工控網(wǎng)首頁
>

應(yīng)用設(shè)計(jì)

>

干貨|深度解讀密評(píng)整改與建設(shè)六步驟

干貨|深度解讀密評(píng)整改與建設(shè)六步驟

引言

密碼作為網(wǎng)絡(luò)空間安全體系的重要組成部分,是目前世界上公認(rèn)的,保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟(jì)的關(guān)鍵核心技術(shù),是網(wǎng)絡(luò)空間安全防護(hù)的“基因”和信任體系的基石。在商用密碼領(lǐng)域,國家出臺(tái)一系列法律法規(guī)、政策文件和標(biāo)準(zhǔn)規(guī)范,為各單位密碼應(yīng)用建設(shè)與整改提供了方向和指南。

  • 《中華人民共和國密碼法》

  • 《國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》

  • 《商用密碼管理?xiàng)l例》

  • 《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》

綜合分析國內(nèi)網(wǎng)絡(luò)安全領(lǐng)域法律法規(guī)和政策文件,政務(wù)信息系統(tǒng)、(非涉密)關(guān)鍵信息基礎(chǔ)設(shè)施、等保三級(jí)以上網(wǎng)絡(luò)應(yīng)當(dāng)開展密碼應(yīng)用安全性評(píng)估(簡(jiǎn)稱:“密評(píng)”)! “密評(píng)”是重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營者必須承擔(dān)的責(zé)任,很多單位在缺乏密評(píng)建設(shè)或整改措施的情況下直接進(jìn)行密評(píng),導(dǎo)致密評(píng)結(jié)果不合格,造成資金、人力等資源的浪費(fèi)。

安盟信息作為領(lǐng)先的商用密碼應(yīng)用解決方案供應(yīng)商,結(jié)合成功的實(shí)踐經(jīng)驗(yàn),總結(jié)了完成信息系統(tǒng)密評(píng)建設(shè)與整改的六個(gè)步驟,詳細(xì)內(nèi)容如下。

步驟一:明確密評(píng)建設(shè)與整改目標(biāo)

  • 以系統(tǒng)的等保定級(jí)范圍作為密評(píng)的測(cè)評(píng)范圍,各單位需明確自身信息系統(tǒng)法律法規(guī)、政策文件和標(biāo)準(zhǔn)規(guī)范約束,確定信息系統(tǒng)密評(píng)建設(shè)與整改目標(biāo)。

  • 通過了解上級(jí)主管部門、所屬行業(yè)以及業(yè)務(wù)信息系統(tǒng)存儲(chǔ)、傳輸和處理數(shù)據(jù)性質(zhì)等方面,確定自身需要遵從哪些合規(guī)要求。

如信息系統(tǒng)建設(shè)運(yùn)營單位主要目的在于通過商用密碼技術(shù)加強(qiáng)自身網(wǎng)絡(luò)安全,需對(duì)自身安全需求進(jìn)行詳細(xì)梳理,重點(diǎn)梳理用戶身份認(rèn)證、數(shù)據(jù)加密傳輸和存儲(chǔ)方面的安全需求,以此明確密碼應(yīng)用建設(shè)與整改的主要目標(biāo)。

步驟二:信息系統(tǒng)調(diào)研

明確密碼應(yīng)用建設(shè)和整改的主要目標(biāo)后,要圍繞目標(biāo)對(duì)自身信息系統(tǒng)開展詳細(xì)調(diào)研。調(diào)研的主要內(nèi)容包括:

  • 信息系統(tǒng)基本情況;

  • 物理環(huán)境情況與物理安防設(shè)施;

  • 拓?fù)鋱D與網(wǎng)絡(luò)結(jié)構(gòu)描述;

  • 已部署密碼產(chǎn)品或應(yīng)用;

  • 服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫管理系統(tǒng)情況;

  • 關(guān)鍵業(yè)務(wù)應(yīng)用情況;

