亚洲AV无码乱码国产精品,免费又黄又爽又猛的毛片,亚洲色大成网站WWW尤物

<var id="pfa7p"></var>

      <object id="pfa7p"><option id="pfa7p"></option></object>
      <object id="pfa7p"></object>

      <font id="pfa7p"></font>

      <font id="pfa7p"><ol id="pfa7p"><track id="pfa7p"></track></ol></font>
        <thead id="pfa7p"><del id="pfa7p"></del></thead>
        <thead id="pfa7p"><mark id="pfa7p"></mark></thead>

        密評的概念

        商用密碼應用安全性評估(簡稱“密評”)是指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估。


        密評的對象
        《中華人民共和國密碼法》中對密碼的定義:指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。

        凡是有“四性四防”需求的,都可以用密碼技術解決。

        核心密碼、普通密碼用于保護國家秘密信息;商用密碼用于保護“不涉及國家秘密內容的信息”



        等保、密評、關基之間的關系
        密評的必要性和重大意義
        開展密評是維護網絡和信息系統密碼安全的必然要求;開展密評是我國網絡安全嚴峻形勢的迫切需要;開展密評是網絡運營者和主管部門必須履行的責任。商用密碼應用安全性評估工作,不僅對規范密碼應用具有重大意義,同時對維護網絡和信息系統密碼安全,切實保障網絡安全,有效應對各類網絡安全風險,也具有不可替代的重要作用。
        密評的目標和原則
        商用密碼應用安全性評估的目標是促進網絡運營者履行密碼安全責任,建立和完善密碼保障系統,提升密碼安全防護能力。商用密碼應用安全性評估工作的總體原則是“突出重點、夯實責任、全程評估、分類分級、強化監管”。
        • 突出重點

          突出重點

          對于一般的網絡和信息系統,網絡運營者可自愿開展;對于涉及國家安全和社會公共利益的重要領域網絡和信息系統,網絡運營者必須按照要求開展。

        • 夯實責任

          夯實責任

          網絡運營者是商用密碼應用安全評估的責任單位,應當健全密碼保障系統,并在規劃、建設和運行階段,組織開展密評工作,負主體責任。

        • 全程評估

          全程評估

          新建的重要領域網絡和信息系統,應當在規劃、建設、運行三個階段開展評估;已建成的重要領域網絡和信息系統,應當定期開展評估;在特殊緊急情況時,應當開展應急評估。

        • 分類分級

          分類分級

          安全性評估除了按照通用的密碼應用要求實施外,還將對照不同行業的專門標準進行評估;不同的網絡和信息系統,依據其劃定的網絡安全等級或重要程度不同,對應的密碼應用要求和評估也不同,從低等級向高等級逐漸增強。

        • 強化監管

          強化監管

          各地區密碼管理部門對本地區重要領域網絡和信息系統開展商用密碼應用安全性評估的情況進行檢查,國家密碼管理部門進行抽查,對未按照要求開展評估工作的,或者未按照評估結果按期整改的,應予以處罰。

      1. 突出重點

        突出重點

        對于一般的網絡和信息系統,網絡運營者可自愿開展;對于涉及國家安全和社會公共利益的重要領域網絡和信息系統,網絡運營者必須按照要求開展。

      2. 夯實責任

        夯實責任

        網絡運營者是商用密碼應用安全評估的責任單位,應當健全密碼保障系統,并在規劃、建設和運行階段,組織開展密評工作,負主體責任。

      3. 全程評估

        全程評估

        新建的重要領域網絡和信息系統,應當在規劃、建設、運行三個階段開展評估;已建成的重要領域網絡和信息系統,應當定期開展評估;在特殊緊急情況時,應當開展應急評估。

      4. 分類分級

        分類分級

        安全性評估除了按照通用的密碼應用要求實施外,還將對照不同行業的專門標準進行評估;不同的網絡和信息系統,依據其劃定的網絡安全等級或重要程度不同,對應的密碼應用要求和評估也不同,從低等級向高等級逐漸增強。

      5. 強化監管

        強化監管

        各地區密碼管理部門對本地區重要領域網絡和信息系統開展商用密碼應用安全性評估的情況進行檢查,國家密碼管理部門進行抽查,對未按照要求開展評估工作的,或者未按照評估結果按期整改的,應予以處罰。

      6. 密評的具體內容

        商用密碼應用安全性評估主要對物理和環境、網絡和通信、設備和計算、應用和數據、密鑰管理以及安全管理六個方面進行評估。如下圖所示:



        GB/T 39786-2021《.信息安全技術信息系統密碼應用基本要求》
        國標結構


        密評的基本流程
        密碼測評過程分為四項基本測評活動:測評準備活動、方案編制活動、現場測評活動、分析與報告編制活動。而測評雙方之間的溝通與洽談應貫穿整個等級測評過程。
        商務溝通
        確認測評范圍簽訂合同

