密评那些事儿
2023-8-29 16:36:8 Author: 浪飒sec(查看原文) 阅读量:37 收藏

密码技术上市公司净利润增长43.52%的黑马

三未信安

规模不大,为什么可以横空出世?

什么是密评?

   “密评”全称“密码应用安全性评估”,是指在采用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。

要求

    国家法律法规的强制要求。开展密评,是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。

l 《中华人民共和国密码法》第二十七条:法律、行政法规和国家有关规定要求使用密码进行保护的关键信息基础设施,其运营者应当使用密码进行保护,自行或者委托密码检测机构开展密码应用安全性评估。

l 《商用密码应用安全性评估管理办法(试行)》第十条:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。

l 《网络安全等级保护条例(征求意见稿)》第四十七条:第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。

l 《国家政务信息化项目建设管理办法》第十五条:项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。第二十五条:项目建设单位提交验收申请报告时应当附上密码应用安全性评估报告等材料。

趋势

    类似于等保,国家强制要求,凡是三级以上必须要密评,国家在推动的密码技术,国密算法的同时,市场趋势也会有微小变化,厂商会围绕密码技术研发一系列的密码产品,已含产品包括VPN和堡垒机等身份验证安全设备,以及专门的密码产品:签名验签服务器,服务器密码机,电子签章系统等。专注于密码产品的厂商,在此刻会受尽政策红利。如下图:

个人拙见

    客户方面,想要得分一定需要在应用系统层面定制开发,利用现有安全设备,即VPN,堡垒机(需符合国密算法且有合规证书)等间接对应用系统进行身份验证只能够保证消除高风险项,无法确保拿到分或高分。测评项包含:物理和环境安全,网络和通信安全,设备和计算机安全,应用和数据安全,安全管理。

最低标准(预算低)通过密评测评(三级)

必须去除所有高风险项,能拿的分一定要拿到,安全管理方面可与测评公司帮忙,测评前可与测评公司协商。

涉及产品服务:USBKey,数字证书,SSL VPN,IPSec VPN,服务器密码机,应用软件开发(与开发对接)。

部分参考
https://zhuanlan.zhihu.com/p/506477644

文章来源: http://mp.weixin.qq.com/s?__biz=MzI1ODM1MjUxMQ==&mid=2247493552&idx=1&sn=5f4b85be74c9cc04476803540a50634e&chksm=ea0bd3a0dd7c5ab6ec377ecb6808bef1dfbf0c63cd207fe73c44e2006f3e954914795753a4b4&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh