2022年,“密評”(即“商用(use)密碼應用(use)安全性評估”)成了(Got it)各行業關注的(of)熱詞。在(exist)《密碼法》的(of)要(want)求下,在(exist)國标《信息安全技術信息系統密碼應用(use)基本要(want)求》(GB/T 39786-2021)的(of)指導下,各地(land)各行業積極、嚴謹地(land)開展密評工作(do),将是(yes)推動密碼應用(use)的(of)良好開端。各行業紛紛出(out)台了(Got it)相關标準、要(want)求,将密評工作(do)提上日程,關鍵信息基礎設施、政務信息系統、等保三級以(by)上信息系統建設,都要(want)“過密評”。面對各式各樣的(of)産品和(and)衆說紛纭的(of)方案,究竟密評該如何過?應該遵照哪些技術标準?關注哪些要(want)點?有哪些誤區?我(I)們(them)帶你一(one)探究竟。誤區一(one):業務系統零改造,信息系統免集成,即可通過密評現狀:有些廠家提出(out)業務系統零改造過密評的(of)方案,還有些密碼服務廠商抓住了(Got it)客戶信息系統改造難度大(big)、成本高的(of)痛點,打出(out)“信息系統免集成,即可通過密評”的(of)宣傳口号。專家解讀:事實上信息系統開展密評工作(do)主要(want)目的(of)在(exist)于(At)推動密碼應用(use)的(of)合規性、正确性、有效性。在(exist)常見的(of)密碼應用(use)中的(of)安全性問題包括:密碼技術被棄用(use)(例如完全未用(use)密碼)、密碼技術被亂用(use)(例如簡化使用(use)密碼協議導緻出(out)現安全漏洞)、密碼技術被誤用(use)(例如使用(use)固定值而非随機數作(do)爲(for)初始向量)。這(this)一(one)切都指向“用(use)”,即信息系統要(want)正确調用(use)密碼産品、密碼服務。不(No)針對信息系統實際情況、重要(want)數據安全需求等加以(by)分析,進而适當改造信息系統以(by)“用(use)”密碼,是(yes)難以(by)全面保障信息系統安全,也難以(by)通過密評。誤區二:忽略應用(use)層,隻靠物理、網絡層也能過密評現狀:部分廠商向客戶提出(out)“應用(use)層不(No)拿分,靠其他(he)幾層拿分也能及格”的(of)說辭。專家解讀:根據《商用(use)密碼應用(use)安全性評估量化評估規則》第6部分整體結論判定,整體量化評估結果是(yes)百分制,應用(use)和(and)數據安全占30分。隻有達到(arrive)分數阈值、且沒有高風險項,才能判定被測信息系統基本符合GB/T39786-2021相應等級要(want)求。目前執行的(of)阈值是(yes)60分,這(this)意味着如果應用(use)和(and)數據層完全不(No)拿分,就隻剩下10分的(of)機動空間;更重要(want)的(of)是(yes),應用(use)和(and)數據安全涉及5項高風險項,如果完全不(No)加以(by)考慮,很容易碰到(arrive)高風險“一(one)票否決”。誤區三:密評是(yes)針對密碼産品的(of)測評現狀:一(one)些機構疑問:“如果系統中沒有應用(use)密碼技術或密碼産品,是(yes)不(No)是(yes)就不(No)需要(want)過密評,或者可以(by)直接通過密評?”專家解讀:密評是(yes)針對應用(use)方業務系統的(of)測評,看密碼是(yes)否得到(arrive)合規、正确、有效的(of)應用(use),而非針對密碼産品的(of)檢測。按照相關法律法規規定,關鍵信息基礎設施、政務信息系統、等保三級以(by)上信息系統需要(want)同步規劃、同步建設、同步運營密碼保障系統,定期進行密評,這(this)項要(want)求與其當前是(yes)否使用(use)密碼無關。