沃通具备密码应用产品能力及服务能力,联合密评咨询、测评等合作伙伴,提供一站式、全流程密码测评整改解决方案,帮助政企客户高效有序地完成测评整改工作,满足业务应用安全需求并符合法规政策要求。
密评简介
什么是密评?
商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。密码技术是保障网络安全的核心技术和基础支撑,是落实国家网络安全战略的重要手段。我国陆续颁布多项法律法规和政策性文件对密码应用安全性评估提出明确要求,密码应用和密码测评已成为法定责任和义务。
密评的对象
《商用密码应用安全性评估管理办法(试行)》第三条、第二十条:涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位) 应当健全密码保障体系,实施商用密码应用安全性评估。
重要领域网络和信息系统包括:
基础信息网络
重要工业控制系统
关键信息基础设施
涉及国计民生和基础信息资源的重要信息系统
面向社会服务的政务信息系统
网络安全等级保护第三级及以上信息系统
密评的周期
《商用密码应用安全性评估管理办法(试行)》第二章第十条:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
政策要求
《国家安全法》第二十五条
“加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。
《网络安全法》第二十一条
“国家实行网络安全等级保护制度,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改……”;都需要发挥密码技术的核心支撑作用。
《密码法》第二十七条
“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”
《国家政务信息化建设管理办法》
要求“三同步”规划密码保障系统,并进行密评工作。对于不符合密码应用和网络安全要求的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
要求落实密码安全保障政策,明确了等保三级及以上网络在规划、建设和运行阶段要充分考虑符合要求的密码产品与服务,要求在等保测评中同步开展商用密码应用安全性评(密评)工作。
密码应用基本要求
安全管理
制度、人员、实施、应急要求
物理和环境
密码技术实现物理访问控制、监控记录完整性保护等要求
网络和通信
密码技术实现网络传输过程的通信双方真实性、数据机密性、完整性保护等要求
密钥管理
密钥全生命周期管理,包括密码生成、密钥存储、使用、分发、导入导出、备份恢复、归档
应用和数据
密码技术实现身份真实性,数据传输和存储的机密性、完整性、行为不可抵赖性等要求
设备和计算
密码技术实现设备用户身份真实性、远程鉴别信息机密性、重要文件完整性保护等要求
服务内容
沃通公司密评工作主要参照《GBT 39786-2021信息安全技术 信息系统密码应用基本要求》等标准,对信息系统的规划、建设、 运行三个阶段的密码应用情况进行安全性评估。密评的责任主体包括网络与信息系统责任单位、密码测评机构、密码管理部门。在密码测评全流程中, 沃通为需要进行密评工作的责任单位(政企客户)提供全流程服务,保障密评工作的顺利开展。政企客户与沃通协同共担,共同完成密评工作。
产品推荐
网络和通信安全——国密SSL证书
国密SSL证书遵循国家标准技术规范并参考国际标准,支持SM2/SM3/SM4国产密码算法和国密安全协议,兼容360浏览器、密信浏览器、 红莲花浏览器等主要国密浏览器,使用国密算法实现SSL加密连接及服务器身份认证,通过自主可控的密码技术,保护数据传输安全和服务器身份可信。
密钥管理安全——密钥管理系统
密钥管理系统全面支持SM1、SM2、 SM3、 SM4国密算法,支持SM2密钥对、RSA密钥对,支持密码全生命周期管理,满足各行业信息化系统对业务数据、文件加解密等密钥管理安全要求。
设备和计算安全——国密USB Key、国密客户端证书
国密USB Key支持国密算法,配合国密客户端证书可用于Web互联网登录、网站身份认证、访问安全站点、应用系统认证、业务系统认证、企业内网认证、企业OA认证、行业专网认证、文件签名等应用场景,实现设备用户身份真实性、远程鉴别信息机密性、重要文件完整性保护等要求。
应用和数据安全——证书认证系统、VPN综合安全网关、电子签章、时间戳
部署证书认证系统、密钥管理系统、VPN安全网关等主要密码安全产品,为终端客户端密码应用、安全传输、服务端密码应用提供可信认证能力和数据安全保护能力,通过电子签章系统、时间戳系统添加电子签名、加盖时间戳,实现身份真实性、数据机密性完整性、行为不可否认性的保护。