建立完善商用密碼應用安全性評估體系,推動商用密碼規範應用
編輯:2023-06-09 08:52:45
2020年起實施的《中華人民共和國密碼法》(以下簡稱《密碼法》)明場習确規定了商用密碼應用安全性評估(以下簡稱密評看廠)有關要求,新修訂的《商用密碼管理條例》(以下簡稱《舞科條例》)進一步細化了相關規定。密評對我國商用密碼應用和內自管理工(gōng)作具有重要的推動和規範作開頻用,其體系也在不(bù)斷發展和完善過程中。
一、商用密碼應用安全性評估體系初步建立 2007年,國家(jiā)密碼管理局印發《信問我息安全等級保護商用密碼管理辦法》,成為(wèi體懂)密評工(gōng)作的肇始和開(kāi)端體物。2017年,國家(jiā)密碼管理局印發《關于開(kāi)展密喝黃碼應用安全性評估試點工(gōng)作的通(tōng)知》,密評工(gō匠制ng)作走上了發展快車(chē)道,密評體系建設在法律法規、标準在村規範、機構培育等方面取得(de)了長(cháng)足的進展,科(k美錯ē)學性和規範性不(bù)斷提升。 (一)體制機制與法規依據逐步成熟規範 《密碼法》首次确立了密評工(gōng)作的法律地位。《密碼法》第二十七條對關鍵務明信息基礎設施使用商用密碼和開(kāi)展密評提出了明确要求,并在第三十街你七條對違反該要求的行為(wèi)明确了罰則,這從根本上建立起了密評制度,也是微書開(kāi)展密評工(gōng)作***影嗎基本的法律依據。随着《密碼法》的貫徹實施,密評工(gōng)作南高也得(de)到了越來越多的關注和認可,成為(wèi)了員用密碼應用推進工(gōng)作的重要抓手。 新修訂的《條例》對密評工(gōng)作提出了更加具體和睡裡細化的要求。在落實《密碼法》要求的基礎上,《條例》第三十八條兒黃進一步明确了關鍵信息基礎設施“三同步”、每年定期評估以及時自備案管理的具體要求:“……運營者應當使用商用密碼進行保護,制定商用密個劇碼應用方案,配備必要的資(zī)金(jīn)和專業人員,同步技制規劃、同步建設、同步運行商用密碼保障系統,自行或者村哥委托商用密碼檢測機構開(kāi)展商用密碼農多應用安全性評估。……,運行後每年至少進行一次評估,評師如估情況按照國家(jiā)有關規定報送國家(jiā)密碼管理部門或者間銀關鍵信息基礎設施所在地省、自治區、直轄市密碼管理部門備案。雪通”對于與網絡安全等級保護制度的銜接,《條例》第四十一條規定:“亮去網絡運營者應當按照國家(jiā)網絡安全等照道級保護制度要求,使用商用密碼保護網絡安全。國家(jiā)會家密碼管理部門根據網絡的安全保護等級,确定商下有用密碼的使用、管理和應用安全性評估要求,制定網絡安全等級保護密碼标準規範。輛輛”這及時(shí)回應了社會(huì)對于等級保護對象開藍東(kāi)展密碼應用與安全性評估的關切,為(wèi)等級保護下的對象開(kāi)展密評提供了基本遵循。 除了《密碼法》和《條例》外,相關部門規章姐爸和規範性文件也對密碼應用和密評作出了明确規廠行定,包括國務院辦公廳印發的《國家(jiā)政務信息化項目建設管理辦法》、公煙離安部印發的《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意小河見》、财政部印發的《政務信息系統政府采購管理習線暫行辦法》等,與上述法律法規一起,共同構成了密評工(gō科要ng)作的法律依據和制度支撐。 (二)技術體系與标準規範不(bù)斷健全完善 2018年初,為(wèi)指導密評試點工(g筆舞ōng)作開(kāi)展,國家(jiā)密碼管理局發布了密碼行業标準請費GM/T-0054《信息系統密碼應用基本要求》。