“正確認(rèn)識(shí)密碼應(yīng)用與密評(píng)工作,幫助醫(yī)療機(jī)構(gòu)奠定網(wǎng)絡(luò)與信息系統(tǒng)安全的基礎(chǔ)�����,維護(hù)好最后一道防線��。”
2022年4月19日����,在由中國(guó)醫(yī)院協(xié)會(huì)信息專業(yè)委員會(huì)(CHIMA)指導(dǎo)、HIT專家網(wǎng)主辦��、北京威廉希尔股份有限公司(簡(jiǎn)稱“威廉希尔”)承辦的“衛(wèi)生健康行業(yè)商用密碼應(yīng)用線上研討會(huì)”上����,中國(guó)科學(xué)院信息工程研究所副研究員、中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)副主任委員馬原對(duì)醫(yī)療機(jī)構(gòu)普遍關(guān)注的商用密碼應(yīng)用安全性評(píng)估工作(也即“密評(píng)”)進(jìn)行了詳細(xì)介紹����,并針對(duì)業(yè)內(nèi)對(duì)密評(píng)的認(rèn)知誤區(qū)進(jìn)行了剖析與澄清。
中國(guó)科學(xué)院信息工程研究所副研究員
中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)副主任委員 馬原
了解密評(píng)體系及測(cè)評(píng)要點(diǎn)
“商用密碼應(yīng)用安全性評(píng)估”����,是對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性���、正確性��、有效性進(jìn)行評(píng)估的活動(dòng)�。自國(guó)家密碼管理局開(kāi)展密評(píng)試點(diǎn)工作至今��,已完成密評(píng)體系的構(gòu)建設(shè)計(jì)、標(biāo)準(zhǔn)和指導(dǎo)性文件的制定���、密評(píng)試點(diǎn)機(jī)構(gòu)的認(rèn)定��、密評(píng)結(jié)果的備案等工作�����。當(dāng)前����,全國(guó)范圍內(nèi)對(duì)重要信息系統(tǒng)的密評(píng)活動(dòng)也正在有序開(kāi)展過(guò)程中���,這有力促進(jìn)了密碼應(yīng)用的合規(guī)性���、正確性和有效性。
“密評(píng)工作的整體思路是‘三同步一評(píng)估’����,也即圍繞密碼應(yīng)用方案��,項(xiàng)目建設(shè)單位應(yīng)當(dāng)同步規(guī)劃����、同步建設(shè)�����、同步運(yùn)行密碼保障系統(tǒng)��,每一個(gè)階段都需要開(kāi)展密評(píng)���。”馬原對(duì)密評(píng)體系進(jìn)行了介紹:
首先是《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》(GB/T 39786-2021����,以下簡(jiǎn)稱《基本要求》),這是密碼應(yīng)用的綱領(lǐng)性�、框架性標(biāo)準(zhǔn),也是安全性評(píng)估的頂層準(zhǔn)則�?��!痘疽蟆吩诮o出總體性要求的基礎(chǔ)上���,對(duì)密碼應(yīng)用提出了4個(gè)方面的技術(shù)要求�,分別為:物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全�����、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全��,以及4個(gè)方面的管理要求�����,分別為:管理制度����、人員管理、建設(shè)運(yùn)行���、應(yīng)急處置����。
《基本要求》對(duì)每一個(gè)密碼應(yīng)用的要求項(xiàng)��,采用“應(yīng)”“宜”“可”來(lái)表達(dá)不同的約束程度���。以等保三級(jí)系統(tǒng)為例,《基本要求》制定了49條指標(biāo)�,其中“應(yīng)”30條���、“宜”14條、“可”1條���,另外還包括“《信息安全技術(shù) 密碼模塊安全要求》(GB/T 37092-2018)中關(guān)于二級(jí)及以上密碼產(chǎn)品要求”4條���。
