2022年,“密評”(即“商用密碼應用安全性評估”)成了拿快各行業關注的熱詞。在《密碼法》的要求下,在國标《信息安全技術信息系統密碼應用師科基本要求》(GB/T 39786-2021)的指導下,各地各行業積極、嚴國媽謹地開(kāi)展密評工(gōng)作,将是推動密碼應用的又金良好(hǎo)開(kāi)端。各行業紛紛出她都台了相關标準、要求,将密評工(gōng)作提靜爸上日程,關鍵信息基礎設施、政務信息系統、等保三級以兵媽上信息系統建設,都要“過密評”。面對各式各樣的産品和衆說(shuō)紛纭的方案,究竟密評該如(r看開ú)何過?應該遵照哪些技術标準?關注哪些要點?有哪少資些誤區?我們(men)帶你一探究竟。誤區一:業務系統零改造,信息系統免集成,即可通(tōng)過密煙技評現狀:有些廠家(jiā)提出業務系統零改造過密評的章離方案,還有些密碼服務廠商抓住了客戶信息系統改造難度大(dà)、成不讀本高的痛點,打出“信息系統免集成,即可通(tōn人海g)過密評”的宣傳口号。專家(jiā)解讀:事實上信息系統開(kāi)展密評工(gō務喝ng)作主要目的在于推動密碼應用的合規性、正錢風确性、有效性。在常見的密碼應用中的安全性問題包括:密碼技術被棄用(例如(媽刀rú)完全未用密碼)、密碼技術被亂用(例如(rú)簡化使用密碼協議北黑導緻出現安全漏洞)、密碼技術被誤用(例如(rú)使用固定值而非随機數作為(用物wèi)初始向量)。這一切都指向“用”,即信息系統要正确調用密碼産品、密上從碼服務。不(bù)針對信息系統實際情況、重要數據安全需求等加以分析,進而适唱兵當改造信息系統以“用”密碼,是難以******保障信息系統安全車好,也難以通(tōng)過密評。誤區二:忽略應用層,隻靠物理、網絡層也能過是算密評現狀:部分廠商向客戶提出“應用層不(bù)拿(ná)分,靠其他地信(tā)幾層拿(ná)分也能及格”的說(shuō)辭物也。專家(jiā)解讀:根據《商用密碼應用安全性評估量化評估規則》第6個睡部分整體結論判定,整體量化評估結果是百分制,了話應用和數據安全占30分。隻有達到分數阈值、且樹化沒有高風險項,才能判定被測信息系統基本符合GB/T39786很資-2021相應等級要求。目前執行的阈值是60分,這意味着如(rú)果應用和南懂數據層完全不(bù)拿(ná)分,就隻剩下10分的機動空間是朋;更重要的是,應用和數據安全涉及5項高風險項,如(愛這rú)果完全不(bù)加以考慮,很容易碰到高風險“一票農妹否決”。現狀:一些機構疑問:“如(rú)果系統中沒有應用林林密碼技術或密碼産品,是不(bù)是就不(bù)需要過密評,或者可以直接通(月慢tōng)過密評?”專家(jiā)解讀:密評是針對應用方業務系統的測評,看密碼是否得開多(de)到合規、正确、有效的應用,而非針對密碼産品的檢測。按照相關法律法規規定舞看,關鍵信息基礎設施、政務信息系統、等保三級以上信息系統需要同步規劃、是飛同步建設、同步運營密碼保障系統,定期進行密評,這項要求與其當前又頻是否使用密碼無關。如(rú)果上述業務系統完全未用到密碼,那麼在密評中“高風資技險項”是肯定存在的,因而肯定無法通(tōng)過密評。現狀:一些機構疑惑等保定級的範圍和密評範圍是否一緻,在做笑放密碼測評的時(shí)候是要所有的系統測試通(tōn服紅g)過才算通(tōng)過密評嗎?如(rú)何劃定測評對象範圍?專家(jiā)解讀:密評當前沒有獨立的定級,而是依賴等保定級個訊的。因而在劃定測評範圍的時(shí)候,原則上應與等保定級的範圍一靜男緻。如(rú)果等保定級系統裡有多個應用或多個子(zǐ)系統,密評時好好(shí)會(huì)針對每個應用或子(zǐ)系統都做測評,***終分數判們農定需綜合考慮所有應用或子(zǐ)系統在相應什水層次的密碼應用情況。詳情可參照GM/T 近車0115《信息系統密碼應用測評要求》。誤區五:采購一些密碼設備并部署上,就滿足了密評土照要求現狀:開(kāi)展密評工(gōng)作必然離不物我(bù)開(kāi)密碼設備的建設工(gōng)作,密碼設備的采購數量、采購村個金(jīn)額必然是各行業關注的重點之一。部分密碼設備廠商基于自身産品推有坐廣,宣稱“采購一些密碼設備、一類産品即可通(tōng)過密碼應用測評”冷唱 。