2018年以來,基于GM為站/T-0054開(kāi)展的密碼應用和安全性評估錯車工(gōng)作,充分驗證了密評工(gōng)作的科(暗妹kē)學性和可行性。該标準也在2021年上升為(wèi)國家(jiā)友爸标準GB/T-39786《信息安全技術 信息系統密碼應用基本要求》,結合密評物房工(gōng)作實踐對内容進行了優化,更為(wèi)科(kē們舞)學合理。 為(wèi)了配合GB/T-39786的實施,熱樹更好(hǎo)地指導和規範密評活動,中國密碼學信舞會(huì)密評聯委會(huì)組織制定了《信息系統密時匠碼應用測評要求》《信息系統密碼應用測評過程指南》《信息系統長人密碼應用高風險判定指引》《商用密碼應用安全性評估量近也化評估規則》《商用密碼應用安全性評估報告模闆》等5項可雜指導性文件,其中前2項已正式發布為(wèi)密碼行業長文标準GM/T-0115和GM/T-0116。 相比于原有的符合性判定“一票否決”的規則,新會朋的密評标準框架豐富了密評結果的出具過程,提出了“量化劇線評估+風險判定”的綜合判定思路。量化評估是為(wèi)了“保量”森樂,即商用密碼應用應當達到一定的程度,便于縱向和橫向的比較;做房風險判定是為(wèi)了“保質”,即守住信息系統的山民安全底線。此外,為(wèi)了規範密評實施刀子和判定活動,中國密碼學會(huì)密評聯委會(huì)還組織冷和編制了《商用密碼應用安全性評估FAQ》,以問答(dá)形式解年事釋了密評過程中常見問題,并确立了定期更新機制,不(bù)斷應對技術發展和書歌應用情況的變化,以持續保持密評标準體系的活力。 (三)機構規模與能力水平持續壯大(dà)提升 密評機構不(bù)僅是密評工(gōng)作實施開(kāi相信)展的主體,還是密碼應用推進工(gōng)作的宣傳隊,因此其專業兒玩水平十分重要。2017年底,******批密評試點機構遴選工(g好店ōng)作正式開(kāi)始,經培育考核,确定了首批密評試點機構新黑。2019年底,第二批密評試點機構的遴選正式啟動,電可吸取******批密評試點機構能力考核的經驗,結合密評試票身點階段實際密評工(gōng)作的要求,第二批密評試點機構的能力考核進一放路步完善,在原有的人員能力筆試考核和機構條件現場鐵綠考核基礎上,将密評報告評估和密評實戰能力考核納入能力考核範圍。這其老可中,實戰能力考核是充分克服了新冠疫情的不(bù)員你利影響,積極探索解決密評實戰能力如(rú)何考核的請很難題,取得(de)了很好(hǎo)的成效,也獲厭我得(de)了參與考核機構的積極反饋。實戰能力考核貼近實際,不(bù)再是行頻“紙上談兵”,一方面覆蓋了原本理論考試無法涉弟司及的内容,對機構實戰能力進行了有效評價,人術另一方面也對密評工(gōng)作的開(kāi)展起到了有效的引導和教育作呢見用,将密評機構原先對算法、産品進行簡單核查的僵化思路,逐步轉變為(wèi)車如充分采集證據、深入分析數據、客觀給出結果的科(kē)學化、合理化路徑。 2020年7月,國家(jiā)密碼管理局雜匠公布了******批24家(jiā)密評試點機構目錯就錄,并于2021年6月進行目錄更新,其中可面向全國開(kāi)展密評業務的機構物姐共48家(jiā),另外25家(jiā)可面向本省本行業街山開(kāi)展密評業務,形成了階梯式的密評機構層次架還坐構。密評試點機構規模不(bù)斷擴大(dà花師)、能力逐步提升,為(wèi)密評工(gōng)作規模化、規範玩車化發展提供了重要支撐。 