密评密改概述
随着信息技术的快速发展,网络安全问题日益突出,商用密码作为保障信息安全的重要手段,其应用安全性和改造问题越来越受到关注。
密评密改,即商用密码应用安全性评估和商用密码改造,是确保信息系统安全的重要环节。
密评是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。
密评的意义
密评是对商用密码应用系统进行全面安全性评估的过程,旨在发现潜在的安全隐患并提出改进措施。在信息化背景下,密评的意义在于:
■保障信息安全:通过密评,可以发现并修复密码应用中的安全漏洞,有效防止信息泄露和非法访问。
■提升系统防御能力:密评有助于提升系统的抗攻击能力,确保信息系统在遭遇网络攻击时能够保持稳定运行。
■符合法规要求:许多国家和地区对商用密码的使用有明确的法规要求,密评是符合这些法规要求的必要步骤。
密评内容:密码应用安全性
■ 机密性技术要求
(1)身份鉴别信息
(2)密钥数据
(3)传输的重要数据
(4)信息系统应用中所有存储的重要数据
■ 真实性技术要求
(1)进入重要物理区域人员的身份鉴别
(2)通信双方的身份鉴别
(3)网络设备接入时的身份鉴别
(4)重要可执行程序的来源真实性保证
(5)登录操作系统和数据库系统的用户身份鉴别
(6)应用系统的用户身份鉴别
■完整性技术要求
(1)身份鉴别信息
(2)密钥数据
(3)日志记录
(4)访问控制信息
(5)重要可执行程序
(6)视频监控音像记录
(7)电子门禁系统进出记录
(8)传输的重要数据
(9)信息系统应用中所有存储的重要数据
■ 不可抵赖性
(10)应用数据
密评的方法和流程
密评通常采用定性和定量相结合的方法,
包括漏洞扫描、风险评估、渗透测试等手段。密评流程一般包括以下几个步骤:
必做密评的六个原因
(1)政策要求:《密码法》、国办发57号文、《关键信息基础设施安全保护条例》、《电子认证服务密码管理办法》等相关政策法规要求信息系统要开展密码应用安全性评估。
(2)行业监管:通过行业主管部门的监管,要求行业单位需要通过密评,提高系统安全防御能力,如金融、医疗等。
(3)等保延伸:等保可以解决网络监控、边界防护、集中安全管理、访问控制、安全审计等,密评可进一步有效解决数据传输和存储机密性及完整性、数据来源真实可信、操作行为不可否认。
(4)安全需求:保证数据机密性、完整性、来源真实性等。
(5)业务属性:情报板、网站等防篡改、电子合同、电子票据等防篡改及否认、网上交易、医疗健康等防泄漏。
(6)数据合规:《数据安全法》出台,加快我国数据安全合规的进程,通过密码可以为数据采集、存储、整合、呈现与使用、分析与应用、归档和销毁全生命周期保驾护航。
密改的实践案例
为了更直观地了解密评密改的过程和效果,我们可以参考一些实践案例。例如,某银行在进行信息系统升级时,发现原有的密码应用存在安全隐患。通过密评,银行发现了系统中的多个安全漏洞,并制定了相应的改造措施。改造后,银行的信息系统安全性得到了显著提升,成功抵御了多次网络攻击。
密评密改变“推荐”为“强制”
(1)变“推荐性”为“强制化”,推进商用密码应用安全性评估《条例》中明确规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施都被要求“自行或者委托商用密码检测机构开展商用密码应用安全性评估”。《条例》直接体现了等保2.0的要求,网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。同时,《条例》也将商用密码应用安全性评估的范围予以扩展。《密码法》第27条仅规定使用商用密码进行保护的关键信息基础设施,自行或者委托商用密码检测机构开展商用密码应用安全性评估。而在《条例》中,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施都被要求“自行或者委托商用密码检测机构开展商用密码应用安全性评估”。
(2)鼓励使用商密保护网络安全,密评、等保和关保加强衔接《条例》坚持总体国家安全观,统筹发展和安全,一方面规定网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。另一方面,明确商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评。《条例》关于密评的规定,既是对关键信息基础设施运营者密评主体责任的明确,也对密评体系建设提出了更高要求,指引着密评体系建设不断发展完善。
结论
商用密码应用改造是提高信息安全水平、满足法规政策要求、优化系统性能的重要举措。通过采取合理的改造方法,积极应对挑战,我们可以有效提升信息系统的安全性和效率,为企业和组织的稳健发展提供有力保障。
文章来源:FreeBuf.Com 观源科技
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...