《信创与密码应用论坛(杭州)-俞紫锋《商用密码应用安全性评估政策法规解读》(13页).pdf》由会员分享,可在线阅读,更多相关《信创与密码应用论坛(杭州)-俞紫锋《商用密码应用安全性评估政策法规解读》(13页).pdf(13页珍藏版)》请在三个皮匠报告上搜索。
1、商用密码应用安全性评估政策法规解读俞紫锋高级工程师东安检测 密评部副总监 为什么做密评 密码安全形势严峻-军事斗争制胜的关键因素,大国博弈的重要战场-关键核心技术和产品受制于人,国外产品有漏洞和后门 法律法规的要求-中华人民共和国密码法-中华人民共和国网络安全法-商用密码管理条例-商用密码应用安全性评估管理办法(试行)密码是保障网络和信息安全的核心技术-密码的“四性”“四防”商用密码应用安全性评估法律法规国务院办公厅关于印发国家政务信息化项目建设管理办法的通知国办发201957号中华人民共和国密码法国办发201957号2019年12月30日发布对国家政务信息系统的密码应用与安全性评估有了明确要
2、求密码法2019年10月26日正式发布2020年1月1日起施行规范密码应用和管理商用密码管理条例(修订草案征求意见稿)商用密码管理条例(修订草案征求意见稿)2020年8月20日公开征求意见界定商密管理范围,依法解决商密技术进步及其发展中出现的问题,规范商密应用和管理法律法规商用密码应用安全性评估法律法规中华人民共和国密码法总则-第一条、第七条为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。推广使用商用密码中华人
3、民共和国密码法国家鼓励和支持密码科学技术研究和应用、商用密码技术研发、交流和应用,推动参与商用密码的国际标准化活动,与标准之间的转化运用,采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系。建立以国产密码为核心的密码体系国家建立和完善商用密码标准体系;推进商用密码检测认证体系建设;商用密码产品的检测认证;关键信息基础设施由商用密码检测机构开展商用密码应用安全性评估;采用商用密码技术从事电子政务电子认证服务。商用密码应用安全性评估法律法规中华人民共和国密码法第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行
4、保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照中华人民共和国网络安全法的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。第三十七条l关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的
5、主管人员处一万元以上十万元以下罚款。l关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。中华人民共和国密码法商用密码应用安全性评估法律法规规划和审批管理-第九条除国家发展改革委审批或者核报国务院审批的外,其他有关部门自行审批新建、改建、扩建,以及通过政府购买服务方式产生的国家政务信息化项目,应当按规定履行审批程序并向国家发展改革委备案。备案文件应当包括:等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估
6、报告等内容监督管理-第三十条国务院办公厅、国家发改委、财政部、中央网信办会同有关部门实施监督管理,包括密码应用、网络安全等;各部门应按要求采用密码技术,并定期开展密码应用安全性评估,确保政务信息系统运行安全和政务信息资源共享交换的数据安全。国务院办公厅关于印发国家政务信息化项目建设管理办法的通知国办发201957号建设和资金管理-第十五、十六条、第二十八条第十五条:项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。第十六条:项目应当采用安全可靠的软硬件产品。项目密码应用和安全审查情况是项目验收的重要内容之一。第二十八条:对于不
7、符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。商用密码应用安全性评估法律法规商用密码管理条例(修订草案征求意见稿)检测认证和电子认证应用促进第三十八条:非涉密关基、等保三级以上系统,应使用商用密码进行保护,制定商用密码应用方案,配备资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托密评机构开展密评;通过密评方可投入运行,运行后每年至少进行一次评估,评估情况报送备案。第三十九条:非涉密关基、等保三级以上系统应当使用经检测认证合格的商用密码产品、服务,使用列入商用密码技术指导目录的商用密码技
