商用密码应用安全性评估
背景介绍
没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。
当前,我国网络安全形势异常严峻,重要网络和信息系统的安全现状很不理想。密码作为大国标配,与核技术、航天技术并称为国家安全的三大支撑技术,是解决网络安全最有效、最可靠、最经济的方式,是维护网络安全的核心技术和基础支撑,是保护国家安全的战略资源。
在采用商用密码技术、产品和服务集成建设的网络和信息系统,对其密码应用的合规性、正确性和有效性等进行安全性评估能解决商用密码应用中存在的突出问题,为重要网络和信息系统的安全提供科学评价方法,是新时期商用密码发展的重中之重,既是党中央做出的重要战略部署,也是顺应全球信息化发展趋势,维护国家网络和信息安全的必然过程。
参考依据
《中华人民共和国密码法》
《商用密码应用安全性评估管理办法(试行)》
《信息安全等级保护商用密码管理办法》
《信息安全等级保护商用密码技术实施要求》
《信息安全等级保护商用密码技术要求》
《信息系统密码测评要求》
GM/T 0054-2018 《信息系统密码应用基本要求》
服务对象
基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
测评内容
商用密码应用安全性评估主要从总体要求、物理和环境、网络和通信、设备和计算、应用和数据、密钥管理以及安全管理七个方面进行评估。
测评流程
