2022年����,“密評”(即“商用密碼應(yīng)用安全性評估”)成了各行業(yè)關(guān)注的熱詞���。
在《密碼法》的要求下�������,在國標(biāo)《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》(GB/T 39786-2021)的指導(dǎo)下�����,各地各行業(yè)積極�������、嚴(yán)謹(jǐn)?shù)亻_展密評工作��,將是推動密碼應(yīng)用的良好開端�����。各行業(yè)紛紛出臺了相關(guān)標(biāo)準(zhǔn)����������、要求������,將密評工作提上日程������,關(guān)鍵信息基礎(chǔ)設(shè)施������、政務(wù)信息系統(tǒng)������、等保三級以上信息系統(tǒng)建設(shè)���,都要“過密評”�������。
面對各式各樣的產(chǎn)品和眾說紛紜的方案���,究竟密評該如何過���������?應(yīng)該遵照哪些技術(shù)標(biāo)準(zhǔn)�����?關(guān)注哪些要點����?有哪些誤區(qū)�����?威廉希尔帶你一探究竟�����。
誤區(qū)一����:業(yè)務(wù)系統(tǒng)零改造��������,信息系統(tǒng)免集成�������,即可通過密評
現(xiàn)狀����:有些廠家提出業(yè)務(wù)系統(tǒng)零改造過密評的方案��,還有些密碼服務(wù)廠商抓住了客戶信息系統(tǒng)改造難度大��������、成本高的痛點�����,打出“信息系統(tǒng)免集成�����,即可通過密評”的宣傳口號�������。專家解讀��:事實上信息系統(tǒng)開展密評工作主要目的在于推動密碼應(yīng)用的合規(guī)性������、正確性��������、有效性���。在常見的密碼應(yīng)用中的安全性問題包括���:密碼技術(shù)被棄用(例如完全未用密碼)����、密碼技術(shù)被亂用(例如簡化使用密碼協(xié)議導(dǎo)致出現(xiàn)安全漏洞)������、密碼技術(shù)被誤用(例如使用固定值而非隨機(jī)數(shù)作為初始向量)����。這一切都指向“用”������,即信息系統(tǒng)要正確調(diào)用密碼產(chǎn)品���、密碼服務(wù)�������。不針對信息系統(tǒng)實際情況�������、重要數(shù)據(jù)安全需求等加以分析�������,進(jìn)而適當(dāng)改造信息系統(tǒng)以“用”密碼�����,是難以全面保障信息系統(tǒng)安全������,也難以通過密評�����。
誤區(qū)二����:忽略應(yīng)用層������,只靠物理����、網(wǎng)絡(luò)層也能過密評
現(xiàn)狀���:部分廠商向客戶提出“應(yīng)用層不拿分���������,靠其他幾層拿分也能及格”的說辭��������。
專家解讀���:根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則》第6部分整體結(jié)論判定���������,整體量化評估結(jié)果是百分制��������,應(yīng)用和數(shù)據(jù)安全占30分���。只有達(dá)到分?jǐn)?shù)閾值����、且沒有高風(fēng)險項�����,才能判定被測信息系統(tǒng)基本符合GB/T39786-2021相應(yīng)等級要求�������。目前執(zhí)行的閾值是60分����,這意味著如果應(yīng)用和數(shù)據(jù)層完全不拿分��������,就只剩下10分的機(jī)動空間����������;更重要的是��������,應(yīng)用和數(shù)據(jù)安全涉及5項高風(fēng)險項��,如果完全不加以考慮�����,很容易碰到高風(fēng)險“一票否決”��������。
誤區(qū)三��:密評是針對密碼產(chǎn)品的測評
現(xiàn)狀����:一些機(jī)構(gòu)疑問��:“如果系統(tǒng)中沒有應(yīng)用密碼技術(shù)或密碼產(chǎn)品�������,是不是就不需要過密評����,或者可以直接通過密評�������?”
