2022年,“密評”(即“商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估”)成了各行業關注的熱詞。在《密碼法》的要求下,在國(guó)标《信息安(ān)全技(jì )術信息系統密碼應用(yòng)基本要求》(GB/T 39786-2021)的指導下,各地各行業積極、嚴謹地開展密評工(gōng)作(zuò),将是推動密碼應用(yòng)的良好開端。各行業紛紛出台了相關标準、要求,将密評工(gōng)作(zuò)提上日程,關鍵信息基礎設施、政務(wù)信息系統、等保三級以上信息系統建設,都要“過密評”。面對各式各樣的産(chǎn)品和衆說紛纭的方案,究竟密評該如何過?應該遵照哪些技(jì )術标準?關注哪些要點?有(yǒu)哪些誤區(qū)?我們帶你一探究竟。誤區(qū)一:業務(wù)系統零改造,信息系統免集成,即可(kě)通過密評現狀:有(yǒu)些廠家提出業務(wù)系統零改造過密評的方案,還有(yǒu)些密碼服務(wù)廠商(shāng)抓住了客戶信息系統改造難度大、成本高的痛點,打出“信息系統免集成,即可(kě)通過密評”的宣傳口号。專家解讀:事實上信息系統開展密評工(gōng)作(zuò)主要目的在于推動密碼應用(yòng)的合規性、正确性、有(yǒu)效性。在常見的密碼應用(yòng)中(zhōng)的安(ān)全性問題包括:密碼技(jì )術被棄用(yòng)(例如完全未用(yòng)密碼)、密碼技(jì )術被亂用(yòng)(例如簡化使用(yòng)密碼協議導緻出現安(ān)全漏洞)、密碼技(jì )術被誤用(yòng)(例如使用(yòng)固定值而非随機數作(zuò)為(wèi)初始向量)。這一切都指向“用(yòng)”,即信息系統要正确調用(yòng)密碼産(chǎn)品、密碼服務(wù)。不針對信息系統實際情況、重要數據安(ān)全需求等加以分(fēn)析,進而适當改造信息系統以“用(yòng)”密碼,是難以全面保障信息系統安(ān)全,也難以通過密評。誤區(qū)二:忽略應用(yòng)層,隻靠物(wù)理(lǐ)、網絡層也能(néng)過密評現狀:部分(fēn)廠商(shāng)向客戶提出“應用(yòng)層不拿(ná)分(fēn),靠其他(tā)幾層拿(ná)分(fēn)也能(néng)及格”的說辭。專家解讀:根據《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估量化評估規則》第6部分(fēn)整體(tǐ)結論判定,整體(tǐ)量化評估結果是百分(fēn)制,應用(yòng)和數據安(ān)全占30分(fēn)。隻有(yǒu)達到分(fēn)數阈值、且沒有(yǒu)高風險項,才能(néng)判定被測信息系統基本符合GB/T39786-2021相應等級要求。目前執行的阈值是60分(fēn),這意味着如果應用(yòng)和數據層完全不拿(ná)分(fēn),就隻剩下10分(fēn)的機動空間;更重要的是,應用(yòng)和數據安(ān)全涉及5項高風險項,如果完全不加以考慮,很(hěn)容易碰到高風險“一票否決”。誤區(qū)三:密評是針對密碼産(chǎn)品的測評現狀:一些機構疑問:“如果系統中(zhōng)沒有(yǒu)應用(yòng)密碼技(jì )術或密碼産(chǎn)品,是不是就不需要過密評,或者可(kě)以直接通過密評?”專家解讀:密評是針對應用(yòng)方業務(wù)系統的測評,看密碼是否得到合規、正确、有(yǒu)效的應用(yòng),而非針對密碼産(chǎn)品的檢測。