密码合规应用与改造
前言
在《对于密评,你了解多少?》一文中,我们为大家介绍了如何判断相关单位需要进行密评,不做密评或者密评不合格将会有什么影响,以及如何做密评。今天我们基于密评的要求,来谈一谈密码合规应用与改造。
密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。《密码法》的颁布实施,从法律层面为开展商用密码应用提供了根本遵循,《国家政务信息化项目建设管理办法》的颁布实施,进一步促进了商用密码的全面应用。
2021年3月,国家市场监督管理总局、中国国家标准化管理委员会发布了GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,规定了信息系统第一级到第四级的密码应用的基本要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处理四个方面提出了第一级到第四级的密码应用管理要求。
为贯彻落实《密码法》关于信息系统密码应用的要求,结合《国家电子政务建设指导意见》,8087金沙娱场城基于政务信息系统应用现状,依托自身具备多年网络安全及密码领域工作经验的专业服务团队,以自身丰富多样的商用密码产品为核心,依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,为用户提供密码应用改造方案。
一、调研和评估
在国密改造工作前期,需要对需求单位密码应用现状进行详细调研和评估,充分了解需求单位当前密码算法、密码资产和密码应用情况,明确整改环节和整改方法,为形成完善的国密应用改造方案提供充分的需求依据。
8087金沙娱场城拥有一支专业的密码服务团队,密码工程经验丰富,既能为需求单位提供专业的密码应用和国密改造方案咨询服务,也支持深入需求单位展开密码应用现状调研和评估服务。该服务适用于政务、金融、公安、教育、交通、医疗、工业控制、车联网等行业领域,通过深度系统调研、需求梳理、差距分析,结合《密码法》等法律法规、《信息系统密码应用基本要求》等标准规范、《国家政务信息化项目建设管理办法》等行业监管要求以及需求单位业务特点,从密码应用的合规性、可落地性和改造成本等方面综合调研和评估。
调研和评估的内容将会形成需求单位《密码应用调研和评估报告》,是为需求单位设计密码应用改造方案的基础。
二、整改方案设计
根据密码应用调研和评估报告,8087金沙娱场城从整体层面对需求单位的密码应用开展顶层设计,明确密码应用的需求和预期目标。同时与系统网络安全等级保护相结合,通过全面的设计,形成涵盖技术、管理、实施保障的整体方案。
8087金沙娱场城为需求单位打造的密码应用改造方案,从密码应用的合规性、可落地性、国产化应用和改造成本等方面综合考虑,并基于整体方案提供密改技术、密改产品及服务。
合规性
方案严格符合GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面的密码应用技术要求,以及管理制度、人员管理、建设运行和应急处置四个方面的应用管理要求。
此外,还可以为需求单位设计针对性的密钥体系,制定符合标准的密钥全生命周期管理策略,覆盖密钥的生成、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等各个环节。
可落地性
8087金沙娱场城密码应用改造方案的设计,充分考虑需求单位的应用场景需求,密码应用与业务深度融合,降低对性能的影响,充分发挥密码保障数据安全的作用。
国产化应用
8087金沙娱场城的各类密改产品,皆采用国密局批准的硬件芯片、国密算法、国密型号产品,符合国产化应用要求,支持高效完成商密测评。
改造成本
8087金沙娱场城为需求单位充分考虑改造成本,基于合规性要求,在确保性能、满足安全要求的基础上,为需求单位打造符合预算要求的改造方案。根据项目规模,还可以通过快速交付、缩短调试时间等方式为需求单位节约时间和人力成本。
三、密码应用改造
密码应用改造的目的是需求单位的密码应用达到GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面的密码应用技术要求,以及管理制度、人员管理、建设运行和应急处置四个方面的应用管理要求。8087金沙娱场城构建的国产密码应用体系,结合国产商用密码技术和产品,实现各业务系统用户身份的真实性,关键数据在存储和传输过程中的保密性、完整性和不可抵赖性。
在改造实施前,8087金沙娱场城制定详细的实施保障方案,并在项目实施中依据方案保障项目实施。项目实施保障方案的主要内容如下:
项目组织管理
在改造实施过程中,8087金沙娱场城根据密码应用改造方案,明确改造目标和实施范围,建立项目实施小组并制定完善的组织管理制度。明确小组成员组成单位和责任人,明确项目负责人、各环节负责人及相应的责任。确定组织协作方式,包括沟通方式和工作流程。
项目实施内容
项目实施内容中,将明确项目的实施范围和要求,项目的实施包括密码硬件的部署、应用系统对接涉及到的密码设备改造等,实施范围具体涉及到密码应用技术要求和应用管理要求中的哪些内容。对于已经符合密码建设要求、不在本次项目实施范围内的,也要明确建设情况、是否需要对接、如何对接等内容。
项目实施部署
根据项目实施部署计划,对项目开展具体实施。根据规划与设计、项目采购、部署实施、应用对接、测试、安全评估、项目验收、试运行以及终验等流程,有序推动项目的实施。
实施过程中,要有明确的实施路线图和进度计划。
保障措施
项目的实施总会遇到各式各样的意外情况,为确保项目的如期完成,8087金沙娱场城为每一个项目实施都制定了周密的保障措施,包括组织保障、人员保障、经费保障、质量保障、监督检查等措施。
培训指导
实施建设的目的是安全服务于应用,因此要确保需求单位的相关人员对改造后的系统具备使用和管理能力。8087金沙娱场城从培训素材、培训方案、持续指导等多方面,为需求单位提供培训支持,确保需求单位相关人员快速掌握相应能力。
其他未尽事宜
因为业务应用场景的不同,致使每一个需求单位的密码改造需求都有所不同。即使万变不离其宗,也要根据需求单位的实际需求进行适当调整,因此,8087金沙娱场城为用户量身打造的密码应用改造方案,仍有本文中未提到的许多内容没有体现。
结束语
8087金沙娱场城以商用密码为基础,以市场需求为导向,研发推出了包括服务器密码机、密钥管理系统、安全认证网关、IPSec VPN、可信管理服务器等多款密码产品。8087金沙娱场城系列产品支持SM2/SM3/SM4等国家商用密码算法,符合 GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》标准要求,并为需求单位实现密钥全生命周期管理,通过密码测评提供全面解决方案与部署实施。