8、术。法律责任第五十八条:非涉密关基、等保三级以上系统违反本条例第三十八条、第三十九条规定,给予警告;拒不改正或者有其他严重情节的,处10100万元以下罚款,对直接负责的主管人员处110万元以下罚款。第二十条:涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由商密检测、认证机构检测认证合格后,方可销售或者提供。第三十条:政务活动中使用的可靠的电子签名,与手写签名或者盖章具有同等的法律效力。政务活动中的电子认证,应由电子政务电子认证服务机构提供服务。商用密码管理条例(修订草案征求意见稿)商用密码应用安全性评估工作要求1、2022年新建,等保三级以
9、上信息系统,必须落实商用密码应用安全性评估要求,实现“三同步一评估”,并在排除相关高风险项干扰的前提下(不考虑云平台因素引起的高风险项,如物理环境安全),密评分数达到60分以上,且系统本身不存在高风险项。2、对实施方案涉及的重要网络与信息系统,相关部门要推进密评工作。密评结果将作为省密码局对实施方案验收的重要依据。3、各地各单位需要推进本单位等保三级以上政务信息系统的密评工作,工作达标率将作为省密码局年度考评分数依据。4、密评备案和密评工作开展,要注意工作流程和时限。5、2022年12月31日前,各市密码管理局将全年密评工作总结报送省密码局。商用密码应用安全性评估工作要求一、设区市一、设区市1
10、、电子政务外网安全评估工作,涉及省、市、县三级。2、根据全省统一规划,各地区分别建设统一密码服务平台,并提供密码服务平台验收报告及 使用平台的软件应用清单。3、对本地区网络安全等保三级及以上政务信息系统开展国产密码应用安全性评估,并提供等保三级及以上政务信息系统清单和测评报告。二、省级单位1、对本单位网络安全等保三级及以上政 务信息系统开展国产密码应用安全性评估,并提供等保三级及以上政务信息系统清单和测评报告。三、县(市、区)1、对本地区网络安全等保三级及以上政务信息系统开展国产密码应用安全性评估,并提供等保三级及以上政务信息系统清单和测评报告。应用性?应用安全性?商用密码应用安全性评估工作指
11、南在附录中给出了密码应用方案模板及其案例,切实落实指导密码应用方案编制。指导方向从GB/T 39786 信息系统密码应用基本要求各个安全层面的安全要求,逐一提供密码应用方式和方法;明确系统建设单位、集成单位和密评机构的三方职责用于指导非涉密的国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作,也可供政务信息系统集成单位和商用密码应用安全性评估机构参考。商用密码应用安全性评估概念商用密码应用安全性评估(简称“密评”)指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。信息系统合规性有效性正确性系统中采用的标准密码算法、协议
12、和密钥管理机制按照相应的密码国家和行业标准进行正确的设计和实现;自定义密码协议、密钥管理机制的设计和实现正确,符合相关标准要求;密码保障体系建设或改造过程中密码产品和服务的部署和应用正确;按照商用密码管理条例等密码法规和行业相关的密码使用要求,使用符合国家密码法规和标准规定的商用密码算法,使用经过国家密码管理局审批的密码产品或服务;指密码应用安全立足系统安全、体系安全、动态安全,信息系统中采用的密码协议、密钥管理系统、密码应用子系统和密码防护机制不仅设计合理,而且在系统运行过程中能够发挥密码效用,保障信息的机密性、完整性、真实性、抗抵赖性;角色职责规划建设运行密评业务主管部门系统开发商密码服务
13、提供商测评机构配合编制密码应用方案,提出密码应用风险点对密码应用方案进行评估配合编制密码应用方案,提出密码应用技术方案制定实施计划,与密码服务提供商落实系统建设制定实施计划,与系统开发商落实系统建设对实施方案提出建议定期对信息系统开展测评工作开展密码应用测评1、方案测评2、系统测评根据测评方案和测评结果,对系统实施改造主导编制密码应用方案按照密码应用方案,主导系统建设系统运行时正确、合规使用密码,定期开展密评工作根据密评要求,与密码服务提供商共同进行系统改造升级为业务系统提供密码服务编制密码应用测评方案协助编制密码应用测评方案,根据方案提供密码服务2022 WEST LAKE CYBERSECURITYCONFERENCE谢 谢THANK U