密评全称密码应用安全性评估,是指在用户的业务系统中是否采用了密码技术、产品、服务和集成,对其密码应用的合规性、正确性和有效性进行评估,定期进行密评是网络和信息系统运营者的法定义务。
《中华人民共和国密码法》规定:法律、行政法规和国家有关规定要求使用密码进行保护的关键信息基础设施,其运营者应当使用密码进行保护,自行或者委托密码检测机构开展密码应用安全性评估。
《商用密码应用安全性评估管理办法》《网络安全等级保护条例》《国家政务信息化项目建设管理办法》等法律法规对密评也进行了具体的要求。
GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求,以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。与GM/T0054-2018《信息系统密码应用基本要求》相比,该标准结合近年来商用密码应用与安全性评估工作实践对部分内容进行了优化,按照信息系统安全等级分别提出了相应的密码应用要求。
注:“应”表示应该、只准许;“宜”表示推荐、建议;“可”表示可以、允许。
密码服务不全面、密码应用不合规:未使用密码或使用不合规的密码,未正确使用密码,密码服务不全面,导致系统安全风险。
密码资源服务运维复杂:所有密码资源和服务都需人工进行部署和配置,部署难度大、工作量大、成本高、周期长。
密码资源和服务无法独享使用:租户共享平台密码资源和服务,密钥、数据泄露风险较大,租户使用密码的安全性无法保障。
无法实时监控资源服务运行状态:缺少可视化监控平台,无法统计分析资源利用,易造成因资源服务异常导致业务中断风险。
资源管控和服务接口不统一:资源部署分散,管控和服务接口不统一,资源管控和服务对接难度大,增加管理和对接成本。
用户体系不统一:密码服务平台用户体系与云平台用户体系不统一,用户种类和数量增多,导致用户管理难度增加。
密码资源无法按需弹性伸缩:无法适应云计算弹性资源服务的需求,增加租户密码建设一次性投入成本。
江南天安密码应用安全服务系统是江南天安积极响应国内市场密评需求,严格依据国家密码技术相关规范标准,以商用密码为基础,独立设计、自主创新,从用户系统业务角度进行密码应用方案规划,面向各行业企事业单位提供密评合规、密评整改、国密整改、国密数据加密等一站式商用密码合规解决方案,助力企业应用系统升级改造,满足GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中对应指标要求,为企业各应用业务系统提供安全合规的密码服务及对应的密码服务管理服务,顺利通过密码应用安全性评估。
江南天安密码应用安全服务系统以全局化思维构建数据安全密码防护,可广泛应用于金融、电力、政务、电信、教育、医疗等各行业的企事业单位,提供集中的密钥管理、签名验签、时间戳、电子签章、数据加解密、SSL网关、SSL VPN、文件加解密、数据库加密、协同签名、动态令牌等密码服务,一站式建设可扩展、服务化的密码应用体系,为企事业单位高质量通过密评打下基础。