專家解讀����:密評是針對應(yīng)用方業(yè)務(wù)系統(tǒng)的測評�������,看密碼是否得到合規(guī)������、正確����、有效的應(yīng)用���������,而非針對密碼產(chǎn)品的檢測��������。按照相關(guān)法律法規(guī)規(guī)定�����,關(guān)鍵信息基礎(chǔ)設(shè)施���������、政務(wù)信息系統(tǒng)������、等保三級以上信息系統(tǒng)需要同步規(guī)劃����、同步建設(shè)�������、同步運營密碼保障系統(tǒng)���������,定期進(jìn)行密評�����,這項要求與其當(dāng)前是否使用密碼無關(guān)������。如果上述業(yè)務(wù)系統(tǒng)完全未用到密碼��������,那么在密評中“高風(fēng)險項”是肯定存在的���,因而肯定無法通過密評�����。
現(xiàn)狀���:一些機(jī)構(gòu)疑惑等保定級的范圍和密評范圍是否一致����,在做密碼測評的時候是要所有的系統(tǒng)測試通過才算通過密評嗎����?如何劃定測評對象范圍����?
專家解讀���:密評當(dāng)前沒有獨立的定級��������,而是依賴等保定級的������。因而在劃定測評范圍的時候��������,原則上應(yīng)與等保定級的范圍一致���。如果等保定級系統(tǒng)里有多個應(yīng)用或多個子系統(tǒng)�������,密評時會針對每個應(yīng)用或子系統(tǒng)都做測評�������,最終分?jǐn)?shù)判定需綜合考慮所有應(yīng)用或子系統(tǒng)在相應(yīng)層次的密碼應(yīng)用情況���������。詳情可參照GM/T 0115《信息系統(tǒng)密碼應(yīng)用測評要求》�����。
誤區(qū)五����:采購一些密碼設(shè)備并部署上��������,就滿足了密評要求
現(xiàn)狀���:開展密評工作必然離不開密碼設(shè)備的建設(shè)工作��,密碼設(shè)備的采購數(shù)量��������、采購金額必然是各行業(yè)關(guān)注的重點之一�����。部分密碼設(shè)備廠商基于自身產(chǎn)品推廣����,宣稱“采購一些密碼設(shè)備����、一類產(chǎn)品即可通過密碼應(yīng)用測評” ��������。
專家解讀���:密評工作的目標(biāo)是“以評促用”�������,脫離信息系統(tǒng)的當(dāng)前狀況去談產(chǎn)品的配用是不科學(xué)的������。對于已建的信息系統(tǒng)���,首先開展差距分析�������,梳理保護(hù)對象����、應(yīng)用場景及防護(hù)現(xiàn)狀��������,總結(jié)當(dāng)前差距形成密碼應(yīng)用需求�����,根據(jù)密碼應(yīng)用需求設(shè)計密碼應(yīng)用措施���������,才能談得上需要什么樣的產(chǎn)品來實現(xiàn)這些措施��。
現(xiàn)狀��:密評工作對于各行業(yè)來說屬于新業(yè)務(wù)��������、新要求�����,在缺乏有效參考經(jīng)驗的情況下���,一些銷售人員為了爭取商業(yè)機(jī)會��������,打出“包過密評”包票�����。
專家解讀�����:這樣的宣傳雖然可能給了用戶通過“密評”的信心���,但能否通過密評����,是由正規(guī)測評機(jī)構(gòu)給出結(jié)論為標(biāo)志的��������。密碼測評機(jī)構(gòu)絕不會在尚未了解任何情況之前就去判定“符合”������;同樣的�������,協(xié)助用戶做密碼應(yīng)用的廠商�������,也只有在充分了解用戶業(yè)務(wù)����、梳理密碼應(yīng)用需求之后���,才能明確有哪些GB/T 39786規(guī)定的密碼應(yīng)用要求未得到滿足���������,此前的“包票”都只能是噱頭���������。即便明確了需求���,是否能夠設(shè)計出既滿足了密碼應(yīng)用需求���、又不對業(yè)務(wù)造成太大影響的技術(shù)措施������,仍是要具體問題具體分析����?��?茖W(xué)的說法��������,是專業(yè)密碼廠商會竭盡所能幫助用戶通過“密評”�������,但在未充分了解情況之前的“包票”����,都是過于夸張的����。
誤區(qū)七���:已建設(shè)的CA認(rèn)證產(chǎn)品和密評關(guān)系認(rèn)知不明
現(xiàn)狀����:一些機(jī)構(gòu)疑惑現(xiàn)有的CA電子簽名�����、數(shù)據(jù)保護(hù)等和密評是什么關(guān)系�����?
