文章
  • 文章
  • 视频
搜索

投稿

首页 >> 行业热点 >>行业智库 >> 密评工作应坚持的八个原则
详细内容

密评工作应坚持的八个原则

“商用密码应用安全性评估”,是对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估的活动。密评工作过程必定要遵循一些原则,数观天下团队近期对密评工作过程中遇到的问题进行分析,提炼出八个应该坚持的原则


一、总体性原则

商用密码在信息系统中的应用不是孤立的,必须与信息系统的业务相结合才能发挥作用。因此,在密码应用方案设计中,应该做好顶层设计,明确应用需求和预期目标,与信息系统整体网络安全保护等级相结合,通过系统总体方案和密码支撑总体架构设计来引导密码在信息系统中的应用。

二、合规性原则

密评工作的合规性原则是指信息系统使用的密码算法、密码协议、密钥管理符合法律法规的规定和密码相关国家标准、行业标准的有关要求,使用的密码产品和密码服务经过国家密码管理部门核准或由具备资格的机构认证合格。

三、正确性原则

密评工作的合规性原则是指密码算法、密码协议、密钥管理、密码产品和服务使用正确,即系统中采用的标准密码算法、协议和密钥管理机制按照相应的密码国家和行业标准进行正确的设计和实现。自定义密码协议、密钥管理机制的设计和实现正确,安全性满足要求,密码保障系统建设或改造过程中密码产品和服务的部署和应用正确。

四、有效性原则

密评工作的有效性原则是指信息系统中实现的密码保障系统在信息系统运行过程中发挥了实际效用,满足了信息系统的安全需求,切实解决了信息系统面临的安全问题

五、全覆盖原则

密评工作的全覆盖原则是指在商用密码应用建设范围应覆盖密码技术在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理等方面的应用,还包括身份认证、网络传输、传输、存储和处理等所有环节。

六、实用性原则

密评工作的实用性原则是指在商用密码应用建设过程中,密码技术的使用应该既能保证安全性,又要能满足易用性和性能要求。“以评促建”只是第一步,最终目的是确保密码技术在实际使用中得到广泛应用并发挥其作用。

七、审计性原则

密评工作的审计性原则是指商用密码应用建设过程中应建立完备的审计机制,对安全事件进行记录和分析,及时发现和解决安全问题,防止未经授权的访问、修改、泄露等行为的发生。

八、管理性原则

密评工作的管理性原则包括密钥管理和安全管理密钥管理是指对密钥产生、分发、存储、使用、更新、归档、撒销、备份、恢复和销毁的全生命周期的管理,安全管理包括四个层面,包括管理制度、人员管理、建设运行和应急处置


总结


党中央、国务院高度重视商用密码工作。近年来,生成式人工智能、数据交易、数据全生命周期安全管理等业务场景的快速发展,关键信息基础设施安全重要性突显,复杂的应用场景和严峻的网络安全形势对商用密码提出了更高的保障需求。随着商用密码在网络与信息系统中广泛应用,其维护国家主权、安全和发展利益的作用越来越凸显。


“密评”工作的整体思路是“三同步一评估”,项目建设单位应当同步规划、同步建设、同步运行密码保障系统,每一个阶段都需要开展密评,面对各式各样的产品和众说纷纭的方案,要正确认识密码应用与密评工作,坚守八大原则,在密评工作的推动下守牢网络与信息安全的底线,针对密评工作的实施推进环节。


seo seo