國(guó)密證書信創(chuàng)密評(píng)商用密碼解決方案

國(guó)密證書信創(chuàng)密評(píng)商用密碼解決方案目錄01產(chǎn)品背景產(chǎn)品簡(jiǎn)介0203應(yīng)用案例PART01-01信創(chuàng)項(xiàng)目密碼應(yīng)用要求從2019黨政機(jī)關(guān)到2022全面替代20192022全面推進(jìn)，以通用設(shè)備的替換和采購(gòu)為主，目前處于這個(gè)階段明確安可設(shè)備替代工作政策，建立替代工作臺(tái)帳，2022年底之前完成黨政機(jī)關(guān)安可設(shè)備全面替換2019年3月，信創(chuàng)商用密碼產(chǎn)品目錄正式下發(fā)全面替代安全可靠測(cè)評(píng)信創(chuàng)項(xiàng)目對(duì)密碼應(yīng)用的要求密評(píng)、等保、信創(chuàng)的關(guān)系密評(píng)等保3級(jí)信創(chuàng)規(guī)劃階段加入密碼應(yīng)用方案使用信創(chuàng)目錄的密碼產(chǎn)品依據(jù)等保要求建設(shè)屬于等保3級(jí)系統(tǒng)必須先過(guò)密評(píng)再過(guò)等保，無(wú)密碼應(yīng)用不批預(yù)算信創(chuàng)需使用信創(chuàng)目錄商密產(chǎn)品，同樣需要過(guò)密評(píng)過(guò)等保先密評(píng)再等保有密碼批預(yù)算PART01-02密評(píng)簡(jiǎn)介密評(píng)定義

商用密碼應(yīng)用安全性評(píng)估（簡(jiǎn)稱“密評(píng)”）是指對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評(píng)估。

密評(píng)是什么？合規(guī)性正確性有效性

是指密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)使用合規(guī)，即按照《商用密碼管理?xiàng)l例》等密碼法規(guī)和行業(yè)相關(guān)的密碼使用要求，使用符合國(guó)家密碼法規(guī)和標(biāo)準(zhǔn)規(guī)定的商用密碼算法，使用經(jīng)過(guò)國(guó)家密碼管理局審批的密碼產(chǎn)品或服務(wù)。是指密碼應(yīng)用安全立足系統(tǒng)安全、體系安全、動(dòng)態(tài)安全，信息系統(tǒng)中采用的密碼協(xié)議、密鑰管理系統(tǒng)、密碼應(yīng)用子系統(tǒng)和密碼安全防護(hù)機(jī)制不僅設(shè)計(jì)合理，而且在系統(tǒng)運(yùn)行過(guò)程中能夠發(fā)揮密碼效用，保障信息的機(jī)密性、完整性、真實(shí)性、抗抵賴性。是指密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)使用正確，及系統(tǒng)中采用的標(biāo)準(zhǔn)密碼算法、協(xié)議和秘鑰管理機(jī)制按照相應(yīng)的密碼國(guó)家和行業(yè)標(biāo)準(zhǔn)進(jìn)行正確的設(shè)計(jì)和實(shí)現(xiàn)；自定義密碼協(xié)議、密鑰管理機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)正確，符合相關(guān)標(biāo)準(zhǔn)要求；密碼保障系統(tǒng)建設(shè)或改造過(guò)程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用正確?！吨腥A人民共和國(guó)密碼法》法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估。（部分摘抄）關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應(yīng)用安全性評(píng)估的，由密碼管理部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款第二十七條第三十七條法規(guī)要求政策指導(dǎo)評(píng)估檢查《國(guó)務(wù)院辦公廳關(guān)于印發(fā)國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法的通知》同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)不符合密碼應(yīng)用要求的政務(wù)信息系統(tǒng)不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)《金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃（2018-2022年）》完善密碼應(yīng)用安全性評(píng)估審查機(jī)制。