大主宰,小说改编的网页游戏

商用密碼應(yīng)用安全性評(píng)估的重要性

一、密碼應(yīng)用問題

如何合規(guī)、正確、有效使用商用密碼，充分發(fā)揮商用密碼在保障網(wǎng)絡(luò)空間安全中的核心技術(shù)和基礎(chǔ)支撐作用，關(guān)于國(guó)家大局、關(guān)乎網(wǎng)絡(luò)空間安全、關(guān)于用戶個(gè)人隱私。因此，要在保證商用密碼應(yīng)用大力推進(jìn)和普及的同時(shí)，做好網(wǎng)絡(luò)與信息系統(tǒng)的商用密碼應(yīng)用安全性評(píng)估，確保商用密碼應(yīng)用的合規(guī)、正確、有效。

密碼安全形勢(shì)嚴(yán)峻，商用密碼應(yīng)用現(xiàn)狀不容樂觀，主要存在以下問題：

①密碼應(yīng)用不廣泛

目前，我國(guó)網(wǎng)絡(luò)的整體安全防護(hù)能力十分脆弱，大量數(shù)據(jù)沒有使用密碼技術(shù)保護(hù)，處于“裸奔” 狀態(tài)，有些數(shù)據(jù)即使用了密碼技術(shù)保護(hù)措施也是使用了不合規(guī)的密碼技術(shù)，存在巨大的安全隱患。有關(guān)部門對(duì)所轄信息系統(tǒng)進(jìn)行檢查，結(jié)果表明商用密碼應(yīng)用比重較低，系統(tǒng)安全防護(hù)能力十分薄弱。

②密碼應(yīng)用不規(guī)范

1999年《商用密碼管理?xiàng)l例》（2020年8月20日國(guó)家密碼管理局發(fā)布了修訂草案征求意見稿）提出任何單位或個(gè)人只能使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生嚴(yán)的密碼產(chǎn)品。近年來雖然中央、地方、行業(yè)相繼出臺(tái)一些規(guī)定和配套制度、要求，但在一些地區(qū)和部門并未得到有效實(shí)施。－些單位重信息化建設(shè)、輕信息安全保護(hù)，信息系統(tǒng)密碼使用不規(guī)范、不正確，在密鑰管理、密碼系統(tǒng)運(yùn)行維護(hù)等方面存在風(fēng)險(xiǎn)。

③密碼應(yīng)用不安全

現(xiàn)有大量系統(tǒng)依舊在使用MD5、SHA-1、RSA-1024、DES等已被警示有風(fēng)險(xiǎn)的密碼算法，以及基于這些密碼算法提供的不安全密碼服務(wù)。此外，應(yīng)用系統(tǒng)應(yīng)按規(guī)范要求使用密碼服務(wù)、或者調(diào)用密碼應(yīng)用接口等等，這給信息系統(tǒng)帶來了嚴(yán)重安全隱患。

二、商用密碼應(yīng)用安全性評(píng)估是發(fā)揮密碼作用的必要手段

商用密碼應(yīng)用安全性評(píng)估（密評(píng)）是商用密碼檢測(cè)認(rèn)證體系建設(shè)的重要組成部分，是衡量商用密碼應(yīng)用是否合規(guī)、正確、有效的重要抓手。開展密評(píng)是維護(hù)網(wǎng)絡(luò)空間安全、規(guī)范商用密碼應(yīng)用的客觀要求，是深化商用密碼“放管服”改革、加強(qiáng)事申事后監(jiān)管的重要手段，也是重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營(yíng)者和主管部門必須承擔(dān)的法定責(zé)任。

①開展密評(píng)是應(yīng)用網(wǎng)絡(luò)安全嚴(yán)峻形勢(shì)的迫切需要

建立密評(píng)體系，就是為了解決商用密碼應(yīng)用中存在的突出問題，為重要網(wǎng)絡(luò)與信息系統(tǒng)的安全提供科學(xué)評(píng)價(jià)方法，以評(píng)促建、以評(píng)促改、以評(píng)促用，逐步規(guī)范商用密碼的使用和管理，從根本上改變商用密碼應(yīng)用不廣泛、不規(guī)范、不安全的現(xiàn)狀，確保商用密碼在網(wǎng)絡(luò)與信息系統(tǒng)中的有效使用，切實(shí)構(gòu)建起堅(jiān)實(shí)可靠的網(wǎng)絡(luò)空間安全密碼屏障。

②開展密評(píng)是系統(tǒng)安全維護(hù)的必然要求

商用密碼應(yīng)用安全是整體的、系統(tǒng)的、動(dòng)態(tài)的。密碼安全是網(wǎng)絡(luò)與信息系統(tǒng)安全的前提，構(gòu)建成體系的、安全茍效的密碼保障系統(tǒng)，對(duì)重要網(wǎng)絡(luò)與信息系統(tǒng)有效抵徊網(wǎng)絡(luò)攻擊具有關(guān)鍵作用和重要意義。密碼應(yīng)用是否合規(guī)、正確、有效，涉及密碼算法、協(xié)議、產(chǎn)品、技術(shù)體系、密鑰管理、密碼應(yīng)用等多個(gè)方面。有必要委托專業(yè)機(jī)構(gòu)、專業(yè)人員，采用專業(yè)工具和專業(yè)手段，對(duì)系統(tǒng)整體的商用密碼應(yīng)用安全進(jìn)行專項(xiàng)測(cè)試和綜合評(píng)估，形成科字準(zhǔn)確的評(píng)估結(jié)果，以便及時(shí)掌握商用密碼安全現(xiàn)狀，采取必要的技術(shù)和管理措施。

③開展密評(píng)是相關(guān)責(zé)任主體的法定職責(zé)

《中華人民共和國(guó)密碼法》規(guī)定，法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》也指出，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，并明確在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)。采取技術(shù)措施和真他必要措施，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性?！毒W(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）》強(qiáng)化密碼應(yīng)用要求，突出密碼應(yīng)用監(jiān)管，重點(diǎn)面向網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上系統(tǒng)，落實(shí)密碼應(yīng)用安全性評(píng)估制度。因此，針對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施開展密評(píng)，將是網(wǎng)絡(luò)運(yùn)營(yíng)者和主管部門的法定責(zé)任。

首頁(yè) 關(guān)于我們密碼測(cè)評(píng) 最新動(dòng)態(tài) 招賢納士國(guó)家密碼管理局國(guó)家行業(yè)標(biāo)準(zhǔn)技術(shù)委員會(huì)