解读 | 为什么要做“密评”?(中科三方)

“密评”全称“密码应用安全性评估”,是指在采用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。弄清楚了什么是密评,那为什么要做密评呢?

密码应用安全性测试_密码应用安全性测评机构密码应用安全性测试_密码应用安全性测评机构


密码应用安全性测试_密码应用安全性测评机构


法律法规

开展密评,是相关法律法规提出的明确要求,是网络安全的法定和义务。

《中华密码法》

第二十七条:法律、行政法规和有关规定要求使用密码进行保护的关键信息基础设施,其应当使用密码进行保护,自行或者委托密码检测机构开展密码应用安全性评估。

《商用密码应用安全性评估管理办法(试行)》

第十条:关键信息基础设施、网络安全等级保护第及以上信息系统,每年至少评估一次。

《网络安全等级保护条例(征求意见稿)》

第四十七条:第以上网络应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。

《政务信息化项目建设管理办法》

第十五条:项目建设单位应当落实密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。

第二十五条:项目建设单位提交验收申请报告时应当附上密码应用安全性评估报告等材料。

因此,及时开展密评,是广大网络安全落实法律法规要求,履行网络安全义务的一项重要。

开展密评工作的必要性

是应对网络安全形势的需求

通过密评可以及时发现在密码应用过程中存在的问题,为网络和信息安全提供科学的评价方法,逐步规范密码的使用和管理,从根本上改变密码应用不广泛、不规范、不安全的现状,确保密码在网络和信息系统中得到有效应用,切实构建起坚实可靠的网络安全密码保障。

是系统安全维护的必然要求

密码应用是否合规、正确、有效,涉及密码算法、协议、产品、技术体系、密钥管理、密码应用多个方面。因此,需委托专业机构、专业人员,采用专业工具和专业手段,对系统整体的密码应用安全进行专项测试和综合评估,形成科学准确的评估结果,以便及时掌握密码安全现状,采取必要的技术和管理措施。

是相关主体的法定职责

各项法律、行政法规和有关规定要求使用密码进行保护的关键信息基础设施,其应当使用密码进行保护,自行或者委托密码检测机构开展密码应用安全性评估。

《网络安全等级保护条例(征求意见稿)》强化密码应用要求,突出密码应用监管,重点面向网络安全等级保护第及以上系统,落实密码应用安全性评估制度。因此,针对重要领域网络与信息系统开展密评,是网络和主管部门的法定。

结语

密码体系是网络安全环境的基础,密码评测是建立健全密码安全体系最重要的考量,密码应用与密码评测工作同为网络安全环境建设的重要部分,意义重大。

相关从业者和应用者在建设密码体系的同时,更要重视密码评测工作,切实保障密码体系能被合规建设和正确应用,构建完善的网络安全环境。

密码测评难吗

难。

公司或自己开发的密码算法是非常困难的,密码算法的强度也很难得到保证,一般开发出的密码算被专业的密码破译者轻而易举地,绝大多数公司或者个人没有能力开发出强度很强的密码算法,即使耗费很大的精力开发出这样的算法,切不谈付出是否大于收益,密码算法迟早会被暴露出来,基于保密性的密码算法是无法获得高安全性的。

为解决当前密码应用存在的突出问题,颁布实施了《网络安全法》、《密码法》、《网络安全审查办法》、《政务信息化项目建设管理办法》等一系列法律法规,都对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范,商用密码应用安全性评估(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性和有效性进行评估,包括规划阶段的方案评审和建设、运行阶段的安全评估。

商用密码应用安全性评估的规范性文件有()

商用密码应用安全性评估的规范性文件主要包括两个方面:密码算法的规范和密码应用的规范。首先,密码算法的规范包括各种密码算法的设计、实现和测试标准。例如,美国标准与技术研究所(NIST)的AES密码算法标准、标准化组织(ISO)的密码算法标准等。其次,密码应用的规范包括密码应用的设计、实现、测试和使用标准。例如,PCIDSS(支付卡行业数据安全标准)、ISO27001(信息安全管理体系标准)、OWASP(开放式Web应用程序安全项目)等。遵循这些规范可以帮助组织建立安全的密码应用系统,防范密码攻击和泄露。

商用密码应用安全性评估应当与

商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

开展密评,是为了解决商用密码应用中存在的突出问题,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。

从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。开展密评,是网络安全和密码相关法律法规提出的明确要求,是法定和义务。

总体要求:

密码算法:使用的密码算法应当符合法律、法规的规定和密码相关标准、行业标准的有关要求,重点关注密码算法的合规性。

密码技术:使用的密码技术应遵循密码相关标准和行业标准。重点关注加密技术的合规性,密码技术应保证自身的安全性,可靠性,与信息系统的互联互通性。

密码产品:使用的密码产品与密码模块应通过密码管理部门核准。“密码模块”可包括密码卡、密码机、定制密码模块、密码软件等多种形态。

重点关注密码产品的合规性和有效性,密码产品和密码模块需根据相关规定进行密码产品安全等级确定、检测。其中根据GM/T0028-2014《密码模块安全技术要求》确定安全等级,依据GM/T0039-2015《密码模块安全检测要求》进行产品检测。

密码服务:使用的密码服务应通过密码管理部门许可。如CA认证机构应获得《电子认证服务使用密码许可证》以及《电子认证服务许可证》。

密码应用安全测评有哪些要求?

商用密码应用安全性评估的规范性文件有:GB/T AAAAA 《信息安全技术 信息系统密码应用基本要求》;GM/T BBBB 《信息系统密码应用测评要求》。

本文件依据GB/TAAAAA《信息安全技术 信息系统密码应用基本要求》和GM/TBBBB《信息系统密码应用测评要求》,对信息系统的密码应用情况给出定量评估结果。本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。

评估密码系统安全性主要的方法

1、无条件安全性:这种评价方法考虑的是定攻击者拥有无限的计算资源,但仍然无法破译该密码系统。

2、计算安全性:这种方法是指如果使用目前的方法攻破它所需要的计算资源远远超出攻击者拥有的计算资源,则可以认为这个密码系统是安全的。

3、可证明安全性:这种方法是将密码系统的安全性归结为某个经过深入研究的困难问题(如大整数素因子分解、计算离散对数等)。这种评估方法存在的问题是它只说明了这个密码方法的安全性与某个困难问题相关,没有完全证明问题本身的安全性,并给出它们的等价性证明。