按照相關法律法規規定,關鍵信息基礎設施、政務(wù)信息系統、等保三級以上信息系統需要同步規劃、同步建設、同步運營密碼保障系統,定期進行密評,這項要求與其當前是否使用(yòng)密碼無關。如果上述業務(wù)系統完全未用(yòng)到密碼,那麽在密評中(zhōng)“高風險項”是肯定存在的,因而肯定無法通過密評。現狀:一些機構疑惑等保定級的範圍和密評範圍是否一緻,在做密碼測評的時候是要所有(yǒu)的系統測試通過才算通過密評嗎?如何劃定測評對象範圍?專家解讀:密評當前沒有(yǒu)獨立的定級,而是依賴等保定級的。因而在劃定測評範圍的時候,原則上應與等保定級的範圍一緻。如果等保定級系統裏有(yǒu)多(duō)個應用(yòng)或多(duō)個子系統,密評時會針對每個應用(yòng)或子系統都做測評,最終分(fēn)數判定需綜合考慮所有(yǒu)應用(yòng)或子系統在相應層次的密碼應用(yòng)情況。詳情可(kě)參照GM/T 0115《信息系統密碼應用(yòng)測評要求》。誤區(qū)五:采購(gòu)一些密碼設備并部署上,就滿足了密評要求現狀:開展密評工(gōng)作(zuò)必然離不開密碼設備的建設工(gōng)作(zuò),密碼設備的采購(gòu)數量、采購(gòu)金額必然是各行業關注的重點之一。部分(fēn)密碼設備廠商(shāng)基于自身産(chǎn)品推廣,宣稱“采購(gòu)一些密碼設備、一類産(chǎn)品即可(kě)通過密碼應用(yòng)測評” 。專家解讀:密評工(gōng)作(zuò)的目标是“以評促用(yòng)”,脫離信息系統的當前狀況去談産(chǎn)品的配用(yòng)是不科(kē)學(xué)的。對于已建的信息系統,首先開展差距分(fēn)析,梳理(lǐ)保護對象、應用(yòng)場景及防護現狀,總結當前差距形成密碼應用(yòng)需求,根據密碼應用(yòng)需求設計密碼應用(yòng)措施,才能(néng)談得上需要什麽樣的産(chǎn)品來實現這些措施。現狀:密評工(gōng)作(zuò)對于各行業來說屬于新(xīn)業務(wù)、新(xīn)要求,在缺乏有(yǒu)效參考經驗的情況下,一些銷售人員為(wèi)了争取商(shāng)業機會,打出“包過密評”包票。專家解讀:這樣的宣傳雖然可(kě)能(néng)給了用(yòng)戶通過“密評”的信心,但能(néng)否通過密評,是由正規測評機構給出結論為(wèi)标志(zhì)的。密碼測評機構絕不會在尚未了解任何情況之前就去判定“符合”;同樣的,協助用(yòng)戶做密碼應用(yòng)的廠商(shāng),也隻有(yǒu)在充分(fēn)了解用(yòng)戶業務(wù)、梳理(lǐ)密碼應用(yòng)需求之後,才能(néng)明确有(yǒu)哪些GB/T 39786規定的密碼應用(yòng)要求未得到滿足,此前的“包票”都隻能(néng)是噱頭。即便明确了需求,是否能(néng)夠設計出既滿足了密碼應用(yòng)需求、又(yòu)不對業務(wù)造成太大影響的技(jì )術措施,仍是要具(jù)體(tǐ)問題具(jù)體(tǐ)分(fēn)析。科(kē)學(xué)的說法,是專業密碼廠商(shāng)會竭盡所能(néng)幫助用(yòng)戶通過“密評”,但在未充分(fēn)了解情況之前的“包票”,都是過于誇張的。誤區(qū)七:已建設的CA認證産(chǎn)品和密評關系認知不明現狀:一些機構疑惑現有(yǒu)的CA電(diàn)子簽名(míng)、數據保護等和密評是什麽關系?