專家(jiā)解讀:密評工(gōng)作的目标是“以評促用”,脫離信息系統的當前狀況去談産品的配空花用是不(bù)科(kē)學的。對于已建的信息系通費統,首先開(kāi)展差距分析,梳理保護對象、應用場景及防睡服護現狀,總結當前差距形成密碼應用需求,根據密碼應用需求設計密碼應用措施,才能店高談得(de)上需要什麼樣的産品來實現這些措施。現狀:密評工(gōng)作對于各行業來說(shuō)屬于新業務、新要求,在缺乏相報有效參考經驗的情況下,一些銷售人員為(wèi)了争取商業機會(huì),打出離林“包過密評”包票。專家(jiā)解讀:這樣的宣傳雖然可能給了用戶通(tōng)過“密評”的信心,但能否通(t多兵ōng)過密評,是由正規測評機構給出結論人拍為(wèi)标志的。密碼測評機構絕不(bù)會(h高少uì)在尚未了解任何情況之前就去判定“符合”;同樣的,協助用戶做密碼應用腦坐的廠商,也隻有在充分了解用戶業務、梳理密碼應用需求之後,才能明确有哪拍在些GB/T 39786規定的密碼應用要求未得(de)到滿足,此前的“包照一票”都隻能是噱頭。即便明确了需求,是否能夠設計出既滿足了密碼應用需求、器術又不(bù)對業務造成太大(dà)影響的技音又術措施,仍是要具體問題具體分析。科(kē)學的說(shuō)法,是專業密碼廠商會校會(huì)竭盡所能幫助用戶通(tōng)過“密評”,但在未充來制分了解情況之前的“包票”,都是過于誇張的。誤區七:已建設的CA認證産品和密評關系認知不(bù)明現狀:一些機構疑惑現有的CA電子(zǐ)簽名、數據保護等和密車師評是什麼關系?
專家(jiā)解讀:基于公鑰密碼的電子(zǐ)簽名,是當前主弟木流的密碼應用技術之一。行業現階段為(wèi)呢廠無紙化業務而開(kāi)展的電子(zǐ)簽名、動話數據保護等工(gōng)作,同樣屬于密碼技術應用,能夠音校解決重要數據的真實性、完整性和不(bù)可否認性,為(wèi)合規密碼應頻個用建設打下了良好(hǎo)基礎。但如(rú)前所述,并非一類密碼應用技術就可解刀機決所有問題,因此也不(bù)能有“用了電子(zǐ)簽名就一定能過密評電章”的認識。現狀:随着信息化發展,部分機構在原有機房難以支撐信息是西化應用的情況下,采用了多機房并行的情況。針對此類情況,機構認為(wèi)隻內樹對新機房開(kāi)展密碼應用改造,就可以完成密評工(gōn化能g)作。專家(jiā)解讀:GB/T 39786規定的物理環境安全要求,是所有物理環境都需要滿足的。因吃西此如(rú)果多機房,每個機房都要根據完整的測評單元開(kāi)學但展評估工(gōng)作,綜合的物理環境安全得暗對(de)分值是取加權平均,而非隻有一個機房合規就能得(d日些e)到全部的分數。對于高風險項,如(rú)果任房輛何一個機房存在高風險,則是“一票否決”。
- 網絡運營者即網絡和信息系統的責任單位(包括建設、使用科國、管理單位),是密評的被測評單位,應當認真履行好(hǎo)密碼安全主體責任,醫紅明确密碼安全負責人,制定完善的密碼管理制度,按照要求什生開(kāi)展商用密碼應用安全性評估、備案和整改,配合密碼管理部門和有關部熱很門的安全檢查。
- 測評機構是密評的執行單位,應當按照有關法律法規和标準要求科(kē)學、公正制見地開(kāi)展評估。從事密評工(gōng媽兵)作的測評人員應當通(tōng)過國家(jiā)密碼管理部門(或其授權的機構花區)組織的考核,遵守國家(jiā)有關法律法規,按照相歌訊關标準,為(wèi)用戶提供安全、客觀、公著錯正的評估服務,保證評估的質量和效果。
- 國家(jiā)密碼管理部門負責指導、監督和子老檢查全國的密評工(gōng)作;省(部)密碼管理部門負責指導、監督和檢聽行查本地區、本部門、本行業(系統)的密評工(gōng)內票作。國家(jiā)密碼管理部門依據有關規定,組織對測評機構工(好開gōng)作開(kāi)展情況進行監督檢查。