如果上述業務系統完全未用(use)到(arrive)密碼,那麽在(exist)密評中“高風險項”是(yes)肯定存在(exist)的(of),因而肯定無法通過密評。現狀:一(one)些機構疑惑等保定級的(of)範圍和(and)密評範圍是(yes)否一(one)緻,在(exist)做密碼測評的(of)時(hour)候是(yes)要(want)所有的(of)系統測試通過才算通過密評嗎?如何劃定測評對象範圍?專家解讀:密評當前沒有獨立的(of)定級,而是(yes)依賴等保定級的(of)。因而在(exist)劃定測評範圍的(of)時(hour)候,原則上應與等保定級的(of)範圍一(one)緻。如果等保定級系統裏有多個(indivual)應用(use)或多個(indivual)子系統,密評時(hour)會針對每個(indivual)應用(use)或子系統都做測評,最終分數判定需綜合考慮所有應用(use)或子系統在(exist)相應層次的(of)密碼應用(use)情況。詳情可參照GM/T 0115《信息系統密碼應用(use)測評要(want)求》。誤區五:采購一(one)些密碼設備并部署上,就滿足了(Got it)密評要(want)求現狀:開展密評工作(do)必然離不(No)開密碼設備的(of)建設工作(do),密碼設備的(of)采購數量、采購金額必然是(yes)各行業關注的(of)重點之一(one)。部分密碼設備廠商基于(At)自身産品推廣,宣稱“采購一(one)些密碼設備、一(one)類産品即可通過密碼應用(use)測評” 。專家解讀:密評工作(do)的(of)目标是(yes)“以(by)評促用(use)”,脫離信息系統的(of)當前狀況去談産品的(of)配用(use)是(yes)不(No)科學的(of)。對于(At)已建的(of)信息系統,首先開展差距分析,梳理保護對象、應用(use)場景及防護現狀,總結當前差距形成密碼應用(use)需求,根據密碼應用(use)需求設計密碼應用(use)措施,才能談得上需要(want)什麽樣的(of)産品來(Come)實現這(this)些措施。現狀:密評工作(do)對于(At)各行業來(Come)說屬于(At)新業務、新要(want)求,在(exist)缺乏有效參考經驗的(of)情況下,一(one)些銷售人(people)員爲(for)了(Got it)争取商業機會,打出(out)“包過密評”包票。專家解讀:這(this)樣的(of)宣傳雖然可能給了(Got it)用(use)戶通過“密評”的(of)信心,但能否通過密評,是(yes)由正規測評機構給出(out)結論爲(for)标志的(of)。密碼測評機構絕不(No)會在(exist)尚未了(Got it)解任何情況之前就去判定“符合”;同樣的(of),協助用(use)戶做密碼應用(use)的(of)廠商,也隻有在(exist)充分了(Got it)解用(use)戶業務、梳理密碼應用(use)需求之後,才能明确有哪些GB/T 39786規定的(of)密碼應用(use)要(want)求未得到(arrive)滿足,此前的(of)“包票”都隻能是(yes)噱頭。即便明确了(Got it)需求,是(yes)否能夠設計出(out)既滿足了(Got it)密碼應用(use)需求、又不(No)對業務造成太大(big)影響的(of)技術措施,仍是(yes)要(want)具體問題具體分析。科學的(of)說法,是(yes)專業密碼廠商會竭盡所能幫助用(use)戶通過“密評”,但在(exist)未充分了(Got it)解情況之前的(of)“包票”,都是(yes)過于(At)誇張的(of)。誤區七:已建設的(of)CA認證産品和(and)密評關系認知不(No)明現狀:一(one)些機構疑惑現有的(of)CA電子簽名、數據保護等和(and)密評是(yes)什麽關系?
