《商用密码应用安全性评估量化评估规则》解析

《商用密码应用安全性评估量化评估规则》自2020年首次制定以来,先后经历了两次修订。为探讨新的量化评估规则对信息系统测评的影响,通过对新旧版本中各测评对象的测评结果量化评估规则和整体测评结果量化评估规则的差异分析,采用定性和定量相结合的方法,对信息系统测评量化评估分值的计算,以及依据新旧量化评估规则得到的测评结果进行对比分析研究,结果表明,新的量化评估规则对量化评估分值处于阈值附近的系统影响较大。

商用密码应用安全性评估中的数据分类分级研究

商用密码应用安全性评估是保障信息安全的重要环节。在商用密码应用评估过程中,收集、生成、存储、处理和使用的与评估相关的数据种类繁多,应根据不同的维度进行分类和分级管理。文章分析了评估相关数据的特点,研究搜集了分类的标准和法律法规,提出了相应的分类方法和分类模型。通过对相关数据的分类研究与思考,为商用密码应用安全性评估中的数据管理提供了参考和借鉴,对促进商用密码应用安全性评估工作的标准化、规范化具有积极意义。

医疗卫生领域商用密码安全的评估与建设

目的为规范医疗卫生领域商用密码安全的评估与建设,解决商用密码建设不能在医疗环境和生命周期全流程广覆盖等问题,达成商用密码不断迭代完善的目标。方法遵循以评促建、以评促用、以评促改和三同步、一评估的原则,使用密码技术和管理、基础和部署相结合的方法,落实统筹规划、分布建设、运行与密评深度结合的措施,建立密码安全建设的基础支撑、技术保障、统筹管理方法,完成密码产品的部署。结果通过密码安全保护持续改进,使医院网络安全具备态势感知的能力,数据安全具备证书授权电子签名防篡改的能力。提高了密码安全的保护能力,实现医疗业务的可信互联、安全互通,保障系统的稳定运行、数据安全无泄露。结论发挥商用密码在网络安全防护中的重要作用,筑牢智慧医院密码安全的最后一道防线屏障,切实保障患者医疗数据安全。

CQC开展智能门锁密码应用安全评估业务

2024年2月18日,中国质量认证中心(CQC)正式开展智能门锁密码应用安全评估业务。该业务采用的评价规则为CQC96-831158-2023《智能门锁密码应用安全评估实施规则》,依据标准为CQC9603-2023《智能门锁密码应用安全技术规范》。

商用密码应用安全性评估

密码是保障网络空间安全的核心技术和基础支撑,利用密码在安全认证、加密保护、信任传递等方面的重要作用,可有效减少信息系统安全隐患。《中华人民共和国密码法》的颁布实施,推动了商用密码应用发展的进程。商用密码应用安全性评估对规范密码应用和保障信息系统安全具有重大意义。基于此,通过梳理分析商用密码应用安全性评估过程中存在的问题,研究提出相应的实践方法,从而提高商用密码应用安全性评估的效率。

面向新型关键基础设施的密码应用安全性评估技术综述

随着5G/6G、人工智能、区块链等新型技术在各领域的深度融合发展,以高速率全时段信号覆盖、智能化精细化城市管理以及深空深海科学创新实验场为代表的新型关键基础设施建设迈进新阶段。作为保障国家信息、融合、创新基础设施安全的关键技术资源,密码应用安全性评估亟须深入数据生命周期内构建全方位、细粒度、自演进的密码安全性评估体系。结合近年来能源、医疗、交通等行业新型关键基础设施面临的典型APT攻击、勒索病毒攻击等,重点分析了在防范内生数据安全风险、实现差异化隐私保护、支撑可认证攻击溯源等新业态需求下日益增长的密码应用安全性评估需求。分析了新型信息基础设施(包括大数据、5G通信、基础软件等)、融合基础设施(包括智能网联汽车、智能网联工业控制系统等)、创新基础设施(包括大数据、人工智能、区块链等)给密码应用安全性评估带来的新挑战,阐述了部署在高性能计算芯片、超高速通信模组、大容量存储介质上的国产密码算法与协议对密码应用安全性评估技术的新要求。对发展自动化、智能化密码应用安全性评估技术进行了展望。

公安行业商用密码技术及应用

随着公安行业信息化技术的迅速发展,随之而来的信息安全问题成为信息化发展中必须解决的关键问题。密码技术在公安行业数据加密、认证等方面具有不可替代的作用,是构建网络信任体系的重要基石,也是保障公安行业信息安全的核心技术和基础支撑。在简要阐述商用密码技术发展现状、公安行业商用密码应用现状的基础上,对商用密码应用在公安行业中的特点进行了综合分析和论述;设计了公安行业商用密码安全技术体系,并就目前商用密码技术在公安行业关键信息基础设施安全、公安网络和数据安全、公安信息系统密评三个方面的应用做了阐述,最后对公安行业商用密码技术的应用前景提出了一些思考与展望。

商用密码应用安全性评估及其相关标准

1概述商用密码应用安全性评估(以下简称:密评),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。这是继网络安全等级保护(以下简称:等级保护)之后,信息安全领域又一体系化的制度,至于称为“评估”还是“测评”,并不重要,其框架大致都遵循了传统的检测认证工作.