專家解讀��:基于公鑰密碼的電子簽名�����,是當(dāng)前主流的密碼應(yīng)用技術(shù)之一��������。行業(yè)現(xiàn)階段為無紙化業(yè)務(wù)而開展的電子簽名���������、數(shù)據(jù)保護(hù)等工作��������,同樣屬于密碼技術(shù)應(yīng)用�����,能夠解決重要數(shù)據(jù)的真實性��������、完整性和不可否認(rèn)性���,為合規(guī)密碼應(yīng)用建設(shè)打下了良好基礎(chǔ)����。但如前所述���,并非一類密碼應(yīng)用技術(shù)就可解決所有問題��,因此也不能有“用了電子簽名就一定能過密評”的認(rèn)識�������。威廉希尔作為專業(yè)密碼廠商���������,具備綜合的密碼應(yīng)用咨詢��������、設(shè)計和建設(shè)能力���,并在實踐中逐漸形成了行之有效的密碼應(yīng)用保障系統(tǒng)建設(shè)方法論����������。威廉希尔的密碼產(chǎn)品線������,涵蓋了商用密碼產(chǎn)品品類的大部分����。威廉希尔有充分信心助力各用戶進(jìn)行合規(guī)�������、正確�����、有效的密碼保障系統(tǒng)建設(shè)�����。
誤區(qū)八��:只用對新機(jī)房進(jìn)行密碼應(yīng)用改造
現(xiàn)狀��:隨著信息化發(fā)展�����,部分機(jī)構(gòu)在原有機(jī)房難以支撐信息化應(yīng)用的情況下������,采用了多機(jī)房并行的情況��������。針對此類情況������,機(jī)構(gòu)認(rèn)為只對新機(jī)房開展密碼應(yīng)用改造�����,就可以完成密評工作�������。
專家解讀���:GB/T 39786規(guī)定的物理環(huán)境安全要求�������,是所有物理環(huán)境都需要滿足的����。因此如果多機(jī)房������,每個機(jī)房都要根據(jù)完整的測評單元開展評估工作����,綜合的物理環(huán)境安全得分值是取加權(quán)平均���,而非只有一個機(jī)房合規(guī)就能得到全部的分?jǐn)?shù)�������。對于高風(fēng)險項��,如果任何一個機(jī)房存在高風(fēng)險������,則是“一票否決”���。
-
網(wǎng)絡(luò)運營者即網(wǎng)絡(luò)和信息系統(tǒng)的責(zé)任單位(包括建設(shè)���������、使用����、管理單位)�����,是密評的被測評單位��������,應(yīng)當(dāng)認(rèn)真履行好密碼安全主體責(zé)任���,明確密碼安全負(fù)責(zé)人�����,制定完善的密碼管理制度���������,按照要求開展商用密碼應(yīng)用安全性評估������、備案和整改���������,配合密碼管理部門和有關(guān)部門的安全檢查��������。
-
測評機(jī)構(gòu)是密評的執(zhí)行單位���������,應(yīng)當(dāng)按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)要求科學(xué)�����、公正地開展評估��。從事密評工作的測評人員應(yīng)當(dāng)通過國家密碼管理部門(或其授權(quán)的機(jī)構(gòu))組織的考核����,遵守國家有關(guān)法律法規(guī)����,按照相關(guān)標(biāo)準(zhǔn)��������,為用戶提供安全�����、客觀���、公正的評估服務(wù)���,保證評估的質(zhì)量和效果��������。
-
國家密碼管理部門負(fù)責(zé)指導(dǎo)������、監(jiān)督和檢查全國的密評工作����;?����。ú浚┟艽a管理部門負(fù)責(zé)指導(dǎo)����、監(jiān)督和檢查本地區(qū)�����、本部門���������、本行業(yè)(系統(tǒng))的密評工作�����。國家密碼管理部門依據(jù)有關(guān)規(guī)定���������,組織對測評機(jī)構(gòu)工作開展情況進(jìn)行監(jiān)督檢查���������。
