网络安全宣传周④|商用密码应用及评估

习近平总书记强调，“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”“举办网络安全宣传周、提升全民网络安全意识和技能，是国家网络安全工作的重要内容。”为贯彻落实好习近平总书记重要指示批示精神，进一步提升本系统干部职工和社会公众的网络安全意识，省自然资源厅以网络安全宣传周为契机，组织策划了网络安全系列宣传。

小编，我们的信息系统都已经使用了账户、密码予以保护的，为什么还要开展密码应用建设工作？

您说的“密码”只是“口令”喔！《密码法》中对密码的定义如下：采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。因此，密码不是简单的“口令”。

什么是特定变换的方法？

就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可识别的“密文”，只能在输入相应的密钥之后才能显示出原容，通过这样的途径来防止数据未经授权的泄露、修改和阅读，比较常见的有SM2,SM4,SM9等国密算法。

哦，原来是这样。看来我真得好好学习了。

国家对密码实行分类管理，主要是这三类：核心密码、普通密码和商用密码。

这三种密码的区别是什么呢？

核心密码、普通密码用于保护国家秘密信息，并由密码管理部门统一管理。商用密码用于保护不属于国家秘密的信息。

那我们建设的政务信息系统是不是需要应用商用密码技术？

是的，根据《广东省政务信息化项目商用密码应用工作指引》，关键信息基础设施、网络安全等级保护第三级及以上网络和信息系统、政务信息系统须应用商用密码技术进行系统和数据安全保护。

刚刚听到政务信息系统要开展商用密码应用，有哪些方面的工作？

商用密码应用有3个关键点。第一个是需要分析系统存在的安全风险。第二个是使用密码产品、技术和服务来规避系统面临的风险，并形成建设方案。第三个就是请有资质的公司对方案和系统进行评估。

在实际工作中，我们要如何去做呢？

可以分为3个步骤：

第一步，需要针对应用情况，分析需要密码保护的环节，确定使用哪种密码应用，编制密码应用建设方案。然后，要委托密评机构对商用密码应用建设方案进行评估，出具《商用密码应用方案评估报告》。建设方案和评估报告须经本地密码管理局审核通过后，方可开展下一步工作。

第二步，在系统建设阶段，开展密码应用建设或整改工作。

第三步，在投产运行阶段，需要委托具备密评资质的密评机构按照《商用密码应用安全性评估管理办法（试行）》开展密评，密评报告作为项目竣工验收的前置条件，不可或缺。

那密评应该在什么时候开展？

密评开展采取定期和不定期相结合的方式。对于关键信息基础设施以及网络安全等级保护第三级及以上网络和信息系统每年至少评估一次。如果网络和信息系统发生密码应用重大安全事件、重大调整或特殊紧急情况，要立即组织密评机构进行密码应用安全性评估。

• 网络安全宣传周①|法律法规介绍

• 网络安全宣传周②|网络安全工作责任制

• 网络安全宣传周③|五步搞定等保工作

- THE END -

点在看的人都特别好看~