引申出来的问题有很多,譬如“密评流程是什么?”“哪些对象需要进行密评?”“密评工具有哪些?”“xx系统测评有方案可以学习吗?”.......在网络命运共同体下,密码是保护网络共同体时代主权的最为重要的基础技术,商用密码则发挥保障网络空间安全中的核心技术和基础支撑作用,关乎国家大局、关乎网络空间安全、关乎用户个人隐私。因此,要在保证商用密码应用大力推进和普及的同时,做好网络和信息系统的商用密码应用安全性评估,确保商用密码应用的合规、正确、有效。毋庸置疑,“密评”已经成为了当下网络安全领域最重要最热门的话题之一,网络安全形势严峻,密评工作迫在眉睫!《密码法》于2020年1月1日正式实施,第二十七条明确规定:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”第三十七条:“关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。”国务院办公厅 第57号文件
《国家政务信息化项目建设管理办法》
《国家政务信息化项目建设管理办法》明确规定国家政务信息系统建设单位要落实国办57号文件要求,同步规划、同步建设、同步运行密码保障系统并定期进行密码应用安全性评估,保障密码应用方案咨询与编制、密码保障系统建设与改造及密评等相关工作经费,并配备一定数量的密码保障系统管理和运维人员。第三十八条:“非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。前款所列网络与信息系统通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况报送所在地设区的市级密码管理部门备案。 商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评。”第八条:“在重要领域网络和信息系统规划阶段,责任单位应当依据商用密码应用安全性有关标准,制定商用密码应用建设方案,组织专家或委托测评机构进行评估。评估结果作为项目规划立项的重要依据和申报使用财政性资金项目的必备材料。”第九条:“重要领域网络和信息系统建设完成后,责任单位应当委托测评机构进行商用密码应用安全性评估,评估结果作为项目建设验收的必备材料。”第十条:“重要领域网络和信息系统投入运行后,责任单位应当委托测评机构定期开展商用密码应用安全性评估,评估未通过,责任单位应当限期整改并重新组织评估。关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次,测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。对其他信息系统定期开展检查和抽查。”第十一条:“重要领域网络和信息系统发生密码相关重大安全事件、重大调整或特殊紧急情况时,责任单位应当及时组织测评机构开展商用密码应用安全性评估。”《关键信息基础设施网络安全保护基本要求》检查评估部分明确提出运营者应:a)自行或者委托网络安全服务机构对关键信息基础设施安全性和可能存在的风险每年至少进行一次检测评估,并及时整改发现的问题。b)检测评估内容包括但不限于网络安全制度(国家和行业相关法律法规政策文件及运营者制定的制度)落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护工作落实情况、密码应用安全性评估情况、......等,尤其关注关键信息基础设施跨系统、跨区域间的信息流动,及其关键业务流动过程中所经资产的安全防护情况。以等保2.0的三级安全通用要求为例,在十个层面中,有五个层面,共十三个安全要求项包含了密码技术和管理的要求,例如密码管理、测试验收、产品采购和使用、集中管控、身份鉴别、数据传输与存储完整性、保密性等。其中,安全建设管理-测试验收明确表示:“ b) 系统上线前应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。”《密码法》的实施吹响进军新时代的号角!网络软件化的时代,密码决定网络与系统安全;信息协作化的时代,密码推动网络工业化发展;数字经济化的时代,密码成为数字经济发展的核心技术;命运共同体的时代,密码保护网络与系统主权。其实,在这个万物互联的时代,各个领域都和密码有着千丝万缕的关系。懂些密评知识,已经成了网络安全行业的一种必备生存技能!关键信息基础设施相关人员:电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等重要行业和领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络和信息系统相关人员
国家政务信息系统相关人员:国务院有关部门和单位负责实施的国家统一电子政务网络平台、国家重点业务信息系统、国家信息资源库、国家信息安全基础设施、国家电子政务基础设施(数据中心、机房等)、国家电子政务标准化体系以及相关支撑体系等符合《政务信息系统定义和范围》规定的系统相关人员
商用密码从业人员、密码测评人员、等保测评人员、关基安全测评人员等
企业网络安全责任人员、企事业单位信息安全责任人员、信息安全管理、技术、服务人员、企业IT运维人员(网络、系统、机房等)
这些问题我们都已经想到了,经过长期的研发和不断的打磨,我们推出了一套深入浅出的密评系统课程——商用密码应用安全性评估!30年密码行业实战经验讲师,从理论到实践全方位、多角度为你解读,不仅可以让你迅速掌握系统的密评知识,还能在工作中将学到的知识应用起来,收获一个价值几十万的高薪技能!陈普贵,30年密码行业从业经验,对信息安全评估有多年研究经验,曾先后参与或主持多个国家重点信息安全研究课题,多次获得国家科技进步奖或成果奖,并参与规划和设计了国内首台2K电影放映服务器,其中,密码安全板卡首批通过美国FIPS-140-2 三级认证。
三大信息系统密评实操案例全流程解读,从密码应用到方案评审、应用评审,干货满满,实用率100%。
商用密码验证工具首次线上教学,专题详解从算法应用实例到密评工具及使用说明,拿来即用,上手率100%。
密评课程讲解详实,讲师专业,对技术标准和相关法规有较深的研究。
精品内容:本次课程将分别从理论和实践两个方面解读密评,对应课程则是以下两个模块。
该模块从密评背景讲起,深入讲述密码应用要求与实施要点、密评要求和技术方法、商用密码验证工具介绍、密评实施和案例 ;该模块分别从身份鉴别系统、综合网站群系统、电子印章系统三个应用场景深入解读密码应用、方案评审以及应用评审。在线学习有困惑有不解,不能面对面交流,想要探讨密码知识怎么办?注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。 
还没有评论,来说两句吧...