        5-15個

        工作日

        測評準備
        密碼測評項目啟動信息收集與分析工具和表單準備

        2個

        工作日

        測評方案編制
        測評對象和指標確定 測評檢查點確認 測評內容確定 測評方案編制

        7-15個

        工作日

        現場測評
        現場測評準備 現場測評和結果記錄 結果確認和資料歸還

        5個

        工作日

        分析與報告編制
        單項測評結果判定 單元測評結果判定 整體測評 風險評估 測評結論形成 測評報告編制

        15-30個

        工作日

        報告交付
        報告蓋章發送

        5個

        工作日

        客戶意見
        反饋滿意度調查

        1個

        工作日

        密評各方職責
        • 新建系統的各方職責
        • 已建系統的各方職責
        密評項目實施流程

        1.與客戶溝通,講明密評的重要性,要求緊密配合;

        2.明確測評配合人員、測評時間、密碼應用框架和邊界;

        3.為客戶提供一份所需材料的清單;

        1.啟動會議

        1.將解決方案模板提供給客戶,由客戶提供被測密碼應用解決方案;

        ⒉根據具體項目向客戶索要其他有關資料,如定級報告等;

        2.客戶填寫解決方案

        1.根據客戶提供的解決方案,撰寫測評方案;

        2.與客戶確定被測密碼系統的測評對象、測評指標和測評內容,輸出最終的測評方案;

        3.需經專家或測評機構評審,并明確《基本要求》中“宜”的條款;

        3.巽寫測評方案

        1.掌握被測密碼系統的所有詳細情況;

        2.與客戶溝通是否可以使用測評工具;

        3.準備測評工具;

        4.測評準備

        1.分步驟實施所有測評項目;

        2.了解系統的真實防護情況,發掘系統存在的密碼應用安全性問題;

        5.現場測評

        1.使用工具對采集數據進行分析;

        ⒉.分析系統的安全防護現狀與相應等級保護需求之間的差距,分析風險并輸出初版測評報告;

        3.反復斟酌初版測評報告,確認無誤后在項目截止前輸出測評報告;

        6.分析與編制報告
        • 法律應用政策
        • 常見問題
        1.《中華人民共和國密碼法》

        2020 年1月1日施行的《密碼法》填補了密碼領域的法律空白,推動密碼在網絡安全與信息化發展中發揮更大作用。

        《密碼法》按照中央確定的密碼管理原則和應用政策,規定了密碼應用主要制度和要求,明確了密碼的定義和分類。強調國家積極規范和促進密碼應用;建立商用密碼檢測認證體系,鼓勵從業單位自愿接受商用密碼檢測認證;明確關鍵信息基礎設施使用密碼和進行密碼應用安全性評估的要求;建立安全審查機制;對采用商用密碼技術從事電子政務電子認證服務的機構進行認定。密碼是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。密碼分為核心密碼、普通密碼和商用密碼。商用密碼用于保護不屬于國家秘密的信息。

        第二十七條  法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評。

        關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務,可能影響國家安全的,應當按照《中華人民共和國網絡安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。

        2.《中華人民共和國網絡安全法》

        第十條  建設、運營網絡或者通過網絡提供服務,應當維護網絡數據的完整性、保密性和可用性。

        第二十一條  國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。

        3.《商用密碼管理條例》

        第十四條  任何單位或者個人只能使用經國家密碼管理機構認可的商用密碼產品,不得使用自行研制的或者境外生產的密碼產品。

        第三十八條  非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統,其運營者應當使用商用密碼進行保護,制定商用密碼應用方案,同步規劃、同步建設、同步運行商用密碼保障系統,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

        4.《商用密碼應用安全性評估管理辦法(試行)》

        涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位應當健全密碼保障體系,實施商用密碼應用安全性評估,每年至少評估一次。重要領域網絡和信息系統包括關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統。

        5.《網絡安全等級保護條例》

        第四條  網絡運營者在網絡建設過程中,應當同步規劃、同步建設、同步運行網絡安全保護、保密和密碼保護措施。

        第四十七條  非涉密網絡應當按照國家密碼管理法律法規和標準的要求,使用密碼技術、產品和服務。第三級以上網絡應當采用密碼保護,并使用國家密碼管理部門認可的密碼技術、產品和服務。

        6.《國家政務信息化項目建設管理辦法》(國辦發〔 2019 〕 57號)

        2020 年2月1日施行的《國家政務信息化項目建設管理辦法》,是為了規范國家政務信息化建設管理。對國家政務信息系統的規劃、審批、建設、共享和監管做出規定,其中明確規定了多項密碼應用有關要求。包括備案及備案文件要求,安全監管與評估要求,以及不符合規定的系統需承擔的后果等。

