老赵揉搓苏清雅双乳的视频_老头老太性行交视频_老同学3免费集_老师没戴套子C了我一天视频_老师的丰满大乳奶_老师把我添高潮了A片潘金莲

引言

“十四五”規劃和2035年遠景目標綱要對我國的數字化發展作出戰略部署，其主要內容可以概括為“413”框架：“4”是指要建設網絡強國、數字經濟、數字政府、數字社會；“1”是指通過數字化轉型驅動；“3”是指通過數字化轉型，促進生產方式、生活方式和治理方式變革。這個戰略框架對未來我國數字化發展將產生深遠影響。

隨著全球數字經濟發展，網絡空間必將成為戰略威懾和控制的新領域、維護經濟社會穩定的新陣地以及未來各國軍事角逐的新戰場，網絡安全被納入國家安全重要戰略地位。密碼作為保障網絡安全的核心技術，是構建網絡信任的基礎支撐。我們利用密碼的安全認證、加密保護、信任傳遞等特性，來消除或控制潛在的“安全危機”，這是我們大力發展密碼工作、密碼事業和全面開展密評工作的主要原因。

一、關于商用密碼

1. 商用密碼的定義

商用密碼的定義：對不涉及國家秘密內容的信息進行加密保護或者安全認證，所使用的密碼技術和密碼產品。

商用密碼的核心：商用密碼技術，國家將其列為國家秘密，任何單位和個人都有責任和義務保護商用密碼技術的秘密。

圖1 商用密碼技術圖解

國外的密碼算法：DES、3DES、AES、SHA-1、SHA-256、SHA-384、DSA、RSA、RC4等。

高危密碼算法：MD5、DES、RSA2048以下、SSH1.0、SSL3.0以下、SHA1等。

2. 密碼算法

密碼算法通?？煞譃槿箢悾?strong>對稱密碼算法、非對稱密碼算法、密碼雜湊算法。

密碼的四大特性：真實性、完整性、機密性、不可否認性。

• 對稱密碼算法：在加密與解密時使用相同的密鑰，兩個過程是“對稱”的。常見的對稱密碼算法：SM1、SM4、SM7、ZUC、DES、3DES、AES、RC4。
• 非對稱密碼算法：加密和解密使用不同的密鑰。其中加密的密鑰可以公開，稱為公鑰；解密的密鑰需要保密，稱為私鑰。公私鑰成對出現，公鑰推倒出私鑰在理論上不可行。常見的非對稱密碼算法：SM2、SM9、RSA、ECDSA、Elgamal。
• 密碼雜湊算法：將任意長度的二進制值映射為較短的固定長度的二進制值。常見的密碼雜湊算法：SM3、MD5、SHA1、SHA2、SHA3。

密碼雜湊算法具備三大特性：

單向性：為一個給定的輸出找出能映射到該輸出的一個輸入在計算上是困難。

弱抗碰撞性：為一個給定的輸入找出能映射到同一個輸出的另一個輸入在計算上是困難的的。

強抗碰撞性：要發現不同的輸入映射到同一輸出在計算上是困難的。

二、關于密評

1. 密評的定義

密評全稱：商用密碼應用安全性評估

密評定義：對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估。

這句話精簡一下，即：對網絡和信息系統密碼應用進行評估。在網絡和信息系統中，密碼幾乎無處不在，用戶登錄、管理員操作、業務系統之間互相調用數據…全都跟密碼息息相關，因此在做密評的時候，需要針對整個網絡和信息系統進行測評。

2. 密評的對象

• 電信網、廣播電視網、互聯網等基礎信息網絡；
• 能源、教育、交通、衛生計生、金融等涉及國計民生和基礎信息資源的重要信息系統；
• 石油石化、電力系統、交通運輸、水利樞紐、城市設施等重要工業控制系統電力系統、石油天然氣、油氣管道等重要信息系統和重要工業控系統；
• 黨政機關和使用財政資金的事業單位、團體組織使用的面向社會服務的信息系統；
• 基礎信息網絡、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制系統。

國家網絡安全和密碼相關法律法規明確要求非涉密的關鍵信息基礎設施、等保三級及以上系統、國家政務等重要信息系統要開展密評工作。并且，密評管理辦法也明確規定：關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統，需要每年至少評估一次。

3. 密評的內容

密評工作主要有方案評估和系統評估兩部分重要內容組成。

（1）信息系統規劃階段的密碼應用方案評估：對于新建/改造信息系統，密碼應用建設方案/改造方案，一般由責任單位組織商用密碼從業單位編寫。

包括：《密碼應用解決方案》、《實施方案》和《應急處置方案》。責任單位編寫密碼應用建設方案/改造方案后，應委托測評機構對方案進行評估。

（2）信息系統建設完成后的信息系統商用密碼應用安全性評估：依據GB/T39786的技術要求和管理要求開展評估工作，系統評估主要從物理和環境、網絡和通信、設備和計算、應用和數據、密鑰管理、安全管理等方面開展。

測評機構完成系統評估后，出具評估報告。在密評活動結束30個工作日內，將評估結果報密碼管理部門等相關部門備案。

圖 2 密評范圍

• 物理和環境：密碼技術實現物理訪問控制、監控記錄完整性保護等要求。
• 網絡和通信：密碼技術實現網絡傳輸過程的通信雙方真實性，數據的機密性、完整性保護等要求。
• 設備和計算：密碼技術實現設備用戶身份真實性，訪問控制信息完整性，日志記錄完整性等要求。
• 應用和數據：密碼技術實現身份真實性，數據傳輸和存儲的機密性、完整性，數據收發行為的不可抵賴性等要求。
• 密鑰管理：密鑰全生命周期管理，包括密鑰生成、存儲、使用、分發、備份/恢復、歸檔等。
• 安全管理：管理制度，人員管理，建設運行，應急處置。

