密评全称:商用密码应用安全性评估
定义:对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
1、密评发展史
2011年:ZUC序列算法成为了4G移动通信密码算法国际标准
2017年:非对称算法SM2和SM9的数字签名算法成为国际标准
2018年:密码杂凑算法SM3成为国际标准
2021年:2月,SM9标识加密算法成为国际标准
6月,SM4分组密码算法成为国际标准
10月,SM9密钥交换协议成为国际标准
我国自主研发的密码算法相继走出国门并受到国际上的认可,国密局也在大力推进国密算法,借着政策之风,排兵布阵,准备打一场密码应用攻坚战。
2、密评市场现状
密码应用不广泛:
2017年以来,通过全国开展密评工作,90%甚至95%的信息系统不满足密码应用要求,大量数据没有使用密码技术保护,处于“裸奔”状态。
密码应用不规范:
未使用合规密码产品
软件实现的密码策略
合规的密码产品但配置不合理
密码应用不安全:
大量在使用MD5、SHA1、DES等已被警示有风险的密码算法
解决商用密码应用中存在的突出问题,为重要网络和信息系统的安全提供科学评价方法,以评促建、以评促改、以评促用,逐步规范商用密码的使用和管理。
3、必做密评的六个原因
政策要求:
《密码法》、国办发57号文等要求信息系统要开展密码应用安全性评估
行业监管:
通过行业主管部门的监管,要求行业单位需要通过密评,提高系统安全防御能力,如金融、医疗等
等保延伸:
等保可以解决网络监控、边界防护、集中安全管理、访问控制、安全审计等,密评可进一步有效解决数据传输和存储机密性及完整性、数据来源真实可信、操作行为不可否认
安全需求:
保证数据机密性、完整性、来源真实性等
业务属性:
情报板、网站等防篡改、电子合同、电子票据等防篡改及否认、网上交易、医疗健康等防泄漏
数据合规:
《数据安全法》出台,加快我国数据安全合规的进程,通过密码可以为数据采集、存储、整合、呈现与使用、分析与应用、归档和销毁全生命周期保驾护航
4、不做密评的后果
密码法 第三十七条
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
国办发57号文 第二十八条
加强国家政务信息化项目建设投资和运行维护经费协同联动……对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
数据安全法 第四十五条
拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
■ 本章小结
1、国内密评发展由来已久,如今国家倡导创新密评技术
2、国内密评现存问题:不广泛、不规范、不安全
3、由于政策要求、行业监管、企业安全保障等原因,密评不得不做
4、不做密评或将面临企业安全危机和市场监管处罚