        其中第九條,國家政務信息化項目需向國家發展改革委備案。備案文件應當包括應用系統、等級保護或者分級保護備案情況、密碼應用方案和密碼應用安全性評估報告等內容。第二十八條,對不符合密碼應用和網絡安全要求,或存在重大安全隱患的政務信息系統;不安排運行維護經費,項目建設單位不得新建、改建、擴建政務信息系統。第三十條,加強國家政務信息系統的安全監管。按要求采用密碼技術,并定期開展密碼應用安全性評估,確保政務信息系統運行安全和政務信息資源共享交換的數據安全。

        第九條  通過政府購買服務方式產生的國家政務信息化項目,應向國家發展改革委備案。備案文件應當包括密碼應用方案和密碼應用安全性評估報告等內容。

        第十五條  項目建設單位應當落實同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。

        第二十八條  對于不符合密碼應用和網絡安全要求,或者存在重大安全隱患的政務信息系統,不安排運行維護經費,項目建設單位不得新建、改建、擴建政務信息系統。

        7.《政務信息系統政府采購管理暫行辦法》(財庫〔 2017 〕 210號)

        第八條  采購需求應當落實國家密碼管理有關法律法規、政策和標準規范的要求,同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。

        8.《金融和重要領域密碼應用與創新發展工作計劃(2018-2022)》的通知

        2018年7月25日印發,簡稱:36號文。明確指出:深化金融領域密碼應用、加強基礎設施網絡密碼應用、促進數字經濟密碼應用、推進信息惠民密碼應用、增強密碼科技創新和基礎支撐能力,共涉及47項重要工作,30個重要領域(基本涵蓋全國范圍內所有行業)。


        1.如何確定被測信息系統密碼應用等級?

        GB/T 39786—2021中的密碼應用等級一般由網絡安全等級保護的級別確定。信息系統根據GB/T 22240—2020《信息安全技術 網絡安全等級保護定級指南》確定等級保護級別時,同步對應確定密碼應用等級,即等保定級為第一級的網絡與信息系統應遵循GB/T 39786第一級密碼應用基本要求,等保定級為第二級的網絡與信息系統應遵循GB/T 39786第二級密碼應用基本要求,以此類推。對于未完成網絡安全等級保護定級的重要信息系統,其密碼應用等級至少為第三級。

        2.在密評實施中,如何理解和把握“宜”的指標要求?

        依據GM/T 0115《信息系統密碼應用測評要求》,據信息系統的密碼應用方案和方案評估報告/評審意見,決定是否將“宜”的指標要求納入標準符合性測評范圍,具體如下:

        (1)若信息系統未編制密碼應用方案或在方案中未對“宜”的指標要求做明確說明,則“宜”的指標要求納入標準符合性測評范圍。

        (2)若信息系統編制了密碼應用方案,且方案通過評估,方案中明確了不適用的“宜”的指標要求項,且有對應的風險控制措施說明的情況下。密評人員在測評時,應根據信息系統的密碼應用方案和方案評估報告/評審意見,核實方案中的不適用指標要求項所采用的風險控制措施的適用條件,在實際的信息系統中是否被滿足,且信息系統的實施情況與方案中所描述的風險控制措施是否一致,若滿足適用條件,該測評指標為“不適用”;若不滿足適用條件,則應納入標準符合性測評范圍,進行測評和結果判定。

        3.經認證合格的密碼產品,《信息系統密碼應用測評要求》中“5.2密鑰管理安全性”測評是否可以直接判定為“符合”?

        不能直接判定為“符合”。信息系統采用經認證合格的密碼產品僅僅是密鑰管理安全性判定為“符合”的必要條件,還應當對以下內容進行核查:

        (1) 該密碼產品的安全級別是否滿足GB/T 39786 相應等級的要求,如GB/T 39786第三級的信息系統應當采用滿足GB/T 37092第二級及以上安全要求的密碼產品;

        (2) 由密碼產品產生的密鑰在該密碼產品外部進行管理,是否進行了相應保護,如密鑰在外部數據庫中存儲/備份/歸檔時是否進行了機密性和完整性保護;

        (3) 該密碼產品是否按照產品配套的安全策略文檔進行部署和使用,信息系統的密鑰管理制度是否能夠保證該密碼產品被正確地部署和使用等。

        4.如何確定該層面的測評對象?對于系統部署在非被測系統單位管轄范圍之內的情況,如運營商機房、云服務提供商機房、其他單位或部門管轄的機房等,在物理和環境安全層面應如何判定該指標的適用性?如何開展密評?