商用密码算法在网络安全保护中的应用

为解决信息系统长期存在的身份认证方式单一、系统内重要数据明文传输、重要数据明文存储等问题,文章利用商用密码检测认证的数字证书体系和密码设备,结合信息系统,构建一个基于商用密码算法的安全认证、加密保护的技术、产品和服务的安全防护体系。

推进商用密码在工业信息安全领域应用“正当时”

浙江省电检院大力推进商用密码在工业领域的应用,为工业领域企业提供优质可靠的建设咨询、测评指导服务,全面夯实全省乃至全国关键信息基础设施的密码底座商用密码应用安全性评估,具体是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

“商用密码应用安全性评估工作研讨会”顺利召开

2021年1月8日,由中国密码学会商用密码应用安全性评估联合委员会主办,中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、中国科学院数据与通信保护研究教育中心、国家信息技术安全研究中心承办的“商用密码应用安全性评估工作研讨会”通过远程在线会议方式顺利召开,本次研讨会主会场设在北京。会议以“落实最新标准、共享密评经验、推进密评工作”为主题,旨在宣贯最新密码相关法律法规和标准要求,进一步统一各密评机构评判标准、规范密评机构测评活动、加强密评机构经验交流,提高密评机构能力水平。

广播电视和网络视听商用密码应用与安全性评估

密码技术为保护安全而生,是网络空间安全保障的核心技术。密码技术在广播电视和网络视听领域被广泛的应用,在安全播出和网络安全保障中发挥着重要作用。本文简要介绍密码在安全防护中作用、商用密码的发展、商用密码在广播电视和网络视听领域的应用以及商用密码应用安全性评估。

浅谈电力监控系统商用密码应用安全性评估

电力监控系统是发电企业最为核心的信息系统,对保障电力生产安全稳定运行和电力可靠供应具有重要意义。随着电力生产自动化水平的不断提高,电力企业需要对其监控系统进行评估完善,以密码评测为切入点,提出了具体的原则及操作步骤是一次新的尝试。

5G网络商用密码应用研究

5G作为新一代移动通信网络基础设施,应用场景贯穿工业互联网、能源、交通、医疗、教育等生产生活的方方面面.终端大量接入、大规模网络部署、海量数据汇聚等特点为5G网络带来前所未有的安全风险,5G安全关系到社会发展、经济运行乃至国家安全,逐渐成为近年来国内外研究的热点.密码是保障网络与信息安全的核心技术和基础支撑,我国拥有自主知识产权的商用密码算法ZUC,SM4,SM3,SM2等经过十几年的发展,逐步在维护我国网络空间安全中发挥着越来越重要的作用.从5G网络架构及接口切入,分析了5G网络面临的安全风险,并提出了相应的商用密码应用方案,为5G网络商用密码应用实践提供参考.

云计算场景商用密码应用研究

云计算使用户通过网络获取信息通信技术资源服务,这种的新型信息处理方式正在成为信息技术产业发展的必然趋势.用户、数据、信息资源高度集中、对云平台服务连续性的高度依赖、虚拟化的资源可扩展性等特点为云计算带来不可避免的安全风险.因此,如何利用商用密码技术防范云计算的安全风险成为当前的研究热点.从云计算网络架构切入,分析了云计算的密码应用需求,在此基础上设计了相应的云计算场景商用密码应用方案.研究成果为云计算场景下商用密码应用实践提供参考借鉴和理论指导,有望解决云计算安全关键问题.

关基安全体系思考——从定期评估到动态监控

关键信息基础设施是关乎国家命脉的重要战略资源。通过介绍关键信息基础设施体系化安全防护的需求和问题,提出了采用商用密码进行安全防护既需满足定期评估“密码应用合规性”要求,又需实现动态监控“密码运行安全性”的观点;既要保证系统自身安全,又要提升关联业务系统的整体安全防护水平。在现有商用密码应用保障体系的基础上,构建了密码运行安全体系,提出建设商用密码态势感知平台以及密码应用成熟度评估体系的设想和建议。

密码安全态势感知系统架构与应用研究

密码安全态势感知作为一种实时、整体洞悉密码安全风险的能力,可为密码管理人员提供全面的密码安全状态信息,使其及时、准确地发现全局环境下存在的密码安全问题,从而助力密码安全的决策与治理,具有良好的发展和应用前景。通过分析商用密码领域密码安全态势感知研究所面临的问题与挑战,从保障密码整体安全的角度提出了一种体系架构和基于此架构的系统设计方案,并以建构某部委密码安全态势感知系统为例进行分析。最后,对系统的下一步实践与应用提出了建议。

基于国密算法的密码应用安全建设

密码在保障网络安全中扮演着至关重要的角色。它不仅仅是一种核心技术,更是一种基本的社会责任。本文将深入探讨密码的相关历史、现状、未来的趋势,以及如何利用国密算法来实现更加完善的密码保护。此外,本文还将探讨如何有效地实施密码的监督与审查,以确保密码的有效使用,进而保障社会的稳定与可持续性。

工业互联网商用密码应用研究

作为第4次工业革命的重要基石,工业互联网是新一代信息通信技术融合赋能工业经济的重要综合信息基础设施与应用模式.工业互联网设备复杂、协议私有、数据海量及工业特性严格等特点为工业互联网整个环节带来不可避免的安全风险.因此,如何利用商用密码技术为工业互联网内植安全免疫基因成为当前的研究热点.从工业互联网安全风险切入,分析了工业互联网的密码应用需求,进而研究了工业互联网商用密码典型应用场景的密码应用方案,最后为商用密码在工业互联网的应用推广提出了建议.研究成果为工业互联网商用密码应用实践提供参考借鉴,有望解决工业互联网安全问题.

云管理平台密码应用评估实践

为了加强云管理平台中密码应用安全问题,建设完善云管理平台密码技术防护体系是十分必要的。本文提出了云管理平台密码应用评估实践方案,设计了从各云管系统、远程运维、公共组件、密码设备、云服务等多方面的密码应用,并进行密码应用安全性评估,提升云平台自身安全防护。实践表明,它能够基本满足云管理平台的真实性、机密性、完整性、不可否认性等密码应用安全目标,保障云管理平台的密码应用合规、正确、有效。