其次是《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》(GM/T 0115-2021)、《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南》(GM/T 0116-2021)�����,這是為配合《基本要求》的貫徹實(shí)施����、更好地指導(dǎo)和規(guī)范密評(píng)工作而制定的兩部行業(yè)標(biāo)準(zhǔn),已于2022年5月1日起正式實(shí)施���。馬原說(shuō):“在一項(xiàng)完整的密評(píng)任務(wù)中����,GM/T 0115自下而上地提出了對(duì)測(cè)評(píng)活動(dòng)的要求���,GM/T 0116從測(cè)評(píng)準(zhǔn)備����、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)���、分析和報(bào)告編制全過(guò)程對(duì)測(cè)評(píng)活動(dòng)進(jìn)行指導(dǎo)�����?����!?/span>
此外�����,中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)還組織制定了密評(píng)工作的系列指導(dǎo)性文件�����,包括《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》(以下簡(jiǎn)稱《高風(fēng)險(xiǎn)判定指引》)《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》(以下簡(jiǎn)稱《量化評(píng)估規(guī)則》)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板(2021版)》等����。
其中,《高風(fēng)險(xiǎn)判定指引》基于當(dāng)前密碼產(chǎn)品的發(fā)展現(xiàn)狀����,聚焦安全問(wèn)題被威脅利用后對(duì)信息系統(tǒng)(主要是數(shù)據(jù)資產(chǎn))造成的影響程度���,給出信息系統(tǒng)密碼應(yīng)用過(guò)程中可能存在的高風(fēng)險(xiǎn)安全問(wèn)題���、可能的緩解措施和風(fēng)險(xiǎn)評(píng)價(jià)?�!读炕u(píng)估規(guī)則》的主要內(nèi)容是如何對(duì)各應(yīng)用點(diǎn)進(jìn)行打分判定并給出定量評(píng)估結(jié)果���,其編制原則是:鼓勵(lì)使用密碼技術(shù)��,特別鼓勵(lì)使用合規(guī)的密碼算法/技術(shù)/產(chǎn)品/服務(wù)��;優(yōu)先在網(wǎng)絡(luò)和通信安全����、應(yīng)用和數(shù)據(jù)安全層面推進(jìn)密碼技術(shù)應(yīng)用�。
“系統(tǒng)中是否存在高風(fēng)險(xiǎn)項(xiàng),以及各應(yīng)用點(diǎn)的分值情況���,這兩者共同決定了密評(píng)結(jié)果�����。特別是高風(fēng)險(xiǎn)項(xiàng)����,具有‘一票否決’的關(guān)鍵作用?��!瘪R原介紹����,如果量化評(píng)估的分?jǐn)?shù)為100分�,且風(fēng)險(xiǎn)分析為“無(wú)風(fēng)險(xiǎn)”,則評(píng)估結(jié)論為“符合”����;如果量化評(píng)估分?jǐn)?shù)大于等于閾值(目前量化評(píng)估的閾值設(shè)置為60分),且風(fēng)險(xiǎn)分析為“無(wú)高風(fēng)險(xiǎn)”�����,則評(píng)估結(jié)論為“基本符合”���;如果量化評(píng)估分?jǐn)?shù)小于閾值��,或風(fēng)險(xiǎn)分析為“有高風(fēng)險(xiǎn)”�����,評(píng)估結(jié)論則為“不符合”��。
對(duì)密評(píng)工作的幾個(gè)常見(jiàn)錯(cuò)誤認(rèn)識(shí)
“在密評(píng)工作試點(diǎn)過(guò)程中�,通過(guò)與用戶單位和主管部門(mén)的反復(fù)溝通���,在形成部分共識(shí)的同時(shí)�����,我們也發(fā)現(xiàn)關(guān)于密評(píng)存在一些認(rèn)知誤區(qū)����,需要及時(shí)厘清�。”馬原對(duì)幾個(gè)常見(jiàn)的密評(píng)問(wèn)題進(jìn)行了總結(jié)與解答��。
信息系統(tǒng)里沒(méi)有使用密碼技術(shù)�,可以不做密評(píng)嗎?
