小知识！创业软件"专业解答"

1. 商用密码应用安全性评估是指?

在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码 应用的合规性、正确性和有效性进行评估，简称密评。

2. 为什么要做密评?

(1)开展密评是一项法律要求，《密码法》《商用密码管理条例》均作出 了相关规定，开展密评是相关责任主体的法定职责;

(2)开展密评可以掌握业务系统中密码技术应用水平与国家标准之间的差 距，以及密码技术应用是否有效、合规、正确，可以有效保障业务系统安全;

(3)《国家政务信息化项目建设管理办法》明确规定项目的密码应用和安 全审查情况应当作为项目验收的重要内容之一，密码应用安全性评估报告应当作 为提交验收申请的必要材料。

(4)工业和信息化部下发的基础电信企业及其专业公司网络与信息安全工 作评分标准中指出参与商用密码应用试点，有突出表现的，视情予以加分。

3. 密评、等保、关保之间的关系?

(1)三者评估内容存在交叉关系，等保的技术和管理测评中包含部分密码 要求;

(2)三者评估对象存在包含关系，等级保护对象基本覆盖了全部的网络和信息系统，等级保护对象同时为关保和密评的评估对象;关键基础设施一定是等 级保护和密评的评估的对象;密评对象含关键基础设施、部分等级保护对象和重要的信息系统;

(3)三者虽然分别对应不同的基本要求和评估实施指南，但评估流程基本类似。

图 1.密评、等保、关保之间的关系图

4. 密评的级别如何确定?

信息系统应该做等保和密评，密评级别和等保级别一致。

展开全文

5. 哪些系统需要做密评?

(1)基础信息网络:电信网、电视网;

(2)涉及国计民生和基础信息资源的重要信息系统:金融、公安、交通等 重要信息系统;

(3)重要工业控制系统:航空航天、电力系统、交通运输等重要工业控制 系统;

(4)面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单 位和团体组织使用的面向社会服务的信息系统。

6. 做密评之前要做什么准备工作?

在测评活动开展之前，需要对信息系统的密码应用方案进行专业评审，具体方案评审流程可咨询专业的检测机构。方案评审通过后可联系专业的机构进行差 距测评和密评咨询。

7. 密评咨询、差距测评找谁做?

北京旗云天下科技有限公司能够为客户提供密评咨询和差距测评服务。

(1)密评咨询服务包括指导客户进行系统定级、方案评审、建设整改等。 具体指导客户完善系统的密码应用方案，并组织专家对应用方案进行评审，以及 协助客户对未达到要求的系统进行整改等。

(2)差距测评服务包括对客户系统的初次测评及测评问题总结，使客户能够清楚的了解系统密码应用的整体情况与现有标准之间的差距。

8. 密评怎么开展?流程是什么?

首先提供通过专家评审的信息系统的密码应用方案。根据应用方案和相关标准开展密评工作。总体流程分为以下 4 点：测评准备、现场测评、整改建设、分 析与报告编制。

9. 做密评需要多长时间?

根据密评活动总体流程，一次完整的密评活动需要 2-3 月的时间。

10. 密评多少分及格?

量化评估分数大于等于 60 分且没有高风险项。

11. 密评需要每年做么?

(1)关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年 至少评估一次;

(2)发生密码相关重大安全事件、重大调整或特殊情况时组织评估系统。

12. 哪些机构可以实施密评?

仅有《商用密码应用安全性评估试点机构目录》中的机构具有密评资质，该目录由国家密码管理局进行公布。

13. 密评费用组成?

密评的费用主要由三部分组成: (1)第一部分费用为密码应用方案的咨询费用和方案评审的专家评审费; (2)第二部分费用为密评的测评费用，根据系统情况不同，所以费用也不同; (3)第三部分为建设整改的费用，需要根据企业的实际情况来确定最终费用。

14. 在电信和互联网领域，商用密码技术如何应用?

在电信和互联网领域，商用密码在云平台系统中发挥着重大作用。云平台系统的密码应用分为两个层面:

(1)云平台系统为满足自身安全需求所采用的密码技术;

(2)云租户通过调用云平台提供的密码服务为自身业务应用提供密码保障。 分别在网络和通信、设备和计算、应用和数据等方面应用商用密码保障数据在存 储和共享过程中的安全及系统在安全状态下的运维。

15. 在电子政务领域，商用密码技术可以解决哪些问题?

判断信息交换双方的身份真实性和保护数据传输过程中的安全性是电子政 务领域中亟需解决的两个重要问题。

(1) 可利用商用密码技术保证信息交换双方的身份真实性，如，使用基于 PKI(公钥基础设施)的电子认证技术，进行用户身份认证，国家目前已建设了 政务 CA，已基本覆盖全国各省、自治区和直辖市，部分省市还部署了地方 CA， 用以保证用户身份真实性。

(2) 可利用商用密码技术保证数据传输过程中的安全性，通过建立安全的 SSL 通信通道，将传输的明文使用安全的国密算法进行加密，以此保证传输过程 中的数据安全。

图 2.商用密码在电子政务领域的应用视图