專家解讀:基于(At)公鑰密碼的(of)電子簽名,是(yes)當前主流的(of)密碼應用(use)技術之一(one)。行業現階段爲(for)無紙化業務而開展的(of)電子簽名、數據保護等工作(do),同樣屬于(At)密碼技術應用(use),能夠解決重要(want)數據的(of)真實性、完整性和(and)不(No)可否認性,爲(for)合規密碼應用(use)建設打下了(Got it)良好基礎。但如前所述,并非一(one)類密碼應用(use)技術就可解決所有問題,因此也不(No)能有“用(use)了(Got it)電子簽名就一(one)定能過密評”的(of)認識。誤區八:隻用(use)對新機房進行密碼應用(use)改造現狀:随着信息化發展,部分機構在(exist)原有機房難以(by)支撐信息化應用(use)的(of)情況下,采用(use)了(Got it)多機房并行的(of)情況。針對此類情況,機構認爲(for)隻對新機房開展密碼應用(use)改造,就可以(by)完成密評工作(do)。專家解讀:GB/T 39786規定的(of)物理環境安全要(want)求,是(yes)所有物理環境都需要(want)滿足的(of)。因此如果多機房,每個(indivual)機房都要(want)根據完整的(of)測評單元開展評估工作(do),綜合的(of)物理環境安全得分值是(yes)取加權平均,而非隻有一(one)個(indivual)機房合規就能得到(arrive)全部的(of)分數。對于(At)高風險項,如果任何一(one)個(indivual)機房存在(exist)高風險,則是(yes)“一(one)票否決”。這(this)些“要(want)點”要(want)掌握
- 網絡運營者即網絡和(and)信息系統的(of)責任單位(包括建設、使用(use)、管理單位),是(yes)密評的(of)被測評單位,應當認真履行好密碼安全主體責任,明确密碼安全負責人(people),制定完善的(of)密碼管理制度,按照要(want)求開展商用(use)密碼應用(use)安全性評估、備案和(and)整改,配合密碼管理部門和(and)有關部門的(of)安全檢查。
- 測評機構是(yes)密評的(of)執行單位,應當按照有關法律法規和(and)标準要(want)求科學、公正地(land)開展評估。從事密評工作(do)的(of)測評人(people)員應當通過國家密碼管理部門(或其授權的(of)機構)組織的(of)考核,遵守國家有關法律法規,按照相關标準,爲(for)用(use)戶提供安全、客觀、公正的(of)評估服務,保證評估的(of)質量和(and)效果。
- 國家密碼管理部門負責指導、監督和(and)檢查全國的(of)密評工作(do);省(部)密碼管理部門負責指導、監督和(and)檢查本地(land)區、本部門、本行業(系統)的(of)密評工作(do)。國家密碼管理部門依據有關規定,組織對測評機構工作(do)開展情況進行監督檢查。
《信息安全技術 信息系統密碼應用(use)基本要(want)求》(GB/T 39786-2021)是(yes)貫徹落實《中華人(people)民共和(and)國密碼法》,指導我(I)國商用(use)密碼應用(use)與安全性評估工作(do)開展的(of)綱領性、框架性标準。中國密碼學會密評聯委會發布并持續更新依照GB/T 39786-2021開展密評的(of)系列指導文件,目前包括5項:GM/T 0115-2021《信息系統密碼應用(use)測評要(want)求》
GM/T 0116-2021《信息系統密碼應用(use)測評過程指南》
《商用(use)密碼應用(use)安全性評估量化評估規則》
《商用(use)密碼應用(use)安全性評估報告模闆(2021版)》
另外,2021年新增發布了(Got it)《商用(use)密碼應用(use)安全性評估FAQ》,對于(At)密評工作(do)中的(of)常見問題進行了(Got it)解答。密評的(of)基本要(want)求和(and)程序設計
- 法律、行政法規和(and)國家有關規定要(want)求使用(use)商用(use)密碼進行保護的(of)網絡與信息系統,其運營者應當使用(use)商用(use)密碼進行保護,制定商用(use)密碼應用(use)方案,配備必要(want)的(of)資金和(and)專業人(people)員,同步規劃、同步建設、同步運行商用(use)密碼保障系統并定期進行密評。