《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》(GB/T 39786-2021)是貫徹落實《中華人民共和國密碼法》���,指導(dǎo)我國商用密碼應(yīng)用與安全性評估工作開展的綱領(lǐng)性�����、框架性標(biāo)準(zhǔn)��������。中國密碼學(xué)會密評聯(lián)委會發(fā)布并持續(xù)更新依照GB/T 39786-2021開展密評的系列指導(dǎo)文件���,目前包括5項���:
GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測評要求》
GM/T 0116-2021《信息系統(tǒng)密碼應(yīng)用測評過程指南》
《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》
《商用密碼應(yīng)用安全性評估量化評估規(guī)則》
《商用密碼應(yīng)用安全性評估報告模板(2021版)》
另外�������,2021年新增發(fā)布了《商用密碼應(yīng)用安全性評估FAQ》������,對于密評工作中的常見問題進(jìn)行了解答���。
-
法律����、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)�������,其運營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)���,制定商用密碼應(yīng)用方案������,配備必要的資金和專業(yè)人員���������,同步規(guī)劃����、同步建設(shè)���、同步運行商用密碼保障系統(tǒng)并定期進(jìn)行密評����。
-
密評機(jī)構(gòu)應(yīng)當(dāng)經(jīng)國家密碼管理局認(rèn)定�����,依法取得商用密碼檢測機(jī)構(gòu)資質(zhì)���,且資質(zhì)認(rèn)定業(yè)務(wù)范圍載明“商用密碼應(yīng)用安全性評估”������。目前密評工作仍處于“試點”階段�������,因此當(dāng)前公布的是密評“試點”機(jī)構(gòu)名錄������。不久的將來隨著《商用密碼管理條例》《密碼檢測機(jī)構(gòu)管理辦法》等制度文件的正式頒布����,密評機(jī)構(gòu)認(rèn)定工作將走向常態(tài)化����。
-
包含方案測評�������、系統(tǒng)測評����、運營者支持配合義務(wù)�������、結(jié)果備案等�����。
-
信息系統(tǒng)密碼應(yīng)用基本要求���:如圖所示
開展密碼應(yīng)用建設(shè)應(yīng)根據(jù)責(zé)任單位實際情況具體問題具體分析���������,基于GB/T 39786-2021規(guī)定的四個技術(shù)層面��������、四個管理層面���,根據(jù)實際安全需求編制密碼應(yīng)用方案������,并針對性選擇密碼產(chǎn)品實現(xiàn)方案中所述的密碼應(yīng)用措施��。安全是核心目標(biāo)������,在合規(guī)的方案指導(dǎo)下使用密碼技術(shù)和密碼產(chǎn)品����,才能保障核心目標(biāo)不偏離��������。
項目建設(shè)單位應(yīng)當(dāng)同步規(guī)劃������、同步建設(shè)������、同步運行密碼保障系統(tǒng)并定期進(jìn)行評估�����,其中同步規(guī)劃的核心是密碼應(yīng)用方案編制������。密碼應(yīng)用方案編制是至關(guān)重要的環(huán)節(jié)��������,好的方案會為后續(xù)的建設(shè)指明方向���、鋪平道路����;如果方案未做好����,后期的項目建設(shè)將面臨諸多困難和反復(fù)���。典型的“方案未做好”是沒有對業(yè)務(wù)進(jìn)行仔細(xì)梳理�������、對密碼應(yīng)用需求的詳細(xì)分析����,而是直接生搬硬套密碼應(yīng)用措施和產(chǎn)品�������,導(dǎo)致建設(shè)時出現(xiàn)無法落地實施的狀況���。