馬原認(rèn)為,之所以會(huì)有這樣的疑問(wèn)產(chǎn)生���,根源在于誤以為“密評(píng)是圍繞密碼產(chǎn)品來(lái)測(cè)密碼”����。實(shí)際上���,密評(píng)的目的是圍繞信息系統(tǒng)應(yīng)該保護(hù)的重要數(shù)據(jù)等來(lái)測(cè)試密碼應(yīng)用的合規(guī)性�、正確性和有效性��。“信息系統(tǒng)是否需要進(jìn)行密評(píng)����,不在于是否使用了密碼技術(shù),而取決于系統(tǒng)內(nèi)需保護(hù)對(duì)象的重要程度���?�!瘪R原說(shuō)���。根據(jù)《密碼法》《商用密碼管理?xiàng)l例》等法律法規(guī)以及地方和行業(yè)的要求,應(yīng)對(duì)重要信息系統(tǒng)開(kāi)展密評(píng)�����。
沒(méi)有使用商用密碼或國(guó)產(chǎn)密碼,在密評(píng)中會(huì)導(dǎo)致“一票否決”嗎����?
馬原介紹,決定密評(píng)結(jié)果的兩個(gè)因素:一個(gè)是“質(zhì)”�����,也即不能存在高風(fēng)險(xiǎn)項(xiàng)�����;一個(gè)是“量”��,也即量化評(píng)估的分?jǐn)?shù)要超過(guò)閾值��。只要嚴(yán)格對(duì)標(biāo)《高風(fēng)險(xiǎn)判定指引》與《量化評(píng)估規(guī)則》����,確保量化評(píng)估分?jǐn)?shù)大于等于閾值�����,且風(fēng)險(xiǎn)分析為“無(wú)高風(fēng)險(xiǎn)”,即可通過(guò)密評(píng)�����。
不使用認(rèn)證合格的密碼產(chǎn)品會(huì)導(dǎo)致“一票否決”嗎�����?
“在實(shí)際的密評(píng)試點(diǎn)過(guò)程中�,確實(shí)會(huì)遇到某些業(yè)務(wù)場(chǎng)景暫時(shí)未能找到現(xiàn)成的、認(rèn)證合格的密碼產(chǎn)品��,只能轉(zhuǎn)而使用其他產(chǎn)品做支撐的現(xiàn)象�����?���!瘪R原介紹,密評(píng)時(shí)對(duì)此的原則是“有用則用���、能用則用”�,同時(shí)注重“風(fēng)險(xiǎn)評(píng)估”���。
等保和密評(píng)要求的部分條款相同�����,是否能夠復(fù)用�����?
從頂層設(shè)計(jì)的角度來(lái)看�,密評(píng)與等保工作是相互銜接、相互補(bǔ)充的關(guān)系�。“密評(píng)的部分條款雖然與等保的內(nèi)容相同����,但在具體測(cè)評(píng)要求上有所不同����。”馬原以“數(shù)據(jù)傳輸機(jī)密性指標(biāo)”為例對(duì)此進(jìn)行了說(shuō)明,并通過(guò)對(duì)比分析指出��,密評(píng)的測(cè)評(píng)實(shí)施覆蓋從底層密鑰到上層業(yè)務(wù)應(yīng)用的全部方面��,目的是切實(shí)打牢密碼的基礎(chǔ)性作用�?����!皬倪@一點(diǎn)上說(shuō)����,密評(píng)測(cè)試實(shí)施的力度和深度是很大的���?!?/section>
醫(yī)療機(jī)構(gòu)如何推動(dòng)密評(píng)工作����?
