您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[中国密码学会密评联委会]:2023商用密码应用安全性评估发展研究报告 - 发现报告
回到首页AI搜索发现报告发现数据发现专题研选报告定制报告VIP权益发现大使
行业研究公司研究宏观策略财报招股书会议纪要海南封关低空经济DeepSeekAIGC大模型

2023商用密码应用安全性评估发展研究报告

2023-08-15-中国密码学会密评联委会R***
2023商用密码应用安全性评估发展研究报告

商用密码应用安全性评估发展研究报告 前言 当前,世界之变、时代之变、历史之变正以前所未有的方式展开,党的二十大报告为我们擘画了以中国式现代化推进中华民族伟大复兴的宏伟蓝图,开启了全面建成社会主义现代化强国、实现第二个百年奋斗目标的新征程。这举旗定向的政治宣言、引领复兴的行动纲领以专章论述“推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定”,指出“必须坚定不移贯彻总体国家安全观,把维护国家安全贯穿党和国家工作各方面全过程,确保国家安全和社会稳定。” 网络安全是国家安全的重要组成部分,密码作为国之重器,是保障网络与数据安全的核心技术,是数字经济高质量发展的基础,是推进中国式现代化的重要支撑。商用密码应用安全性评估(以下简称密评),作为密码应用管理过程的重要组成部分和不可缺失的环节,是发挥密码作用的重要抓手。密评活动贯穿于密码应用管理整个生命周期,对维护网络和数据安全、赋能数字经济、护航中国式现代化发展具有重要意义。 我国高度重视密评工作,出台多项顶层战略规划和法律法规,要求在重点领域和关键环节开展密评,为密评工作提供了合规驱动力。各地区、各领域积极落实密评要求,加强密评政策引导,加速推动密码在金融、通信、公安、税务、社保、交通、卫生健康、能源、电子政务等领域中的应用。在国家密码管理局的指导下,密评工作机制不断健全,密评机构能力进一步增强,密评活动标准化工作持续推进,密评程序逐步完善,密评进入蓬勃发展时期。未来,密评将焕发出更强的生命力和活力,持续为保障数字经济安全、助力现代化强国建设发挥积极作用。 2023年7月1日,《商用密码管理条例》正式施行,标志着密评从试点建设迈向依法管理的新阶段。站在推进密评法制化建设的新起点,本报告总结了密评相关政策法规要求及密评体系建设进展,分析了密评行业发展情况,并对密评工作未来发展提出了建议,为密评相关工作者提供参考。 版权声明 本报告版权属于中国密码学会商用密码应用安全性评估联合委员会,并受法律保护。转载、摘编或以其他方式使用报告文字或观点的,均应注明“来源:中国密码学会商用密码应用安全性评估联合委员会”或“来源:密评联委会”。违反以上声明者,中国密码学会商用密码应用安全性评估联合委员会将保留追究其相关法律责任的权利。 本报告主要编写单位:中国工业互联网研究院(工业和信息化部密码应用研究中心)、深圳市网安计算机安全检测技术有限公司、北京炼石网络技术有限公司、江苏省信息安全测评中心、中国电子科技集团公司第十五研究所、工业和信息化部电子第五研究所、中国电子信息产业发展研究院、中国信息通信研究院 本报告主要编写人员:王聪、唐明环、查奇文、王伟忠、彭浩楠、杨宏志、孙少波、白小勇、钱晶、魏婷、张齐军、张腾标、衡帅、刘健、杨龙、韦永霜、张皓涵、王东阳、李佳曦 目录 1密评相关政策法规要求....................................................................... 2 1.1国家法律法规布局密评顶层设计............................................................................................21.2国家多项政策文件为密评实施提供指引.................................................................................31.3有关部门出台指导性及规范性文件落实密评要求...................................................................41.4相关地区积极将密评要求纳入地方政策制度..........................................................................5 密评体系建设进展.............................................................................. 5 2.1密评工作机制.........................................................................................................................62.2密评机构培育.........................................................................................................................82.3密评系列标准.........................................................................................................................92.4密评程序..............................................................................................................................13 3密评行业发展情况............................................................................ 