《信息安全技術 信息系統密碼應用基本要求》(GB/T 39786房城-2021)是貫徹落實《中華人民共和國密碼法》,指導我國商用服行密碼應用與安全性評估工(gōng)作開(kā腦海i)展的綱領性、框架性标準。中國密碼學會(huì)密評聯委會(h笑朋uì)發布并持續更新依照GB/T 39786北件-2021開(kāi)展密評的系列指導文件,目前包年木括5項:GM/T 0115-2021《信息系統密碼應用測評要求》
GM/T 0116-2021《信息系統密碼應用測評過程指南》
另外,2021年新增發布了《商用密碼應用安全性評估FAQ》,對于密評工(gōng)作中的常見問題進行了解答(dá)體友。
- 法律、行政法規和國家(jiā)有關規定要求雜城使用商用密碼進行保護的網絡與信息系統,其運營者應當使用商用密讀厭碼進行保護,制定商用密碼應用方案,配備必要紅謝的資(zī)金(jīn)和專業人員,同步規劃、同步建設、同公他步運行商用密碼保障系統并定期進行密評。
- 密評機構應當經國家(jiā)密碼管理局認定,依法取得(街北de)商用密碼檢測機構資(zī)質,且資(zī)質認定業務範圍載明舞術“商用密碼應用安全性評估”。目前密評工(gōng)作仍處于“試點”票亮階段,因此當前公布的是密評“試點”機構名員路錄。不(bù)久的将來随着《商用密碼管理條例》《密碼檢測機構海要管理辦法》等制度文件的正式頒布,密評機構票請認定工(gōng)作将走向常态化。
- 包含方案測評、系統測評、運營者支持配合義務、結果備案等。們去
開(kāi)展密碼應用建設應根據責任單位實際情友睡況具體問題具體分析,基于GB/T 3978錯北6-2021規定的四個技術層面、四個管理層靜一面,根據實際安全需求編制密碼應用方案,并針對性選擇密碼産品實現方案中所述的愛購密碼應用措施。安全是核心目标,在合規的方案指導下使用密碼技術和密碼産開們品,才能保障核心目标不(bù)偏離。項目建設單位應當同步規劃、同步建設、同步運行密碼保障裡雪系統并定期進行評估,其中同步規劃的核心是密視要碼應用方案編制。密碼應用方案編制是至關重要的環節計店,好(hǎo)的方案會(huì)為(wèi)後續費綠的建設指明方向、鋪平道路;如(rú)果方案未做好(hǎo),後期的項目建多秒設将面臨諸多困難和反複。典型的“方案未做好(hǎo拍火)”是沒有對業務進行仔細梳理、對密碼應用舊綠需求的詳細分析,而是直接生搬硬套密碼應用措施和産品,導緻建設時(s民地hí)出現無法落地實施的狀況。
隻有正确、合規、有效地使用密碼技術,才能更好(hǎo)水費地保護網絡安全和數據安全——密碼用得(d那花e)對不(bù)對,需要前期的同步規劃、同步建設、同步運行密碼保障系統,服學然後靠測評來證明。根據GM/T 0115《信息系統密碼應用測北船評要求》:對于“應”的條款,密評人員應按照第5章和第6章相應的測評指标要求如睡進行測評和結果判定;若根據信息系統的密碼應用方案和方笑車案評審意見,判定信息系統确無與某項或某些項測評指市長标相關的密碼應用需求,則相應測評指标為(wèi)錢街“不(bù)适用”。對于“宜”的條款,密評人員根據信息系統的密碼應用方案和方案評聽呢審意見決定是否納入标準符合性測評範圍;若信息系統沒有通(tōng)過評估的密光道碼應用方案或密碼應用方案未做明确說(shuō)明,則“宜”的條款默認納入标東和準符合性測評範圍。若納入測評範圍,則密評人花作員應按照第6章相應的測評指标要求進行測評和結果判定。否則,密評人員唱為應根據信息系統的密碼應用方案和方案評審意見,在測評中進湖月一步核實密碼應用方案中所描述的風險控制措施使用條件在實際的信息系統中是否被滿文拿足,且信息系統的實施情況與所描述的風險控制措輛為施是否一緻,若滿足使用條件,該測評指标為(wèi票又)“不(bù)适用”,并在密碼應用安全性評估報告中體現核實吃微過程和結果;若不(bù)滿足使用條件,則應按照第6信花章相應的測評指标要求進行測評和結果判定。 對于“可”的條款,由信息系統責任單位自行決定是否納入标準符合性測評範圍。若納入測評範圍離知,則密評人員應按照第6章相應的測評指标要求進行風去測評和結果判定;否則,該測評指标 為(wèi)“不(匠西bù)适用”。根據差距分析,進行分階段規劃,穩步推進密碼建設。原通又則上優先解決高風險,再考慮解決中低(dī)風險;先解決重要業務線,秒書再補充其他(tā);先保護好(hǎo)基礎設施,再考慮構建在其上的應兒要用。
文章來源:等級保護測評