建立商用密碼測(cè)評(píng)認(rèn)證和分類分級(jí)檢測(cè)體系強(qiáng)化網(wǎng)絡(luò)運(yùn)營(yíng)者及其主管部門的密碼應(yīng)用主體責(zé)任，落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施密碼應(yīng)用安全性評(píng)估和密碼應(yīng)用要求《商用密碼管理?xiàng)l例》第八條：商用密碼產(chǎn)品的品種和型號(hào)，必需經(jīng)過(guò)國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn)《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》第三條、第二十條涉及國(guó)家安全和社會(huì)公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位（以下簡(jiǎn)稱責(zé)任單位）應(yīng)當(dāng)健全密碼保障體系，實(shí)施商用密碼應(yīng)用安全性評(píng)估。國(guó)密標(biāo)準(zhǔn)《GM/T0054-2018信息系統(tǒng)密碼應(yīng)用基本要求》為什么要做密碼應(yīng)用安全性評(píng)估（密評(píng)）哪些系統(tǒng)需要做密評(píng)？基礎(chǔ)信息網(wǎng)絡(luò)：電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)。重要信息系統(tǒng)：能源、教育、公安、測(cè)繪地理信息、社保、交通、衛(wèi)生計(jì)生、金融等涉及國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)。重要工業(yè)控制系統(tǒng)：核設(shè)施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸、水利樞紐、城市設(shè)施等重要工業(yè)控制系統(tǒng)。面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)：黨政機(jī)關(guān)和使用財(cái)政性資金的事業(yè)單位和團(tuán)體組織使用的面向社會(huì)服務(wù)的信息系統(tǒng)。關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)，每年至少評(píng)估一次信創(chuàng)項(xiàng)目重要領(lǐng)域及信息系統(tǒng)不做/不合格未按照要求使用商用密碼，或者未按照要求開展商用密碼應(yīng)用安全性評(píng)估的，由密碼管理部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款對(duì)于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。密評(píng)對(duì)應(yīng)的處罰《中華人民共和國(guó)密碼法》《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》PART01-03密評(píng)與等保的關(guān)系密評(píng)與等保間的關(guān)系《商用密碼應(yīng)用安全性評(píng)估管理辦法》是根據(jù)網(wǎng)絡(luò)安全法、商用密碼管理?xiàng)l例以及國(guó)家關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)和重要領(lǐng)域密碼應(yīng)用的有關(guān)要求制定。所以密評(píng)與等保測(cè)評(píng)是相互銜接、相互映照、相輔相成。網(wǎng)絡(luò)安全等級(jí)保護(hù)的制度設(shè)計(jì)當(dāng)中，所涉及密碼產(chǎn)品內(nèi)容均勻詳細(xì)介紹，并且密碼的具體要求也體現(xiàn)在等保系列主體標(biāo)準(zhǔn)中。雙評(píng)：等級(jí)保護(hù)+密碼應(yīng)用評(píng)估等保三級(jí)系統(tǒng)必須進(jìn)行密評(píng)等保三級(jí)系統(tǒng)相關(guān)安全措施需要使用密碼應(yīng)用密評(píng)與等保的評(píng)估對(duì)象對(duì)比等級(jí)保護(hù)測(cè)評(píng)密碼應(yīng)用評(píng)估評(píng)估對(duì)象通信網(wǎng)絡(luò)設(shè)施信息系統(tǒng)傳統(tǒng)信息系統(tǒng)物聯(lián)網(wǎng)采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)云計(jì)算平臺(tái)/系統(tǒng)工業(yè)控制系統(tǒng)數(shù)據(jù)資源等級(jí)保護(hù)三級(jí)以上的系統(tǒng)國(guó)家政務(wù)信息系統(tǒng)：電子政務(wù)系統(tǒng)關(guān)鍵信息基礎(chǔ)設(shè)施基礎(chǔ)信息網(wǎng)絡(luò)：公共通信和信息服務(wù)重要信息系統(tǒng)：能源、交通、水利、金融重要工業(yè)控制系統(tǒng)面向國(guó)家安全、國(guó)計(jì)民生、公共利益的信息設(shè)施等級(jí)保護(hù)對(duì)象密評(píng)對(duì)象關(guān)鍵基礎(chǔ)設(shè)施目錄01產(chǎn)品背景產(chǎn)品簡(jiǎn)介0203應(yīng)用案例國(guó)密證書產(chǎn)品簡(jiǎn)介為滿足《密碼法》、《等保2.0》、《密評(píng)》和《政務(wù)信息化項(xiàng)目管理辦法》等法律、法規(guī)對(duì)信息系統(tǒng)密碼應(yīng)用的要求，并有效提高信息系統(tǒng)的數(shù)據(jù)和人員身份的安全性，x智慧安全以自研密碼產(chǎn)品為基礎(chǔ)，結(jié)合密碼管控平臺(tái)實(shí)現(xiàn)滿足要求的國(guó)密證書商用密碼應(yīng)用產(chǎn)品，滿足用戶多元化密碼應(yīng)用功能的要求。