商用密码应用建设解决方案.pdf

商用密码应用建设解决方案

闫彦

密评概述

01

密评定义、密评标准、密评工作流程

密码应用合规方案设计

02方案架构、技术原理、合规方案设计

特殊场景密码建设方案

03物联网场景、工业控制场景、移动办公场景、视频监控场景

密码相关产品简介

04常见密码产品、加固服务简介

密评概述

01密评定义、密评标准、密评工作流程

什么是密码

•密码是指使用特定变换对数据等信息进行加密保护或者安全认证的物项和技术。

Page4

密码是保障网络与信息安全的基石

Page5

商用密码应用现状

Page6

密评定义

•《密码法》第二十七条规定

➢法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础

设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机

构开展商用密码应用安全性评估(以下简称“密评”)。

➢定义：密评是指对采用商用密码技术、产品和服务集成建设的网络与信息系

统密码应用的合规性、正确性、有效性进行评估。

合规性：密码算法、密码技术、密码产品、密码模块和密码服务使用合规;

正确性：密码算法、密码协议、密钥管理、密码产品和服务使用正确;

有效性：密码协议、密钥管理系统、密码应用子系统和密码安全防护机制不仅设计合理，在系统

运行过程中能够发挥密码作用。

•密评意义

开展密评，是为了解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法，逐步规范商用

密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中

有效使用，切实构建起坚实可靠的网络安全密码屏障。

Page7

密评对象

Page8

密评相关角色及工作简介

Page9

测评标准及依据

•依据标准

➢GB/T39786-2021《信息系统密码应用基本要求》

➢《信息系统密码测评要求》（试行）

➢《信息系统密码测评过程指南》

➢《商用密码应用安全性评估管理办法》（试行）

➢《商用密码应用安全性评估作业指导书》

➢《商用密码应用安全性评估测评工具使用需求说明》

•参照标准

➢13个GB标准，53个GM

➢《GB/T22239-2018信息安全技术信息系统安全等级保护基本要求》

➢《GB/T20984-2007信息安全技术信息安全风险评估规范》

•关键点

➢相关密码产品需具有国密局相关资质认证

➢定制化的密码组件原则上单独取证（密码模块）

➢密码服务体系设计安全合规（密钥安全）

Page10

密评工作流程-被测单位

Page11

密评工作流程-测评机构