        物理和環境安全層面的測評對象為被測信息系統所在的物理機房,具體為物理機房的電子門禁系統和視頻監控系統。

        如果被測信息系統所在的物理機房采用多區域部署或被測信息系統重要資產分布在不同的物理機房中,那么針對該信息系統涉及的所有物理機房均應作為測評對象進行測評,密評人員需現場取證。

        針對被測信息系統部署在被測系統單位管轄范圍之外的情況,物理和環境安全層面仍然適用,即需要針對該安全層面進行測評。如果被測信息系統所在的IDC機房、運營商機房或云服務提供商機房等通過了商用密碼應用安全性評估,則可以復用商用密碼應用安全性評估報告中“物理和環境安全”層面的相關測評結論;如果被測信息系統所在的IDC機房、運營商機房或云服務提供商機房等未通過或未開展商用密碼應用安全性評估,密評人員需現場取證,對于條件不允許的情況,可以要求IDC機房或云服務提供商機房等的運維方提供相關說明文件和證據以支撐測評結論。

        5.如何確定網絡和通信安全層面的測評對象?

        網絡和通信安全層面的測評對象主要是針對跨網絡訪問的通信信道,這里的跨網絡訪問指的是從不受保護的網絡區域訪問被測系統。

        可以從通信主體和網絡類型兩個方面來確定網絡和通信安全層面的測評對象:

        (1) 網絡類型:這里主要依據網絡之間是否相對獨立進行分類,如互聯網、政務外網、企業專網等;

        (2) 通信主體:指的是參與通信的各方,典型的如客戶端與服務端。例如,PC機上運行的瀏覽器與服務器上運行的web服務系統,移動智能終端上運行的APP與服務器上運行的應用系統;也可以是服務端與服務端,例如,IPSec VPN與IPSec VPN之間。

        6.如何確定設備和計算安全層面的測評對象?

        設備和計算層面的測評對象主要包括通用服務器(如應用服務器、數據庫服務器)、數據庫管理系統、整機類和系統類的密碼產品、堡壘機(當系統使用堡壘機用于對設備進行集中管理時,不涉及應用和數據安全層面)等。

        交換機、網閘、防火墻、WAF等未使用密碼功能的網絡設備、安全設備一般不作為設備和計算安全層面的測評對象。需要注意若存在管理通道跨越邊界的情況,需在網絡和通信安全層面梳理一條遠程管理數據傳輸通道作為測評對象。

        建議在密評報告中,對設備和計算層面的測評對象進行分類整理和描述。至少分為密碼產品/設備、具有密碼功能的網絡及安全設備、采用密碼技術的其他產品、通用設備、不具有密碼功能的網絡及安全設備、虛擬設備和系統。

        7.合規密碼產品的“身份鑒別”“系統資源訪問控制信息完整性”“日志記錄完整性”“重要可執行程序完整性、重要可執行程序來源真實性”等設備和計算安全層面的指標,應該如何測評?

        在確認密碼產品具有合格的商用密碼產品認證證書,且可以確定實際部署的密碼產品與獲認證產品一致的情況下,考慮到密碼產品功能確定且自身安全防護能力較高,針對整機類密碼產品的“系統資源訪問控制信息完整性”“日志記錄完整性”“重要可執行程序完整性、重要可執行程序來源真實性”這三個設備和計算安全層面的指標,可判定為符合。

        但是,針對整機類密碼產品的“身份鑒別”指標不能直接判定為符合,還需要進一步實地查看密碼產品是否采用了密碼技術(如智能IC卡、智能密碼鑰匙、動態口令等)對登錄設備的用戶等進行身份鑒別,從而保證用戶身份的真實性。

        8.如何確定應用和數據安全層面的測評對象?

        應用和數據安全層面的測評對象應包含關鍵業務應用,具體參考通過專家評審后的密碼應用方案設定的范圍確定。如無密碼應用方案,應根據網絡安全等級保護定級報告描述的范圍確定。關鍵業務應用一般情況下應包含被測系統的所有業務應用,關鍵業務應用中的關鍵數據一般包含但不限于以下數據:鑒別數據、重要業務數據、重要審計數據、個人敏感信息以及法律法規規定的其他重要數據類型。


        9.在依據GB/T 39786—2021 9.7 a)條款密評時,密碼應用方案該如何理解?

        對于已建信息系統,其密碼應用方案并不追溯到系統最初規劃時的方案,該信息系統根據相關標準、密碼應用需求以及前期密評的整改建議,制定的密碼應用改造方案可視為該系統的密碼應用方案。后續,即可依據GM/T 0115《信息系統密碼應用測評要求》的相關要求進行判定。需要說明的是,對于新建信息系統,除依據GM/T 0115進行符合性判定外,還應按照《信息系統密碼應用高風險判定指引》進行風險評價。


        亚洲AV无码乱码国产精品,免费又黄又爽又猛的毛片,亚洲色大成网站WWW尤物