什么是密评?

基本概念

商用密码应用安全性评估(简称密评),是指按照相关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

法律地位

依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码应用安全性评估管理办法》、《GB/T 39786-2021 信息系统密码应用基本要求》等法律和相关监管条例要求,依法维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。

涉及范围

依据相关标准规定,关键信息基础设施、等保三级系统及以上系统,需通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次复评。依据行业属性,主要包含政府、金融、教育、医疗、央国企、出行、电力、能源、交通等行业。

腾讯云密评合规流程介绍

  • 1
    差距分析
    依据国标要求,对应用系统进行差距分析。
  • 2
    方案设计
    差距分析和编制《商用密码应用方案》
  • 3
    应用集成改造
    密码产品接入,密码应用集成改造。
  • 4
    密码测评
    测评机构开展密码应用测评,获得测评报告。
  • 5
    持续运维
    密码产品运营、运维、技术支持、每年复检等。

我们的优势

应用免开发改造更简单

提供免应用开发改造国密存储加密CASB、国密堡垒机等密码产品,应用无需进行深度代码改造即可满足数据机密性和完整性的合规要求,最小化业务改造成本,让密评改造更简单。

一站式密评服务更省心

腾讯云携手第三方专业的测评机构,结合腾讯云上密码产品和最佳实践,提供需求沟通、差距分析、方案制定、业务改造、密码测评,全流程一站式的密评咨询和测评服务,帮助用户更快、更好、更省心的通过密评。

云密码产品资质合规

腾讯云上密码产品均已取得国家密码管理局认证的资质证书,满足《GB/T 39786 信息系统密码应用基本要求》中的各项要求,帮助用户快速满足应用系统在网络通信、设备计算、应用数据等方面的合规要求。

产品套餐

应用场景 安全产品 关键项说明
网络和通信安全 国密 SSL 网关 提供重要数据传输机密性和完整性通道
云加密机 CHSM 提供合规的密码计算资源
国密浏览器 打开使用国密算法和国密SSL证书搭建的网站
国密 SSL 证书 提供国密SSL站点证书
设备和计算安全 国密堡垒机 BH 提供设备运维管理安全、运维传输通道、日志完整性保护
国密个人证书 提供运维人员身份鉴别
应用和数据安全 数据安全网关 CASB 提供重要数据存储机密性和完整性保护
密钥管理系统 KMS 提供安全合规的密钥安全能力
密码应用管理制度 一站式密评服务 应用于密码应用方案撰写、业务改造指导和密码应用测评。

《信息系统密码应用基本要求》关键项解读

  • 总体解读
  • 网络和通信安全
  • 设备和计算安全
  • 应用和数据安全
  • 密码应用管理制度

测评依据:GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》

密评通过要求:系统评测分数60分以上,且无高风险。

条款要求:

合规解读:

不可采用高风险算法对重要数据进行保护,如MD5、DES、SHA-1、RSA1024等,安全未知的算法也不可采用,如自行设计的算法或未经过安全论证的算法。
不可使用存在缺陷或安全问题的密码技术,如SSH1.0、TLS1.0、SSL2.0、SSL3.0等。
数据加密密钥应存储在具有国密资质的产品中,若明文存储在密码产品之外,如配置文件、数据库等,将判定为高风险,一票否决。
需采用具有国密资质的密码产品对业务进行改造,满足在身份真实性、重要敏感数据传输和存储机密性/完整性、访问控制信息完整性等保护。

推荐产品

密评合规架构

免费获取腾讯云密评合规资料礼包

腾讯云密评合规资料礼包

腾讯云为客户提供密评合规资料包,指引用户完成应用系统密评合规建设,资料包包含:腾讯云密评合规解决方案,以及密评专家1V1咨询。
提交问卷后免费领取

常见问题

密评系统如何定级?

目前密评系统等级与系统的等保等级保持一致,系统是等保二级,密评就按照二级要求,等保是三级,密评就按照三级要求。

需要预留多久时间让系统通过密评?

密评需要多久做一次?

密评咨询服务怎么收费?

业务在云上是否可以使用线下 IDC的密码产品?

更多问题请查看 常见问题,也可在 问答社区 中进行提问 。

咨询行业专业顾问
关于使用场景和技术架构的更多咨询, 请联系我们的销售和技术支持团队。