一、国密
定义与本质:国密即国家密码管理局公布认定的国产密码算法,也称为商用密码(在此语境下与国密通用),指能够实现商用密码算法的加密、解密和认证等功能的技术,涵盖密码算法编程技术和密码算法芯片、加密卡等的实现技术。它是保障国家信息安全的重要手段,我国将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护其秘密。
应用场景:主要用于涉及国家安全、国计民生等重要领域,如国防、外交、政务、金融、能源等领域,保障国家关键信息基础设施和重要信息的安全。
管理机构:由国家密码管理局统一管理和监督,确保国密相关工作的规范有序进行,保障其安全性和合规性。
加密算法:国密采用特定的加密算法,如 SM 系列算法(SM1、SM2、SM3、SM4、SM7、SM9)和祖冲之密码算法(ZUC)等。这些算法经过严格的安全评估和验证,具有较高的安全性和自主可控性。
安全要求:具有极高的安全性和保密性要求,以应对复杂的安全威胁,保护国家核心利益和重要信息资产。
二、商密
定义与特性:商密即商业密码,指用于商业领域,保护商业秘密和交易安全的密码技术,通常由企业或商业机构自主研发或采购。它具有灵活性,可根据企业具体需求定制开发;具有经济性,适合企业大规模应用;具有保密性,旨在保护企业的商业秘密和交易安全。
商业秘密:按照中国《反不正当竞争法》的规定,商业秘密是指不为公众所知悉、能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息,包括管理方法、产销策略、客户名单、货源情报等经营信息,以及生产配方、工艺流程、技术诀窍、设计图纸等技术信息。
应用场景:广泛应用于商业领域,如企业内部的信息交流、商业交易、客户数据保护、电子商务、金融交易等,用于保护商业机密、企业敏感信息和客户隐私等,帮助企业维护其竞争优势。
管理机构:由企业或组织自行管理,企业可根据自身的安全需求和商业运营特点,制定相应的商密管理措施和保密策略。
加密算法:商密的加密算法相对灵活,企业可根据具体需求选择合适的算法。既可以采用国家密码管理局认定的国产商用密码算法,如 SM 系列算法,也可以使用其他符合相关标准和规范的商业加密算法。
安全要求:安全性要求相对国密较低,但也要满足一般商业领域的保密需求,能够抵御常见的安全威胁,保护企业的商业利益。
三、密评
定义与目的:密评即密码应用安全性评估,指对采用密码技术、产品和服务集成建设的网络和信息系统的密码应用合规性、正确性、有效性进行评估。其目的是确保密码应用符合相关法律法规和标准要求,保障信息系统的安全性,包括合规性检查、安全性评估和提出改进建议。
法规要求:国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、网络安全保护第三级以上网络、国家政务信息系统等网络与信息系统开展商用密码应用安全性评估工作。如《网络安全法》第十条规定建设、运营网络或通过网络提供服务应保障网络安全等;《密码法》第二十七条规定使用商用密码进行保护的关键信息基础设施的运营者应开展商用密码应用安全性评估。
评估对象:包括电信网、广播电视网、互联网等基础信息网络;能源、教育、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统;石油石化、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统;党政机关和使用财政资金的事业单位、团体组织使用的面向社会服务的信息系统等。关键信息基础设施、网络安全等级保护第三级及以上信息系统需要每年至少评估一次。
评估流程:分为测评准备、方案编制、现场测评、分析与报告编制四个阶段。
测评准备阶段包括测评项目启动、信息收集与分析、工具和表单准备;
方案编制阶段包括测评对象和指标确定、测评工具切入点确定、测评方案编制;
现场测评阶段包括现场测评实施准备、现场测评和结果记录、结果确认和资料归还;
报告编制阶段包括测评结果判定、结果风险分析、报告编制。