特色功能：安全合規(guī)：產(chǎn)品按照國(guó)家相關(guān)要求進(jìn)行設(shè)計(jì)建造，滿足信息系統(tǒng)的密碼應(yīng)用功能要求統(tǒng)一管控，統(tǒng)一服務(wù)：套件平臺(tái)通過(guò)集中部署、統(tǒng)一管控的理念面向用戶提供密碼應(yīng)用安全服務(wù)，可通過(guò)平臺(tái)管控中心對(duì)密碼應(yīng)用資源進(jìn)行靈活調(diào)配和統(tǒng)一管理。全方位的密碼安全服務(wù)：根據(jù)用戶需求可進(jìn)行靈活的套件功能組合，提供人員、數(shù)據(jù)、設(shè)備、網(wǎng)絡(luò)等全方位的密碼安全服務(wù)功能。云上密碼-能力市場(chǎng)等保/密評(píng)為主-合規(guī)市場(chǎng)新沃云SAAS密碼服務(wù)SAAS密評(píng)服務(wù)套餐云主機(jī)+SAAS密碼應(yīng)用行業(yè)云+密碼應(yīng)用雙因素認(rèn)證（含證書）SSL證書SSLVPN簽名服務(wù)器移動(dòng)認(rèn)證密碼機(jī)國(guó)密門禁國(guó)密視頻監(jiān)控SSLVPN簽名服務(wù)器時(shí)間戳密碼機(jī)證書/手機(jī)盾電子簽章身份認(rèn)證網(wǎng)關(guān)證書認(rèn)證系統(tǒng)密鑰管理系統(tǒng)自建云+密碼服務(wù)平臺(tái)云密碼服務(wù)平臺(tái)云密碼資源池多租戶服務(wù)統(tǒng)一密碼服務(wù)總線統(tǒng)一密碼設(shè)備管理密鑰管理智慧+密碼服務(wù)信創(chuàng)-專項(xiàng)市場(chǎng)政企密碼應(yīng)用信創(chuàng)替換傳統(tǒng)密碼-信創(chuàng)改造遷云密碼-信息替換政企信創(chuàng)平臺(tái)+密碼服務(wù)信創(chuàng)云+信創(chuàng)云密碼新信創(chuàng)平臺(tái)+信創(chuàng)密碼信創(chuàng)密碼等保三級(jí)密評(píng)覆蓋“等保/密評(píng)合規(guī)”+“云上密碼”+“信創(chuàng)密碼”三種能力市場(chǎng)SSLVPN簽名服務(wù)器時(shí)間戳密碼機(jī)電子簽章身份認(rèn)證網(wǎng)關(guān)證書認(rèn)證系統(tǒng)密鑰管理系統(tǒng)國(guó)密證書商用密碼產(chǎn)品應(yīng)用場(chǎng)景國(guó)密證書商用密碼產(chǎn)品應(yīng)用效果符合信創(chuàng)系統(tǒng)密碼應(yīng)用要求符合信息系統(tǒng)密碼應(yīng)用（密評(píng)）基本要求滿足等保2.0中對(duì)密碼應(yīng)用的要求滿足信息系統(tǒng)對(duì)身份認(rèn)證和數(shù)據(jù)防泄漏、數(shù)據(jù)防篡改的需求目錄01產(chǎn)品背景產(chǎn)品簡(jiǎn)介0203應(yīng)用案例x市公安局視頻監(jiān)控系統(tǒng)密碼應(yīng)用項(xiàng)目x公安視頻監(jiān)控系統(tǒng)需求操作員登錄視頻監(jiān)控系統(tǒng)要身份可信操作系統(tǒng)能夠防非法訪問(wèn)操作行為能夠有效留痕并防篡改x公安視頻監(jiān)控系統(tǒng)密碼應(yīng)用實(shí)現(xiàn)效果通過(guò)使用電子認(rèn)證系列產(chǎn)品，在x市公安局視頻監(jiān)控系統(tǒng)中實(shí)現(xiàn)了基于安全可靠的數(shù)字證書技術(shù)的身份認(rèn)證，能夠有效防止身份冒用和非授權(quán)登錄，同時(shí)對(duì)業(yè)務(wù)員的操作進(jìn)行了留痕，有效避免了非法操作的發(fā)生。WEB服務(wù)器應(yīng)用服務(wù)器…CA能力接入模塊系統(tǒng)管理模塊RA系統(tǒng)x內(nèi)網(wǎng)應(yīng)用系統(tǒng)業(yè)務(wù)受理點(diǎn)CA管理員WEB服務(wù)器應(yīng)用服務(wù)器…x外網(wǎng)應(yīng)用系統(tǒng)對(duì)集團(tuán)內(nèi)部人員、內(nèi)部應(yīng)用系統(tǒng)和外部應(yīng)用系統(tǒng)提供數(shù)字證書以及電子認(rèn)證服務(wù)。電子認(rèn)證服務(wù)接入x集團(tuán)ESB總線，方便各應(yīng)用系統(tǒng)的調(diào)用。證書服務(wù)模塊x集團(tuán)證書服務(wù)系統(tǒng)20電子招投標(biāo)系統(tǒng)各類電子商務(wù)系統(tǒng)……ERP、CRM、HRM各類業(yè)務(wù)生產(chǎn)系統(tǒng)某地市XC政務(wù)云平臺(tái)項(xiàng)目項(xiàng)目簡(jiǎn)介此項(xiàng)目為XX市政務(wù)XC政務(wù)云的安全加固項(xiàng)目，為信創(chuàng)政務(wù)云中建設(shè)商用密碼相關(guān)安全產(chǎn)品，使得信創(chuàng)政務(wù)云互聯(lián)網(wǎng)區(qū)和電子政務(wù)外網(wǎng)區(qū)滿足三級(jí)系統(tǒng)商用密碼應(yīng)用功能的安全需求。解決方案在政務(wù)外網(wǎng)區(qū)和互聯(lián)網(wǎng)區(qū)中分