只有正確��������、合規(guī)���、有效地使用密碼技術(shù)�������,才能更好地保護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)安全——密碼用得對不對��������,需要前期的同步規(guī)劃���、同步建設(shè)�������、同步運行密碼保障系統(tǒng)�����,然后靠測評來證明����。
根據(jù)GM/T 0115《信息系統(tǒng)密碼應(yīng)用測評要求》����:
對于“應(yīng)”的條款�������,密評人員應(yīng)按照第5章和第6章相應(yīng)的測評指標(biāo)要求進(jìn)行測評和結(jié)果判定����;若根據(jù)信息系統(tǒng)的密碼應(yīng)用方案和方案評審意見����,判定信息系統(tǒng)確無與某項或某些項測評指標(biāo)相關(guān)的密碼應(yīng)用需求��,則相應(yīng)測評指標(biāo)為“不適用”����。
對于“宜”的條款���,密評人員根據(jù)信息系統(tǒng)的密碼應(yīng)用方案和方案評審意見決定是否納入標(biāo)準(zhǔn)符合性測評范圍��������;若信息系統(tǒng)沒有通過評估的密碼應(yīng)用方案或密碼應(yīng)用方案未做明確說明��������,則“宜”的條款默認(rèn)納入標(biāo)準(zhǔn)符合性測評范圍�����。若納入測評范圍����,則密評人員應(yīng)按照第6章相應(yīng)的測評指標(biāo)要求進(jìn)行測評和結(jié)果判定����。否則�������,密評人員應(yīng)根據(jù)信息系統(tǒng)的密碼應(yīng)用方案和方案評審意見�������,在測評中進(jìn)一步核實密碼應(yīng)用方案中所描述的風(fēng)險控制措施使用條件在實際的信息系統(tǒng)中是否被滿足����,且信息系統(tǒng)的實施情況與所描述的風(fēng)險控制措施是否一致�������,若滿足使用條件���,該測評指標(biāo)為“不適用”��,并在密碼應(yīng)用安全性評估報告中體現(xiàn)核實過程和結(jié)果�����;若不滿足使用條件����,則應(yīng)按照第6章相應(yīng)的測評指標(biāo)要求進(jìn)行測評和結(jié)果判定������。
對于“可”的條款�����,由信息系統(tǒng)責(zé)任單位自行決定是否納入標(biāo)準(zhǔn)符合性測評范圍�����。若納入測評范圍�������,則密評人員應(yīng)按照第6章相應(yīng)的測評指標(biāo)要求進(jìn)行測評和結(jié)果判定���;否則���������,該測評指標(biāo) 為“不適用”�����。
根據(jù)差距分析���������,進(jìn)行分階段規(guī)劃������,穩(wěn)步推進(jìn)密碼建設(shè)�������。原則上優(yōu)先解決高風(fēng)險�����,再考慮解決中低風(fēng)險�����;先解決重要業(yè)務(wù)線������,再補充其他������;先保護(hù)好基礎(chǔ)設(shè)施���,再考慮構(gòu)建在其上的應(yīng)用����。
圖標(biāo)鏈接/photos/csc_logo_white.png){kind=logo}
圖標(biāo)鏈接/photos/WebTrust for CA-10413.jpg)
圖標(biāo)鏈接/photos/BR SSL-10414.jpg)
圖標(biāo)鏈接/photos/EV SSL-10415.jpg)
圖標(biāo)鏈接/photos/webtrust-csb-seal_副本.jpg)
