干貨|深度解讀密評整改與建設(shè)六步驟
引言
密碼作為網(wǎng)絡(luò)空間安全體系的重要組成部分,是目前世界上公認(rèn)的,保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟(jì)的關(guān)鍵核心技術(shù),是網(wǎng)絡(luò)空間安全防護(hù)的“基因”和信任體系的基石。在商用密碼領(lǐng)域,國家出臺一系列法律法規(guī)、政策文件和標(biāo)準(zhǔn)規(guī)范,為各單位密碼應(yīng)用建設(shè)與整改提供了方向和指南。
《中華人民共和國密碼法》
《國家政務(wù)信息化項目建設(shè)管理辦法》
《商用密碼管理條例》
《貫徹落實網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》
綜合分析國內(nèi)網(wǎng)絡(luò)安全領(lǐng)域法律法規(guī)和政策文件,政務(wù)信息系統(tǒng)、(非涉密)關(guān)鍵信息基礎(chǔ)設(shè)施、等保三級以上網(wǎng)絡(luò)應(yīng)當(dāng)開展密碼應(yīng)用安全性評估(簡稱:“密評”)! “密評”是重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)運營者必須承擔(dān)的責(zé)任,很多單位在缺乏密評建設(shè)或整改措施的情況下直接進(jìn)行密評,導(dǎo)致密評結(jié)果不合格,造成資金、人力等資源的浪費。
安盟信息作為領(lǐng)先的商用密碼應(yīng)用解決方案供應(yīng)商,結(jié)合成功的實踐經(jīng)驗,總結(jié)了完成信息系統(tǒng)密評建設(shè)與整改的六個步驟,詳細(xì)內(nèi)容如下。
步驟一:明確密評建設(shè)與整改目標(biāo)
以系統(tǒng)的等保定級范圍作為密評的測評范圍,各單位需明確自身信息系統(tǒng)法律法規(guī)、政策文件和標(biāo)準(zhǔn)規(guī)范約束,確定信息系統(tǒng)密評建設(shè)與整改目標(biāo)。
通過了解上級主管部門、所屬行業(yè)以及業(yè)務(wù)信息系統(tǒng)存儲、傳輸和處理數(shù)據(jù)性質(zhì)等方面,確定自身需要遵從哪些合規(guī)要求。
如信息系統(tǒng)建設(shè)運營單位主要目的在于通過商用密碼技術(shù)加強(qiáng)自身網(wǎng)絡(luò)安全,需對自身安全需求進(jìn)行詳細(xì)梳理,重點梳理用戶身份認(rèn)證、數(shù)據(jù)加密傳輸和存儲方面的安全需求,以此明確密碼應(yīng)用建設(shè)與整改的主要目標(biāo)。
步驟二:信息系統(tǒng)調(diào)研
明確密碼應(yīng)用建設(shè)和整改的主要目標(biāo)后,要圍繞目標(biāo)對自身信息系統(tǒng)開展詳細(xì)調(diào)研。調(diào)研的主要內(nèi)容包括:
信息系統(tǒng)基本情況;
物理環(huán)境情況與物理安防設(shè)施;
拓?fù)鋱D與網(wǎng)絡(luò)結(jié)構(gòu)描述;
已部署密碼產(chǎn)品或應(yīng)用;
服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫管理系統(tǒng)情況;
關(guān)鍵業(yè)務(wù)應(yīng)用情況;
關(guān)鍵數(shù)據(jù)情況等。
實際上密碼應(yīng)用安全性評估信息系統(tǒng)調(diào)研的內(nèi)容相當(dāng)繁多復(fù)雜且有深度,很多運營單位調(diào)研工作不完善,為密評工作帶來了巨大麻煩。為了方便大家開展自身信息系統(tǒng)調(diào)研工作,安盟信息可為大家提供詳細(xì)的《信息系統(tǒng)密碼應(yīng)用方案情況調(diào)研表》。
步驟三:密碼應(yīng)用需求梳理
結(jié)合信息系統(tǒng)調(diào)研結(jié)果并對標(biāo)GB/T 39786-2021《信息系統(tǒng)密碼應(yīng)用基本要求》中的密碼應(yīng)用要求,梳理信息系統(tǒng)密碼應(yīng)用需求。信息系統(tǒng)建設(shè)運營單位可參照《信息系統(tǒng)密碼應(yīng)用需求表》整理自身密碼應(yīng)用需求。(下表主要考慮等保三級系統(tǒng),且僅包括密碼技術(shù)要求部分。)
表中標(biāo)紅的指標(biāo)要求是高風(fēng)險項,如果信息系統(tǒng)未能滿足高風(fēng)險項而又無相關(guān)合規(guī)的替代或緩解措施,則很有可能被“一票否決”,導(dǎo)致密評不通過。
步驟四:密碼應(yīng)用方案編制
針對密評建設(shè)/整改工程,制定密評方案要充分考慮信息系統(tǒng)現(xiàn)狀、密評合規(guī)要求、工程實施的現(xiàn)實可行性;
平衡成本與安全風(fēng)險降低的收益,選擇最佳的技術(shù)路線;
按照有關(guān)部門提供的模板編制《XXX信息系統(tǒng)密碼應(yīng)用方案》。
目前,安盟信息已總結(jié)了各行業(yè)、各種場景設(shè)定下的典型密碼應(yīng)用方案模板以便用戶使用。
步驟五:密碼應(yīng)用部署
按照密碼應(yīng)用方案采購相關(guān)密碼產(chǎn)品和密碼應(yīng)用系統(tǒng),為避免造成浪費,現(xiàn)將目前主流的密碼產(chǎn)品的部署條件整理成下表。
步驟六:密碼應(yīng)用安全性評估
在完成密碼應(yīng)用方案編制和密評建設(shè)/整改實施后,需要密碼測評機(jī)構(gòu)對信息系統(tǒng)進(jìn)行密碼應(yīng)用安全性評估(即密評)。
目前發(fā)布的密評機(jī)構(gòu)有兩類,一類是各省市培育的密評機(jī)構(gòu),另一類是國家重要行業(yè)培育的密評機(jī)構(gòu),所有密評機(jī)構(gòu)均可在全國開展密評業(yè)務(wù)。
安盟信息擁有一支經(jīng)驗豐富的商用密碼領(lǐng)域的技術(shù)專家團(tuán)隊,以自身特色的密碼技術(shù)產(chǎn)品體系為基礎(chǔ),可根據(jù)客戶信息系統(tǒng)情況提供完善的密評建設(shè)方案,以及基于密評建設(shè)與整改的技術(shù)咨詢服務(wù),為客戶提供全面、優(yōu)質(zhì)的密碼應(yīng)用和建設(shè)服務(wù)。
提交
一站式全覆蓋|安盟信息助力建設(shè)云密碼服務(wù)運營體系
商用密碼產(chǎn)品|服務(wù)器密碼機(jī)的前世今生
創(chuàng)新商用密碼應(yīng)用|火力發(fā)電廠信息系統(tǒng)密碼應(yīng)用方案
攜手共赴未來 護(hù)航數(shù)智發(fā)展 新奧集團(tuán)與安盟信息簽署戰(zhàn)略合作
智慧礦山無人礦車密碼應(yīng)用解決方案