專家解讀:基于公(gōng)鑰密碼的電(diàn)子簽名(míng),是當前主流的密碼應用(yòng)技(jì )術之一。行業現階段為(wèi)無紙化業務(wù)而開展的電(diàn)子簽名(míng)、數據保護等工(gōng)作(zuò),同樣屬于密碼技(jì )術應用(yòng),能(néng)夠解決重要數據的真實性、完整性和不可(kě)否認性,為(wèi)合規密碼應用(yòng)建設打下了良好基礎。但如前所述,并非一類密碼應用(yòng)技(jì )術就可(kě)解決所有(yǒu)問題,因此也不能(néng)有(yǒu)“用(yòng)了電(diàn)子簽名(míng)就一定能(néng)過密評”的認識。誤區(qū)八:隻用(yòng)對新(xīn)機房進行密碼應用(yòng)改造現狀:随着信息化發展,部分(fēn)機構在原有(yǒu)機房難以支撐信息化應用(yòng)的情況下,采用(yòng)了多(duō)機房并行的情況。針對此類情況,機構認為(wèi)隻對新(xīn)機房開展密碼應用(yòng)改造,就可(kě)以完成密評工(gōng)作(zuò)。專家解讀:GB/T 39786規定的物(wù)理(lǐ)環境安(ān)全要求,是所有(yǒu)物(wù)理(lǐ)環境都需要滿足的。因此如果多(duō)機房,每個機房都要根據完整的測評單元開展評估工(gōng)作(zuò),綜合的物(wù)理(lǐ)環境安(ān)全得分(fēn)值是取加權平均,而非隻有(yǒu)一個機房合規就能(néng)得到全部的分(fēn)數。對于高風險項,如果任何一個機房存在高風險,則是“一票否決”。
- 網絡運營者即網絡和信息系統的責任單位(包括建設、使用(yòng)、管理(lǐ)單位),是密評的被測評單位,應當認真履行好密碼安(ān)全主體(tǐ)責任,明确密碼安(ān)全負責人,制定完善的密碼管理(lǐ)制度,按照要求開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估、備案和整改,配合密碼管理(lǐ)部門和有(yǒu)關部門的安(ān)全檢查。
- 測評機構是密評的執行單位,應當按照有(yǒu)關法律法規和标準要求科(kē)學(xué)、公(gōng)正地開展評估。從事密評工(gōng)作(zuò)的測評人員應當通過國(guó)家密碼管理(lǐ)部門(或其授權的機構)組織的考核,遵守國(guó)家有(yǒu)關法律法規,按照相關标準,為(wèi)用(yòng)戶提供安(ān)全、客觀、公(gōng)正的評估服務(wù),保證評估的質(zhì)量和效果。
- 國(guó)家密碼管理(lǐ)部門負責指導、監督和檢查全國(guó)的密評工(gōng)作(zuò);省(部)密碼管理(lǐ)部門負責指導、監督和檢查本地區(qū)、本部門、本行業(系統)的密評工(gōng)作(zuò)。國(guó)家密碼管理(lǐ)部門依據有(yǒu)關規定,組織對測評機構工(gōng)作(zuò)開展情況進行監督檢查。
《信息安(ān)全技(jì )術 信息系統密碼應用(yòng)基本要求》(GB/T 39786-2021)是貫徹落實《中(zhōng)華人民(mín)共和國(guó)密碼法》,指導我國(guó)商(shāng)用(yòng)密碼應用(yòng)與安(ān)全性評估工(gōng)作(zuò)開展的綱領性、框架性标準。中(zhōng)國(guó)密碼學(xué)會密評聯委會發布并持續更新(xīn)依照GB/T 39786-2021開展密評的系列指導文(wén)件,目前包括5項:GM/T 0115-2021《信息系統密碼應用(yòng)測評要求》
GM/T 0116-2021《信息系統密碼應用(yòng)測評過程指南》
《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估量化評估規則》
《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估報告模闆(2021版)》
另外,2021年新(xīn)增發布了《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估FAQ》,對于密評工(gōng)作(zuò)中(zhōng)的常見問題進行了解答(dá)。
