很多使用者都被密評困擾著,什麼是密評?為什麼要開展密評?如何順利透過密評?接下來由浪潮雲告訴您,開啟密評合規之門的“金鑰匙”!
什麼是密評
“密評”全稱商用密碼應用安全性評估,指採用商用密碼技術、產品和服務整合建設網路和資訊系統中,對其密碼應用的合規性、正確性、有效性等進行評估。
密評目標物件包括基礎資訊網路、涉及國計民生和基礎資訊資源的重要資訊系統、重要工業控制系統、面向社會服務的政務資訊系統,以及關鍵資訊基礎設施、網路安全等級保護第三級及以上的資訊系統。
密評具體測評點:依據GB/T 39786-2021《資訊保安技術 資訊系統密碼應用基本要求》和密碼測評配套的5個文件,主要從8個方面展開測評,如下圖所示:
密評採用同等保一樣的打分制,以三級密評為例,8個方面一共41個檢測項,其中技術佔70分、管理佔30分,最終測評結果60以上並且無高風險就可以透過。
為什麼要開展密評
是保障系統安全的重要抓手
資訊保安三要素CIA,分別是:保密性、完整性以及可用性。其中保密性與完整性均需依賴密碼技術來實現,所以密碼技術是保障系統安全的重要抓手,構建密碼保障體系可以有效抵禦各類網路攻擊。
密評是檢驗密碼保障體系的有效技術手段,透過對網路和資訊系統整體的專項測評,可以及時掌握商用密碼的安全狀況,並可依據評估結果及時進行調整和改進,確保密碼保障體系的有效性。
是運營者的法定責任和義務
如何順利透過密評
在整個密評實施過程中,有兩個最重要的環節制定方案和測評驗收,其中密碼應用方案是整個測評過程中的重中之重。在測評活動開展之前,密碼應用方案需要透過密評機構的評估或者密碼應用專家的評審,使用者按照密碼應用方案進行系統的建設或改造,最後密評機構再按照透過評審的密碼應用方案作為測評實施的依據,開展針對資訊系統的密評。密碼應用方案是使用者新建或改造密碼應用的起點,決定著密碼應用能否合規、正確、有效地部署實施,同時還是開展密評工作不可或缺的重要參考檔案。
浪潮雲密碼應用解決方案
為讓政務使用者更加便捷的透過密評,浪潮雲以政務雲上客戶密碼服務需求為出發點,結合密評各項標準,推出密碼應用解決方案。
浪潮雲密碼應用解決方案依照GB/T 39786-2021《資訊系統密碼應用基本要求》,分別從物理和環境、網路和通訊、裝置和計算、應用和資料以及秘鑰管理、管理制度等方面的進行設計。充分調研後結合使用者資訊系統的實際情況,參照《政務資訊系統密碼應用與安全性評估工作指南》中的政務資訊系統密碼應用方案模板,主要從系統現狀分析、密碼應用需求分析、總體方案設計、密碼技術方案設計、管理體系設計、安全與合規性分析和實施保障方案等幾個部分完善。
浪潮雲密碼服務平臺完全遵循國家密碼管理部門釋出的系列規範,密碼裝置、密碼體系符合密碼行業相關標準,方案中採用的各類密碼產品和軟體,都已經國密局批覆的產品,所有密碼裝置都支援SM2、SM3、SM4系列國密演算法,符合國密密碼管理政策,安全性高。
依託於浪潮雲提供的政務雲平臺基礎設施能力,在已有的IaaS、PaaS、SaaS服務上,採用高效能密碼演算法的技術、軟體和產品保障業務系統建設、執行過程中對密碼效能的要求,以及對資料損耗的要求。透過對國產密碼演算法的最佳化,打造基於密碼服務平臺為支撐的雲密碼服務體系,部署各類密碼基礎設施,結合密碼服務平臺,提供高度集約化的密碼通用服務和密碼典型服務,為上層各類政務資料中臺、業務應用提供密碼服務支撐能力。同時滿足政務大資料、資料倉庫、結構化和非結構化儲存環節中對加密的需求。
