从商用密码应用安全性评估法规到落地:企业如何一次性过密评

快快网络
240 阅读7分钟

作为技术或管理人员的你,是不是也在经历着落实《密码法》、等级保护2.0及2025年《关键信息基础设施商用密码使用管理规定》(下称“2025新规”)的层层难关?

一、从政策法规看过密评的重要性

2019年《密码法》第27条首次在法律层面明确:涉及国家安全、社会公共利益的关键信息基础设施(CII),必须同步规划、建设、运行商用密码保障系统。2020年《网络安全等级保护条例》第14条进一步细化:等级保护第三级及以上系统,应通过商用密码应用安全性评估(简称“密评”)后方可上线运行。

在2025新规(第5、12、13条)中对商用密码的安全性要求则再次升级:

• 所有被认定为CII的系统,不论是否使用国密算法或国密产品,都必须定期开展商用密码应用安全性评估;

• 运行前必须通过密评,运行后每年至少一次定期密评;

• 未按要求完成密评的,密码管理部门可责令改正、给予警告,拒不改正或情节严重的,对运营者处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款,并可责令停业整顿。

对于政务、金融、医疗、运营商等行业用户来说,开展密评并获取报告已经成为业务接口开放、资金拨付和年度检查的前置材料。

因此,密评不仅是合规义务,更是保障业务连续性的底线要求。

二、密评是什么?涉及到哪些评估流程?

1. 密评全称

密评的全称是商用密码应用安全性评估。其定义是:对网络和信息系统采用商用密码技术、产品和服务的合规性、正确性、有效性,以及管理制度、人员、经费等保障措施的全面评估。

2. 密评适用对象

• 被认定为关键信息基础设施的系统;
• 等级保护第三级及以上且涉及商用密码的系统;
• 2025新规施行前已建成运行的CII系统,须按新规补做密评。

3. 评估依据&评估维度内容

依据 GM/T 0054-2020《信息系统密码应用基本要求》以及《商用密码应用安全性评估管理办法》,2025新规关于制度、人员、经费、应急等管理要求,等级保护测评要求须与密评加强衔接,避免重复测评等相关内容是密评的评估依据。结合这些依据,密评主要从以下维度中展开:

  • 物理与环境安全:门禁、视频监控、密码设备物理防护与完整性校验;
  • 网络与通信安全:通信协议、SSL/TLS、VPN中的密码算法及密钥协商;
  • 设备与计算安全:服务器、密码卡、HSM的算法实现一致性、随机源质量;
  • 应用与数据安全:数据在存储、传输、使用全生命周期的加密策略及密钥管理;
  • 密钥管理:密钥生成、分发、更新、备份、归档、销毁的权限控制与审计;
  • 管理制度:商用密码使用、应急处置、重大事件报告制度;
  • 人员保障:配备持证密钥管理员、密码操作员、密码安全审计员,并进行背景审查与年度培训;
  • 经费保障:将密评及商用密码运行经费纳入网络安全和信息化预算。

4. 评估流程

准备阶段 → 文档审查(含管理制度、经费、人员资料) → 现场测评 → 问题确认 → 出具《商用密码应用安全性评估报告》+《整改建议清单》 → 整改复测(如需)。

运营者应在每年1月31日前向保护工作部门报告上一年度密评开展情况(2025新规第5条)。

5. 报告备案与周期

  • 报告需报属地密码管理部门及保护工作部门备案;
  • 运行后每年至少一次定期密评,而非“报告有效期一年”。

面对国家政策法规的最新要求,政务、金融、医疗、运营商等行业用户应尽快梳理CII清单,按照“同步规划、同步建设、同步运行”的原则,提前布局合规的商用密码保障体系,确保业务平稳运行。

三、快快网络以全面高效的密码技术支撑助力用户快速过密保

快快网络密码安全服务平台是严格遵循国家网络安全与密码安全政策法规构建的核心安全基础设施。平台基于合法合规的密码产品与服务,实现身份认证、数据完整性保护及数据机密性保障,全面满足商用密码应用安全评估要求,确保系统业务能安全、合法与合规地开展。

1. 技术自主可控: 依托完全自主可控的核心密码防护技术,覆盖用户终端、边界接入、网络传输及业务服务端全链路,为租户侧提供密码方案设计、应用系统密改指导、应用系统密评支撑等服务。

2. 全方位防护: 提供密码算法改造、网络接入安全加固、用户终端防护及业务应用安全认证等解决方案。采用国密算法与协议,实现身份识别、安全隔离、信息加密、完整性保护及抗抵赖性等关键防护能力。同时平台自身具有一定的防护能力,其网络拓扑如下图所示:

部署自主研发的防火墙保证网络边界安全防护,以及配备主机安全实现对服务器的入侵防范和恶意代码防范,同时部署了数据库服务器、对数据进行存储和管理。

3. 合规保障: 平台使用的密码产品与模块均通过国家密码管理部门核准,持有商用密码产品认证证书。商用密码应用总体架构上包括密码基础支撑设施、业务系统密码应用和密码安全管理体系,如图所示:

SSL网关: 提供客户端认证、传输加密、访问控制与审计,动态授权访问。支持国密算法。

签名验签服务器: 处理签名/验签请求,确保关键业务操作的不可否认性和事后可追溯。

服务器密码机: 硬件级设备,提供高性能密码运算(含国密算法)与密钥管理,保障数据机密性、完整性。

4. 安全部署与运维保障: 平台部署于厦门海峡枢纽机房(厦门市集美区集美大道白石社中国电信海峡枢纽大楼1F-ID11机房)。机房由快快网络科技有限公司IT技术中心专业团队运维管理,同时设立7×24小时应急响应制度,保障突发漏洞48小时内修复。机房建设满足国家信息安全等级保护三级要求。

5. 关键通信信道架构: 平台构建了三条核心安全通信信道包括互联网至业务专网:基于VPN的运维管理通信信道;业务专网国密浏览器至密服平台:专用访问通信信道;业务专网租户应用至密服平台:专用访问通信信道;满足密评中对网络和通信安全层面的数据传输机密性和完整性要求。

通过集中化管理、标准化接口和多样化服务,快快网络可为各行业提供可靠的数据加密、身份认证及合规性支持,为信息系统的安全可靠运行提供全面高效的密码技术支撑,让用户快速过密保。

avatar
文章
阅读
粉丝