依法使用商用密码保护网络与信息安全”。 第二十七条“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其 运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估 。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接 ，避免重复评估、测评”。 第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码 ，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改 正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一 万元以上十万元以下罚款； 国家相关的密评政策 密评工作开展的依据 商用密码应用安全性评估管理办法（试行） 第八条 在重要领域网络和信息系统规划阶段，责任单位应当依据商用密码应用安 全性有关标准，制定商用密码应用建设方案，组织专家或委托测评机构进行评估。 评估结果作为项目规划立项的重要依据和申报使用财政性资金项目的必备材料。 第九条 重要领域网络和信息系统建设完成后，责任单位应当委托测评机构进行商 用密码应用安全性评估，评估结果作为项目建设验收的必备材料。 广东省密评政策要求 密评工作开展的依据 《广东省省级政务信息化项目商用密码应用工作指引》 按照中央推进重要领域密码应用规划部署等要求，以及《密码法》和相关行政法规，政务信息化项目应使用商 用密码进行保护并开展商用密码应用安全性评估。《广东省省级政务信息化项目立项审批细则》《广东省省级 政务信息化项目验收前符合性审查细则》已明确“项目立项的密码应用审核”和“项目密码应用内容的验收前 符合性审查”工作要求。 规划阶段 1、方案编制 2、方案评估 3、方案审核 建设阶段 1、项目建设 2、项目评估 3、密码审核 运行阶段 1、定期评估 2、应急评估 密评的实施主体及推荐行业 密评工作开展的依据 公安 网络安全等级保护第 三级及以上信息系统 核电站 基础信息网络 自然资源 检法司 水利 关键信息基础设施 金融证券 涉及国计民生及 重要自然资源的 基础信息系统 住建 能源 医疗卫生 面向社会服务 的政务信息系统 教育 重要工业控制系统 电力 交通运输 密评各方职责 密评工作的推进 密码管理局 ➢ 1、负责指导、监 督和检查商用密码 应用安全性评估工 作； ➢ 2、接收商用密码 安全性评估备案 责任单位 1、在规划、建设和运行阶 段，制定密码应用建设方 案、组织专家或测评机构 进行评估、备案、整改工 作，并对密码应用工作负 主体责任； 2、配合密码管理部门和有 关部门安全检查；健全密 码体系明确负责人、完善 密码管理制度； 3、等保三级及以上系统每 年至少评估一次； 4、发生重大安全事件、重 大调整、特殊紧急情况时 需要重新评估。 商用密码测评机构 ➢ 1、独立、客观、 公正开展测评工作； ➢ 2、依据模板出具 测评报告； ➢ 3、将评估结果在 30个工作日内报相 关密码管理部门备 案。 密码设备厂商、集成商 公安局 ➢ 协助编制密码应用 ➢接收网络安全等级保 方案； ➢ 对网络与信息系统 按照密评要求进行 密码应用建设或改 造。 护第三级及以上信息系 统商用密码安全性评估 结果的备案； 等保与密评的比较 密评工作的依据 商用密码应用安全性评估 网络安全等级保护 探索、发展、上升 成熟、拓展、平缓 商用密码应用安全性评估试点机构目录 网络安全等级测评与检测评估机构服务认证 主动防御 被动防御 政策主导 市场化运作 专注于应用、数据 面向整体，偏向网络、集成 密码方案前置 风险、漏洞为导向 专业设备，改造各有不同， 通用性一般 通用设备，方案相对成熟， 通用性较强 密评业务流程 工作指南 密评业务流程 2020年9月16日 ，中国密码学会密评联委会发布《政务信息系统密码应用与安全性评估工作指 南》（2020），指导非涉密的国家政务信息系统建设单位和使用单位规范开展商用密码应用 与安全性评估工作。 ◼ 指明方向 用于指导非涉密的国家政务信息系统建设单位和使用单位规范开展商用密码应用 与安全性评估工作，也可供政务信息系统集成单位和商用密码应用安全性评估机构参考。 ◼ 明确职责 从GM/T 0054 -2018《信息安全技术 信息系统密码应用基本要求》各个层面的 安全要求，逐一明确密码 应用方式和方法；明确提出：密评机构全程介入政务信息系统的规 划、建设和运行各阶段；系统集成单 位要按照密评机构评估过的密码应用方案建设密码保障 系统；系统使用单位定期委托 密评机构对系统开展密评，等保三级以上系统每年至少密评一 次。 ◼ 规范应用 在附录中给出了密码应用方案模板及其案例，切实落实指导密码应用方案编制。 密评相关业务环节 密评业务流程 新 建 系 统 已 建 系 统 密码方 案编制 商密 改造 方案评 估报备 密码方 案编制 商密 测评 整改建议 方案 评估 商密 改造 商密测 评报备 商密测 评报备 密码方案编制 密评业务流程 系统现状描述 密码安全风险和需求分析 密码总体和技术方案设计 密码安全与合规性分析 阐述密码管理和运维体系 密码应用方案评审和报备 密评业务流程 密码应用方案评估可由责任单位委托测评机构进行评估或组织专家进行论证。 信息系统的密码应用方案应当进行评估，经过评估的密码应用方案是测评的重要依据。 密码应用方案经过评估后，应上报主管部门审核，由密码管理部门备案。 商密方案评估申请 商密方案评审 评估准备 提出整改建议 是 完成备案 编制评估报告 反馈整改结果 是否整改完成 否 商密改造 第一批公布的商用密码产品认证目录 密评业务流程 POS 、ATM 密码应 智能密码钥匙 智能IC 卡 用系统；多功能密 IPSec VPN 产品/安 SSL VPN 产品/安全 全网关 网关 服务器密码机 签名验签服务器 时间戳服务器 电子文件密码应用 可信计算密码支撑 系统 平台 电子标签芯片 其他密码模块 密码卡 码应用互联网终端 安全认证网关 安全门禁系统 密码键盘 动态令牌、动态令 牌认证系统 对称密钥管理产品 金融数据密码机 安全电子签章系统 安全芯片 证书认证系统、证 书认证密钥管理系 统 验收评估 密评相关流程 ⚫ 开展评估的前提和基础 ⚫ 开展评估的关键活动 ⚫ 开展评估的核心活动 ⚫ 掌握被测系统详细情况， ⚫ 确定评估对象、评估 ⚫ 依据方案，分步实施所 收集被测系统的资料， 指标、检查点、评估 入场表单和评估工具环 内容，形成评估方案 境准备 评估准备活动 有评估项目 ⚫ 了解系统真实情况，获 取证据，发现存在问题 方案编制活动 现场评估活动 出具评估报告之日前30日内填报密评结果备案表 ⚫ 单项评估结果判定、 单元评估结果判定、 整体评估、风险分析 ⚫ 给出评估结论，形成 评估报告 分析与报告编制 密码局报备 密评业务流程 省密码管理局密码工作咨询： 020-8718 6240， 020-8719 6240 备案材料 ✓ 关键信息基础设施； 《网络与信息系统密评备案 递交方式 完成备案 信息表》，责任单位盖章。 《 商用密码应用安全性评估 责任单位将备案表Word版和 省密码管理局原则上 5 个工 报告》，密评机构盖章。 《商用密码应用方案》，编 制单位盖章。 出具评估报告之日起30日内， 盖章扫描版发给省密码管理 作日内出具备案审核意见 ， 局报备。 并将审核意见抄送省政务服 ✓ 网络安全等级保护第三 级及以上的网络和信息 系统； ✓ 政务信息系统 ✓ 国家密码法律法规、 行政法规和国家有关规 定明确要求部署密码应 用的其他网络和信息系 统。 务数据管理局 。 《关于规范商用密码应用安全性评估结果备案工作的通知》 2021.12.20 粤密码协调组[2021]7号