淺談電力監控系統商用密碼應用安全性評估

謝 志 奇

(貴州烏江水電開發有限責任公司，貴州 貴陽 550002)

0 前 言

商用密碼是指對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品，其具有防泄密(機密性)、防篡改(完整性)、防假冒(真實性)、防抵賴(不可否認性)，商用密碼應用安全性評估(后簡稱“密評”)是指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統，對其中密碼應用的合規性、正確性、有效性進行評估[1]。

1 密評特性介紹及具體步驟

1.1 密評特點

1.1.1 合規性

按照《商用密碼管理條例》等密碼法規和行業相關的密碼使用要求，使用符合國家密碼法規和標準規定的商用密碼算法，使用經過國家密碼管理局審批的密碼產品或服務；按照《信息系統密碼應用基本要求》等標準，進行相應的密碼應用解決方案設計。

1.1.2 正確性

系統中采用的標準密碼算法、協議和密鑰管理機制按照相應的國家和行業密碼標準進行正確的設計和實現；自定義密碼協議、密鑰管理機制的設計和實現正確，符合相關標準要求；密碼保障體系建設或改造過程中密碼產品和服務的部署和應用正確。

1.1.3 有效性

密碼應用安全立足系統安全、體系安全、動態安全，信息系統中采用的密碼協議、密鑰管理系統、密碼應用子系統和密碼防護機制不僅設計合理，而且在系統運行過程中能夠發揮密碼效用，保障信息的機密性、完整性、真實性、抗抵賴性[2]。

1.2 密評依據和基本原則

評估工作應當遵循國家法律法規及相關標準。……