當(dāng)前,從行業(yè)調(diào)研情況來(lái)看����,醫(yī)療機(jī)構(gòu)對(duì)于密評(píng)工作的認(rèn)識(shí)深度與重視程度還不足;在密碼應(yīng)用方面����,除部分醫(yī)療機(jī)構(gòu)在部分業(yè)務(wù)場(chǎng)景中引入CA系統(tǒng)外,缺乏整體密碼應(yīng)用規(guī)劃與設(shè)計(jì)����。另一方面��,作為與國(guó)計(jì)民生息息相關(guān)的重點(diǎn)領(lǐng)域���,醫(yī)療行業(yè)面臨的數(shù)據(jù)安全與隱私保護(hù)難度正日益加大,醫(yī)療機(jī)構(gòu)未能采用密碼技術(shù)�,或僅采用不安全的密碼技術(shù)對(duì)重要業(yè)務(wù)數(shù)據(jù)和患者隱私數(shù)據(jù)進(jìn)行防護(hù),在數(shù)據(jù)泄漏與防護(hù)層面存在較大缺口�����。
“隨著密評(píng)工作在醫(yī)療行業(yè)的逐步開(kāi)展�,這些情況將有很大程度的改觀?����!瘪R原認(rèn)為�����,醫(yī)療機(jī)構(gòu)應(yīng)系統(tǒng)性推進(jìn)密碼應(yīng)用���,通過(guò)關(guān)鍵節(jié)點(diǎn)的密碼應(yīng)用與風(fēng)險(xiǎn)控制相結(jié)合的手段,在密評(píng)工作的推動(dòng)下守牢網(wǎng)絡(luò)與信息安全的底線����。針對(duì)醫(yī)療機(jī)構(gòu)密評(píng)工作的實(shí)施推進(jìn)環(huán)節(jié)�����,馬原給出以下具體建議:
首先����,確定密評(píng)的系統(tǒng)邊界��,一般遵照等保定級(jí)邊界即可����。
第二,確定系統(tǒng)保護(hù)的對(duì)象���,也即密評(píng)對(duì)象�,一般包括機(jī)房���、網(wǎng)絡(luò)通道�����、設(shè)備����、重要數(shù)據(jù)、重要用戶身份等�。“保護(hù)對(duì)象的覆蓋應(yīng)盡可能全面����,避免盲區(qū)?!瘪R原說(shuō),比如同一應(yīng)用面向不同用戶�、存在不同類(lèi)型的重要數(shù)據(jù)時(shí),在系統(tǒng)設(shè)計(jì)中應(yīng)考慮全面���,避免遺漏對(duì)高風(fēng)險(xiǎn)項(xiàng)的處理����。
第三���,關(guān)鍵指標(biāo)的密碼應(yīng)用要盡可能合規(guī)����、正確���、有效��。重點(diǎn)關(guān)注《基本要求》中“應(yīng)”的指標(biāo)��,盡可能選用二級(jí)密碼模塊���,重視應(yīng)用層的密碼應(yīng)用?��!皯?yīng)用層的權(quán)重高達(dá)30分����,做得不好可能就無(wú)法及格��?��!?/span>
最后�,高風(fēng)險(xiǎn)項(xiàng)是“一票否決項(xiàng)”�����,堅(jiān)決不能有。應(yīng)格外注意應(yīng)用存儲(chǔ)加密等無(wú)緩解措施的條款��;梳理密鑰體系�,避免密鑰泄露、篡改等問(wèn)題�����。
來(lái)源:HIT專家網(wǎng)
作者:龔晨
/photos/微信圖片_20220127095306.jpg)
圖標(biāo)鏈接/photos/csc_logo_white.png){kind=logo}
圖標(biāo)鏈接/photos/WebTrust for CA-10413.jpg)
圖標(biāo)鏈接/photos/BR SSL-10414.jpg)
圖標(biāo)鏈接/photos/EV SSL-10415.jpg)
圖標(biāo)鏈接/photos/webtrust-csb-seal_副本.jpg)