- 法律、行政法規和國(guó)家有(yǒu)關規定要求使用(yòng)商(shāng)用(yòng)密碼進行保護的網絡與信息系統,其運營者應當使用(yòng)商(shāng)用(yòng)密碼進行保護,制定商(shāng)用(yòng)密碼應用(yòng)方案,配備必要的資金和專業人員,同步規劃、同步建設、同步運行商(shāng)用(yòng)密碼保障系統并定期進行密評。
- 密評機構應當經國(guó)家密碼管理(lǐ)局認定,依法取得商(shāng)用(yòng)密碼檢測機構資質(zhì),且資質(zhì)認定業務(wù)範圍載明“商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估”。目前密評工(gōng)作(zuò)仍處于“試點”階段,因此當前公(gōng)布的是密評“試點”機構名(míng)錄。不久的将來随着《商(shāng)用(yòng)密碼管理(lǐ)條例》《密碼檢測機構管理(lǐ)辦(bàn)法》等制度文(wén)件的正式頒布,密評機構認定工(gōng)作(zuò)将走向常态化。
- 包含方案測評、系統測評、運營者支持配合義務(wù)、結果備案等。
開展密碼應用(yòng)建設應根據責任單位實際情況具(jù)體(tǐ)問題具(jù)體(tǐ)分(fēn)析,基于GB/T 39786-2021規定的四個技(jì )術層面、四個管理(lǐ)層面,根據實際安(ān)全需求編制密碼應用(yòng)方案,并針對性選擇密碼産(chǎn)品實現方案中(zhōng)所述的密碼應用(yòng)措施。安(ān)全是核心目标,在合規的方案指導下使用(yòng)密碼技(jì )術和密碼産(chǎn)品,才能(néng)保障核心目标不偏離。項目建設單位應當同步規劃、同步建設、同步運行密碼保障系統并定期進行評估,其中(zhōng)同步規劃的核心是密碼應用(yòng)方案編制。密碼應用(yòng)方案編制是至關重要的環節,好的方案會為(wèi)後續的建設指明方向、鋪平道路;如果方案未做好,後期的項目建設将面臨諸多(duō)困難和反複。典型的“方案未做好”是沒有(yǒu)對業務(wù)進行仔細梳理(lǐ)、對密碼應用(yòng)需求的詳細分(fēn)析,而是直接生搬硬套密碼應用(yòng)措施和産(chǎn)品,導緻建設時出現無法落地實施的狀況。
隻有(yǒu)正确、合規、有(yǒu)效地使用(yòng)密碼技(jì )術,才能(néng)更好地保護網絡安(ān)全和數據安(ān)全——密碼用(yòng)得對不對,需要前期的同步規劃、同步建設、同步運行密碼保障系統,然後靠測評來證明。根據GM/T 0115《信息系統密碼應用(yòng)測評要求》:對于“應”的條款,密評人員應按照第5章和第6章相應的測評指标要求進行測評和結果判定;若根據信息系統的密碼應用(yòng)方案和方案評審意見,判定信息系統确無與某項或某些項測評指标相關的密碼應用(yòng)需求,則相應測評指标為(wèi)“不适用(yòng)”。對于“宜”的條款,密評人員根據信息系統的密碼應用(yòng)方案和方案評審意見決定是否納入标準符合性測評範圍;若信息系統沒有(yǒu)通過評估的密碼應用(yòng)方案或密碼應用(yòng)方案未做明确說明,則“宜”的條款默認納入标準符合性測評範圍。若納入測評範圍,則密評人員應按照第6章相應的測評指标要求進行測評和結果判定。否則,密評人員應根據信息系統的密碼應用(yòng)方案和方案評審意見,在測評中(zhōng)進一步核實密碼應用(yòng)方案中(zhōng)所描述的風險控制措施使用(yòng)條件在實際的信息系統中(zhōng)是否被滿足,且信息系統的實施情況與所描述的風險控制措施是否一緻,若滿足使用(yòng)條件,該測評指标為(wèi)“不适用(yòng)”,并在密碼應用(yòng)安(ān)全性評估報告中(zhōng)體(tǐ)現核實過程和結果;若不滿足使用(yòng)條件,則應按照第6章相應的測評指标要求進行測評和結果判定。 對于“可(kě)”的條款,由信息系統責任單位自行決定是否納入标準符合性測評範圍。若納入測評範圍,則密評人員應按照第6章相應的測評指标要求進行測評和結果判定;否則,該測評指标 為(wèi)“不适用(yòng)”。根據差距分(fēn)析,進行分(fēn)階段規劃,穩步推進密碼建設。原則上優先解決高風險,再考慮解決中(zhōng)低風險;先解決重要業務(wù)線(xiàn),再補充其他(tā);先保護好基礎設施,再考慮構建在其上的應用(yòng)。
文(wén)章來源:等級保護測評