- 密評機構應當經國家密碼管理局認定,依法取得商用(use)密碼檢測機構資質,且資質認定業務範圍載明“商用(use)密碼應用(use)安全性評估”。目前密評工作(do)仍處于(At)“試點”階段,因此當前公布的(of)是(yes)密評“試點”機構名錄。不(No)久的(of)将來(Come)随着《商用(use)密碼管理條例》《密碼檢測機構管理辦法》等制度文件的(of)正式頒布,密評機構認定工作(do)将走向常态化。
- 包含方案測評、系統測評、運營者支持配合義務、結果備案等。
- 信息系統密碼應用(use)基本要(want)求:如圖所示
開展密碼應用(use)建設應根據責任單位實際情況具體問題具體分析,基于(At)GB/T 39786-2021規定的(of)四個(indivual)技術層面、四個(indivual)管理層面,根據實際安全需求編制密碼應用(use)方案,并針對性選擇密碼産品實現方案中所述的(of)密碼應用(use)措施。安全是(yes)核心目标,在(exist)合規的(of)方案指導下使用(use)密碼技術和(and)密碼産品,才能保障核心目标不(No)偏離。項目建設單位應當同步規劃、同步建設、同步運行密碼保障系統并定期進行評估,其中同步規劃的(of)核心是(yes)密碼應用(use)方案編制。密碼應用(use)方案編制是(yes)至關重要(want)的(of)環節,好的(of)方案會爲(for)後續的(of)建設指明方向、鋪平道路;如果方案未做好,後期的(of)項目建設将面臨諸多困難和(and)反複。典型的(of)“方案未做好”是(yes)沒有對業務進行仔細梳理、對密碼應用(use)需求的(of)詳細分析,而是(yes)直接生(born)搬硬套密碼應用(use)措施和(and)産品,導緻建設時(hour)出(out)現無法落地(land)實施的(of)狀況。
(2)把握“以(by)評促用(use)”的(of)指導思想
隻有正确、合規、有效地(land)使用(use)密碼技術,才能更好地(land)保護網絡安全和(and)數據安全——密碼用(use)得對不(No)對,需要(want)前期的(of)同步規劃、同步建設、同步運行密碼保障系統,然後靠測評來(Come)證明。根據GM/T 0115《信息系統密碼應用(use)測評要(want)求》:對于(At)“應”的(of)條款,密評人(people)員應按照第5章和(and)第6章相應的(of)測評指标要(want)求進行測評和(and)結果判定;若根據信息系統的(of)密碼應用(use)方案和(and)方案評審意見,判定信息系統确無與某項或某些項測評指标相關的(of)密碼應用(use)需求,則相應測評指标爲(for)“不(No)适用(use)”。對于(At)“宜”的(of)條款,密評人(people)員根據信息系統的(of)密碼應用(use)方案和(and)方案評審意見決定是(yes)否納入标準符合性測評範圍;若信息系統沒有通過評估的(of)密碼應用(use)方案或密碼應用(use)方案未做明确說明,則“宜”的(of)條款默認納入标準符合性測評範圍。若納入測評範圍,則密評人(people)員應按照第6章相應的(of)測評指标要(want)求進行測評和(and)結果判定。否則,密評人(people)員應根據信息系統的(of)密碼應用(use)方案和(and)方案評審意見,在(exist)測評中進一(one)步核實密碼應用(use)方案中所描述的(of)風險控制措施使用(use)條件在(exist)實際的(of)信息系統中是(yes)否被滿足,且信息系統的(of)實施情況與所描述的(of)風險控制措施是(yes)否一(one)緻,若滿足使用(use)條件,該測評指标爲(for)“不(No)适用(use)”,并在(exist)密碼應用(use)安全性評估報告中體現核實過程和(and)結果;若不(No)滿足使用(use)條件,則應按照第6章相應的(of)測評指标要(want)求進行測評和(and)結果判定。 對于(At)“可”的(of)條款,由信息系統責任單位自行決定是(yes)否納入标準符合性測評範圍。若納入測評範圍,則密評人(people)員應按照第6章相應的(of)測評指标要(want)求進行測評和(and)結果判定;否則,該測評指标 爲(for)“不(No)适用(use)”。根據差距分析,進行分階段規劃,穩步推進密碼建設。原則上優先解決高風險,再考慮解決中低風險;先解決重要(want)業務線,再補充其他(he);先保護好基礎設施,再考慮構建在(exist)其上的(of)應用(use)。
文章來(Come)源:等級保護測評