4. 密評的標準

對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用，需要滿足合規性、正確性、有效性的要求，具體內容如下：

合規性：信息系統使用的密碼技術、產品和服務是否符合國密要求。

正確性：受保護對象是否明確，密碼功能是否實現準確，密碼產品參數是否配置正確。

有效性：檢驗或驗證密碼應用是否合規、正確，是否真正實現了受保護對象的安全防護需求。

法規/政策依據：

GB/T 39786-2021 信息安全技術 信息系統密碼應用基本要求

GB/T 43206-2023 信息安全技術 信息系統密碼應用測評要求

信息系統密碼應用測評過程指南

信息系統密碼應用高風險判定指引

商用密碼應用安全性評估量化評估規則

GB/T 32907-2016 信息安全技術 SM4分組密碼算法

GB/T 32918-2016 信息安全技術 SM2橢圓曲線公鑰密碼算法

GB/T 32905-2016 信息安全技術 SM3密碼雜湊算法

……

5. 密評的流程

密評流程分為四個基本測評活動：測評準備活動、方案編制活動、現場測評活動、分析與報告編制活動；在整個密碼應用安全性評估過程中，測評雙方將會持續進行溝通和改造。

• 測評準備階段：測評項目啟動、信息收集與分析、工具和表單準備

在編制項目計劃書時，被測評單位需要提供基本資料，如管理架構、技術體系、運行情況、各種密碼安全管理制度及相關管理記錄等，填寫系統調查表，調查被測系統的基本信息、行業特征、密碼管理策略、網絡及設備部署情況等信息。以供測評人員和機構初步了解被測信息系統的實際情況。同時準備好相關測評工具，如漏掃工具、性能測試工具、協議分析工具等。

• 方案編制階段：測評對象和指標確定、測評工具切入點確定、測評方案編制

根據政策基本要求，首先需要確定測評對象和測評指標，然后要合理選擇測試接入點，分析系統內部算法、密碼協議應用的合規性和正確性，整理測評準備階段中獲取的信息系統相關資料，最后將繪制成密碼測評方案，為現場測評提供基本的文檔和指導方案。

• 現場測評階段：現場測評實施準備、現場測評和結果記錄、結果確認和資料歸還

開展訪談、文檔審查、實地查看、工具測試等活動時，需要認真記錄過程和結果。需要確認是否具備測評開展的條件，確保測評對象工作正常，系統處于相對良好的狀況。測評結束后，需要確認測評工作是否對測評對象造成了影響，以及測評對象和系統是否工作正常。

• 報告編制階段：測評結果判定、結果風險分、報告編制

現場測評完成后，根據現場的測評結果記錄進行分析，輸出測評結果，并準備編制測評報告，包括單項測評結論、整體測評結論、風險分析結論及最終的評估結論。

三、為什么要做密評？

開展商用密碼應用安全性評估，是為解決商用密碼應用中存在的突出問題，為網絡和信息系統的安全提供科學評價方法，逐步規范商用密碼的使用和管理，從根本上改變商用密碼應用不廣泛、不規范、不安全的現狀，確保商用密碼在網絡和信息系統中有效使用。

（1）政策要求：《密碼法》、國辦發57號文、《關鍵信息基礎設施安全保護條例》、《電子認證服務密碼管理辦法》等相關政策法規要求信息系統要開展密碼應用安全性評估。

（2）行業監管：通過行業主管部門的監管，要求行業單位需要通過密評，提高系統安全防御能力，如金融、醫療等。

（3）等保延伸：等?？梢越鉀Q網絡監控、邊界防護、集中安全管理、訪問控制、安全審計等，密評可進一步有效解決數據傳輸和存儲機密性及完整性、數據來源真實可信、操作行為不可否認。

（4）安全需求：保證數據機密性、完整性、來源真實性等.

（5）業務屬性：情報板、網站等防篡改、電子合同、電子票據等防篡改及否認、網上交易、醫療健康等防泄漏。

（6）數據合規：《數據安全法》出臺，加快我國數據安全合規的進程，通過密碼可以為數據采集、存儲、整合、呈現與使用、分析與應用、歸檔和銷毀全生命周期保駕護航。

四、不做密評有什么影響？

《密碼法》 第三十七條

關鍵信息基礎設施的運營者違反本法第二十七條第一款規定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

《國家政務信息化項目建設管理辦法》 第二十八條

加強國家政務信息化項目建設投資和運行維護經費協同聯動……對于不符合密碼應用和網絡安全要求，或者存在重大安全隱患的政務信息系統，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統。

《數據安全法》 第四十五條

拒不改正或者造成大量數據泄露等嚴重后果的，處五十萬元以上二百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。

《關鍵信息基礎設施安全保護條例》第四十二條

運營者對保護工作部門開展的關鍵信息基礎設施網絡安全檢查檢測工作，以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的關鍵信息基礎設施網絡安全檢查工作不予配合的，由有關主管部門責令改正；拒不改正的，處5萬元以上50萬元以下罰款，對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款；情節嚴重的，依法追究相應法律責任。