  • 關(guān)鍵數(shù)據(jù)情況等。

實(shí)際上密碼應(yīng)用安全性評(píng)估信息系統(tǒng)調(diào)研的內(nèi)容相當(dāng)繁多復(fù)雜且有深度,很多運(yùn)營單位調(diào)研工作不完善,為密評(píng)工作帶來了巨大麻煩。為了方便大家開展自身信息系統(tǒng)調(diào)研工作,安盟信息可為大家提供詳細(xì)的《信息系統(tǒng)密碼應(yīng)用方案情況調(diào)研表》。

步驟三:密碼應(yīng)用需求梳理

結(jié)合信息系統(tǒng)調(diào)研結(jié)果并對(duì)標(biāo)GB/T 39786-2021《信息系統(tǒng)密碼應(yīng)用基本要求》中的密碼應(yīng)用要求,梳理信息系統(tǒng)密碼應(yīng)用需求。信息系統(tǒng)建設(shè)運(yùn)營單位可參照《信息系統(tǒng)密碼應(yīng)用需求表》整理自身密碼應(yīng)用需求。(下表主要考慮等保三級(jí)系統(tǒng),且僅包括密碼技術(shù)要求部分。)

0726表格1.png

表中標(biāo)紅的指標(biāo)要求是高風(fēng)險(xiǎn)項(xiàng),如果信息系統(tǒng)未能滿足高風(fēng)險(xiǎn)項(xiàng)而又無相關(guān)合規(guī)的替代或緩解措施,則很有可能被“一票否決”,導(dǎo)致密評(píng)不通過。

步驟四:密碼應(yīng)用方案編制

  • 針對(duì)密評(píng)建設(shè)/整改工程,制定密評(píng)方案要充分考慮信息系統(tǒng)現(xiàn)狀、密評(píng)合規(guī)要求、工程實(shí)施的現(xiàn)實(shí)可行性;

  • 平衡成本與安全風(fēng)險(xiǎn)降低的收益,選擇最佳的技術(shù)路線;

  • 按照有關(guān)部門提供的模板編制《XXX信息系統(tǒng)密碼應(yīng)用方案》。

目前,安盟信息已總結(jié)了各行業(yè)、各種場(chǎng)景設(shè)定下的典型密碼應(yīng)用方案模板以便用戶使用。

步驟五:密碼應(yīng)用部署

按照密碼應(yīng)用方案采購相關(guān)密碼產(chǎn)品和密碼應(yīng)用系統(tǒng),為避免造成浪費(fèi),現(xiàn)將目前主流的密碼產(chǎn)品的部署條件整理成下表。

0726表格2.png

步驟六:密碼應(yīng)用安全性評(píng)估

在完成密碼應(yīng)用方案編制和密評(píng)建設(shè)/整改實(shí)施后,需要密碼測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行密碼應(yīng)用安全性評(píng)估(即密評(píng))。

目前發(fā)布的密評(píng)機(jī)構(gòu)有兩類,一類是各省市培育的密評(píng)機(jī)構(gòu),另一類是國家重要行業(yè)培育的密評(píng)機(jī)構(gòu),所有密評(píng)機(jī)構(gòu)均可在全國開展密評(píng)業(yè)務(wù)。

安盟信息擁有一支經(jīng)驗(yàn)豐富的商用密碼領(lǐng)域的技術(shù)專家團(tuán)隊(duì),以自身特色的密碼技術(shù)產(chǎn)品體系為基礎(chǔ),可根據(jù)客戶信息系統(tǒng)情況提供完善的密評(píng)建設(shè)方案,以及基于密評(píng)建設(shè)與整改的技術(shù)咨詢服務(wù),為客戶提供全面、優(yōu)質(zhì)的密碼應(yīng)用和建設(shè)服務(wù)。

審核編輯(
王靜
)
投訴建議

提交

查看更多評(píng)論
其他資訊

查看更多

一站式全覆蓋|安盟信息助力建設(shè)云密碼服務(wù)運(yùn)營體系

商用密碼產(chǎn)品|服務(wù)器密碼機(jī)的前世今生

創(chuàng)新商用密碼應(yīng)用|火力發(fā)電廠信息系統(tǒng)密碼應(yīng)用方案

攜手共赴未來 護(hù)航數(shù)智發(fā)展 新奧集團(tuán)與安盟信息簽署戰(zhàn)略合作

智慧礦山無人礦車密碼應(yīng)用解決方案