什么是密评?
密评是商用密码应用安全性评估的简称,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。简单地说,就是对使用了商业密码的系统进行评估,从而确保其密码应用的合规、正确、有效。
国密?商用密码?
- 国密(又称商用加密算法,即商密SM)是中国国家密码管理局制定的国家商用密码算法标准,旨在用于中国政府和企业的安全通信和信息保护。国密包括对称加密算法SM1、SM2椭圆曲线非对称加密算法、SM3哈希算法、SM4分组密码算法等。这些算法被国家密码管理局认定为国家商用密码算法,广泛用于政府机构和企业之间的安全通信。
- 国际商用密码通常是指在商业和民用领域广泛使用的密码算法和协议,由国际标准化组织(ISO)和其他国际组织制定和认可。商用密码主要用于保护计算机网络、通信和数据传输的安全。其中最著名的商用密码算法可能包括AES(高级加密标准)、RSA(Rivest-Shamir-Adleman)、3DES(Triple Data Encryption Standard)等。这些算法在全球范围内被广泛使用,并且经过了广泛的安全性评估和验证。
为什么各行各业都如此关注密评?
国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、网络安全保护第三级以上网络、国家政务信息系统等网络与信息系统开展商用密码应用安全性评估工作,即密评工作。
密评有哪些具体工作内容?
密评工作包括两部分重要内容:
- 信息系统规划阶段的密码应用方案评估:对于新建/改造信息系统,密码应用建设方案/改造方案,一般由责任单位组织商用密码从业单位编写, 包括:《密码应用解决方案》、《实施方案》和《应急处置方案》。责任单位编写密码应用建设方案/改造方案后,应委托测评机构对方案进行评估;
- 信息系统建设完成后的信息系统商用密码应用安全性评估:依据GB/T 39786的技术要求和管理要求开展评估工作,系统评估主要从物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面开展。
如何才能顺利通过密评?
目前密评测试机构主要依照GB/T 39786的技术要求和管理要求开展评估工作。GB/T 39786是贯彻落实《中华人民共和国密码法》,指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准。