15 3.1密评试点机构规模布局日趋合理..........................................................................................153.2密评人才供给能力持续提升.................................................................................................173.3密评覆盖范围逐年扩大.........................................................................................................17 发展建议.......................................................................................... 21 附录1:密评相关法规政策汇总.................................................................. 22 1.1国家层面密码应用及密评相关法律法规...............................................................................221.2国家层面密码应用及密评相关政策文件...............................................................................241.3各部门密码应用及密评相关政策文件...................................................................................251.4各省(自治区、直辖市)及新疆生产建设兵团密码应用及密评相关政策文件......................29 附录2:密评相关标准与指导性文件列表................................................... 48 附录3:密评大事记.................................................................................... 49 引言 在数字经济时代,密码作为国家重要战略资源,广泛应用于国民经济发展和社会生产生活的方方面面,涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域,是保障网络与信息安全的核心技术和基础支撑。在推动数字经济高质量发展、推进中国式现代的进程中,如何更好地规范商用密码应用和管理、发挥密码在保障网络安全中的核心支撑作用至关重要。商用密码应用安全性评估作为验证密码应用科学性的有效手段和方法,既是应对网络安全严峻形势的迫切需要,也是落实国家重要领域和关键行业网络安全防护责任的有效手段,更是全面贯彻落实《中华人民共和国密码法》(以下简称《密码法》)和《商用密码管理条例》基本要求、推进商用密码法治建设的重要举措。 密码应用涉及密码算法、技术、产品、服务、密钥管理等多个方面。在当前密码应用实践中,由于密码专业技术人员保障不足,密码应用要求理解把握不到位,密码错用、误用情况经常发生。商用密码应用安全性评估依据科学全面的测评标准,由专业的技术人员采用专业的技术手段和测评工具,科学直观地对信息系统密码应用情况给出评价,发现信息系统密码应用存在的不规范、不安全、不正确等问题,给出专业、可行的意见建议,为网络运营者掌握系统密码应用情况并进一步开展密码应用改造提供支撑,有效规范密码应用,提升网络安全保障水平。 密评相关政策法规要求 商用密码应用安全性评估(以下简称密评)是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动1。密评是衡量与改进网络与信息系统密码保障水平的关键技术措施,对密码应用的助力推动和网络安全的兜底保障作用突出。我国立足国情将密评相关工作要求纳入顶层设计,出台法律法规、政策文件,推动密评体系不断完善,密评工作进入新发展阶段。 1.1国家法律法规布局密评顶层设计 我国充分适应新时代商用密码事业发展需要,坚持密评的立法、司法、执法和守法协同推进,通过法律法规明确密评的重要定位、评估范围、责任主体和评估要求等深刻内涵,推动密评在重要领域和关键环节加速推广普及,为数字经济高质量发展提供基础支撑。 《密码法》明确关键信息基础设施运营者作为第一责任人,应使用商用密码对关键信息基础设施进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。 《商用密码管理条例》进一步细化了关键信息基础设施商用密码应用与安全性评估要求,明确关键信息基础设施应在规划、建设等必要阶段进行评估,投入运行后,还应当定期开展评估。同时,《商用密码管理条例》明确,网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。网络安全等级保护制度中的商用密码使用、管理和应用安全性评估要求重点适用对象是第三级以上网络,凸显了对网络安全等级保护三级以上网络加强商用密码应用安全性评估工作、落实商用密码应用相关要求的迫切需要。 《关键信息基础设施安全保护条例》明确,关键信息基础设施中的密码使用和管理,还应当遵守相关法律、行政法规的规定。这对使用密码技术保护关键信息基础设施安全提出了原则性要求。 《网络安全等级保护条例(征求意见稿)》第五章中明确提出密码配备使用、管理和应用安全性评估的有关要求,对网络的密码保护作出规定。其中,对非涉密网络、第三级以上网络提出密码保护要求,明确规定网络运营者应在网络规划、建设和运行阶段委托专业测评机构开展密码应用安全性评估,并对评估结果备案提出了要求2。 1.2国家多项政策文件为密评实施提供指引 面对新时代全球安全形势及发展需求,我国统筹发展与安全,出台了多项政策文件对密评进行整体性制度安排,推动密评体系健全完善。密评相关国家政策文件要求如表2

点击免费查看完整报告