二、貫徹落實《條例》,進一步完善密評體系 《條例》關于密評的規定,既是對關鍵信息基礎設施運要低營者密評主體責任的明确,也對密評體系建設提出了更兒用高要求,指引着密評體系建設不(bù)斷發展完善。 (一)持續拓展密評工(gōng)作深度廣度,不(bù)要長斷增強重要領域密碼應用水平 在法律法規層面,可以預見的是,随着《條例》發布,配套的近美規章制度也會(huì)陸續出台,進一步細化對密評機構管理和對密評工(gōn數笑g)作管理等要求。在這些法律法規的具體要求下,密鄉能評機構和人員的管理将進一步規範,開(kāi)展密評的信息系街靜統範圍和數量将進一步擴大(dà)。下一步,了讀在前期金(jīn)融、政務等領域開(kāi)展密碼應用和廠南密評工(gōng)作的良好(hǎo)基礎上,要進一步深一子入擴展到其他(tā)重要領域和行業,推動密碼應用和密評要醫請求在重要領域和行業落地生根,持續增強密碼應用制請的廣度和深度。 (二)持續推進标準文件更新出台,不(bù)斷畫子為(wèi)密評體系注入生命力 GB/T-39786針對信息系統提出了通(tōng)坐市用性的密碼應用基本要求,但無法适配于所有類型信息系統和媽放應用場景。近些年,國家(jiā)密碼管理山長局以密碼行業标準形式發布了針對具體應用場景的密碼應用技術要求和指南,煙腦包括電子(zǐ)保單、網上銀行、遠程移動支付、電子(zǐ)招投明哥标、區塊鍊等。随着密碼應用範圍的不(bù)斷擴大(dà),亟需新白話一批的指導性文件用于指導具體場景的密碼應用建設和安全性評估工(gōng)作,并刀哥适情開(kāi)展文件的标準化。另外,目前密評體系文件中形成标準的還不(bù體吧)多,還需進一步推進已經在制标過程中的《信息系統密碼應用方案有歌設計指南》和《信息系統密碼應用實施指南》等應用指導關這類文件加快成熟,以更好(hǎo)指導密碼應國朋用與安全性評估工(gōng)作。 (三)持續加強技術手段建設,不(bù)斷提升密評機構在習能力水平 在密評實施過程中,目前的工(gōng)具和手段還不(bù)能較好(hǎo)醫朋支撐對專門領域(如(rú)5G、工(gōng)業互聯網)中的密碼協議和密碼應用站跳情況進行有效檢查,在對信息系統重要數據的深入自動姐動分析及密碼應用漏洞的探測方面也存在較大(dà)欠缺。因此,未來我風需要圍繞密評實踐過程中的各個技術驗證點,進一步人湖加強密評業務開(kāi)展的技術手段建設。一花如方面,基于密碼産品/服務等相關标準完善現有典型密評工(gōng)具,生動同時(shí)研制并集成密評新工(gōng)具,如(rú鐘好)自動化分析工(gōng)具、密碼應用滲透測試工(gōng)具,作靜形成可聯動、可動态配置、自動化、一體化的密評工(gōn制請g)具平台;另一方面,加強密碼應用典型風險庫和化森應對知識庫建設,為(wèi)密評人員的知識培訓、實戰考核和能對東力驗證提供基礎保障。此外,還需加強密碼應用攻防平台建設,多懂整合密碼應用風險庫以及對應的典型案例庫、和懂惡意攻擊行為(wèi)庫等知識庫,結合一體化密評工些志(gōng)具平台,形成涵蓋環境仿真、密評人員培訓演練、密評機構能力驗證為(w到技èi)一體的密評核心基礎設施,*****說器*提升我國密評工(gōng)作質量水平和實戰能力,切實維護重要網絡與信息系統生動安全。
咨詢熱線:0351-4073466
地址:(北區)山西省太原市迎澤區新建南路文源巷24号文源公務中心5層
(南區)太原市小店區南中環街(jiē)529 匠影号清控創新基地A座4層