Image
全國統(tong)一服務熱線
0351-4073466

如何正確“過密評”?

編輯:2022-05-07 16:39:56

2022年,“密評”(即(ji)“商用密碼應用安全性評估”)成(cheng)了各行(xing)業關注的熱詞。


在《密(mi)(mi)(mi)碼法》的(de)要(yao)(yao)(yao)求(qiu)下(xia),在國標(biao)《信息(xi)(xi)安全技術信息(xi)(xi)系統密(mi)(mi)(mi)碼應用基(ji)本要(yao)(yao)(yao)求(qiu)》(GB/T 39786-2021)的(de)指(zhi)導(dao)下(xia),各地(di)各行(xing)業積極、嚴謹地(di)開展密(mi)(mi)(mi)評工作(zuo),將是推動(dong)密(mi)(mi)(mi)碼應用的(de)良好(hao)開端。各行(xing)業紛紛出臺了(le)相關標(biao)準、要(yao)(yao)(yao)求(qiu),將密(mi)(mi)(mi)評工作(zuo)提上日程(cheng),關鍵(jian)信息(xi)(xi)基(ji)礎設施(shi)、政務信息(xi)(xi)系統、等(deng)保三級(ji)以上信息(xi)(xi)系統建設,都要(yao)(yao)(yao)“過密(mi)(mi)(mi)評”。

面對各(ge)(ge)式各(ge)(ge)樣的(de)產品和眾說紛紜的(de)方(fang)案,究(jiu)竟密(mi)評該(gai)如何(he)過?應該(gai)遵照哪些技術標(biao)準(zhun)?關注哪些要點?有哪些誤區?我(wo)們(men)帶你一探究(jiu)竟。





這些“誤區”要辨別



誤區一:業務系統零改造,信息系統免集成,即可通過密評


現(xian)狀:有些廠家提出業務系統零改造過密評的方案,還有些密碼服務廠商抓住了客戶信息系統改造難度大、成本高的痛點,打出“信息系統免集成,即可通過密評”的宣傳口號。

專家解讀:事實上信息系統開展密評工作主要目的在于推動密碼應用的合規性、正確性、有效性。在常見的密碼應用中的安全性問題包括:密碼技術被棄用(例如完全未用密碼)、密碼技術被亂用(例如簡化使用密碼協議導致出現安全漏洞)、密碼技術被誤用(例如使用固定值而非隨機數作為初始向量)。這一切都指向“用”,即信息系統要正確調用密碼產品、密碼服務。不針對信息系統實際情況、重要數據安全需求等加以分析,進而適當改造信息系統以“用”密碼,是難以全面保障信息系統安全,也難以通過密評。

誤區二:忽略應用層,只靠物理、網絡層也能過密評


現狀:部分(fen)廠商(shang)向客戶提出“應(ying)用層不拿(na)分(fen),靠(kao)其他(ta)幾(ji)層拿(na)分(fen)也能及格”的(de)說辭(ci)。

專家解讀:根據《商用(yong)密碼(ma)應(ying)(ying)用(yong)安全(quan)(quan)性評估量化(hua)評估規則(ze)》第6部(bu)分(fen)整(zheng)體(ti)結(jie)論判定(ding),整(zheng)體(ti)量化(hua)評估結(jie)果是(shi)百分(fen)制,應(ying)(ying)用(yong)和數(shu)據安全(quan)(quan)占30分(fen)。只(zhi)有達到分(fen)數(shu)閾(yu)值、且(qie)沒有高風(feng)(feng)險項(xiang),才能判定(ding)被測信息系(xi)統基本符合(he)GB/T39786-2021相應(ying)(ying)等(deng)級要(yao)求。目前執行的閾(yu)值是(shi)60分(fen),這意(yi)味(wei)著(zhu)如(ru)果應(ying)(ying)用(yong)和數(shu)據層完(wan)全(quan)(quan)不拿分(fen),就只(zhi)剩下10分(fen)的機(ji)動空間;更重要(yao)的是(shi),應(ying)(ying)用(yong)和數(shu)據安全(quan)(quan)涉及5項(xiang)高風(feng)(feng)險項(xiang),如(ru)果完(wan)全(quan)(quan)不加以考(kao)慮(lv),很容(rong)易碰到高風(feng)(feng)險“一(yi)票否決”。

誤區三:密評是針對密碼產品的測評


現狀:一些機(ji)構疑問:“如果系統中(zhong)沒有應(ying)用密(mi)碼技(ji)術或(huo)密(mi)碼產品(pin),是(shi)不(bu)(bu)是(shi)就(jiu)不(bu)(bu)需要過密(mi)評(ping),或(huo)者可以直接通過密(mi)評(ping)?”

專家(jia)解讀:密評(ping)是(shi)針對應用方業(ye)務(wu)系(xi)(xi)(xi)統的(de)測(ce)評(ping),看密碼(ma)是(shi)否得到(dao)合規、正確、有效的(de)應用,而非針對密碼(ma)產品的(de)檢測(ce)。按照相(xiang)關法律(lv)法規規定,關鍵(jian)信(xin)息(xi)基礎設(she)(she)施、政務(wu)信(xin)息(xi)系(xi)(xi)(xi)統、等(deng)保(bao)三級以(yi)上(shang)(shang)信(xin)息(xi)系(xi)(xi)(xi)統需要同(tong)(tong)步規劃、同(tong)(tong)步建設(she)(she)、同(tong)(tong)步運營密碼(ma)保(bao)障系(xi)(xi)(xi)統,定期進行密評(ping),這項(xiang)要求(qiu)與其當前是(shi)否使用密碼(ma)無關。如果上(shang)(shang)述業(ye)務(wu)系(xi)(xi)(xi)統完全未用到(dao)密碼(ma),那么在密評(ping)中“高風(feng)險(xian)項(xiang)”是(shi)肯定存在的(de),因而肯定無法通過密評(ping)。

誤區四:劃定測評對象范圍模糊


現狀:一(yi)些機構疑惑等(deng)保定級的范(fan)圍(wei)(wei)和(he)密(mi)評(ping)(ping)范(fan)圍(wei)(wei)是否一(yi)致,在做密(mi)碼測評(ping)(ping)的時(shi)候(hou)是要所有的系(xi)統測試通過(guo)才算通過(guo)密(mi)評(ping)(ping)嗎?如何劃定測評(ping)(ping)對(dui)象范(fan)圍(wei)(wei)?

專(zhuan)家(jia)解讀:密(mi)(mi)評(ping)當前沒有獨立的定(ding)級(ji),而是依賴等(deng)(deng)保(bao)定(ding)級(ji)的。因(yin)而在劃定(ding)測評(ping)范圍的時(shi)候,原則上應(ying)與等(deng)(deng)保(bao)定(ding)級(ji)的范圍一致。如果等(deng)(deng)保(bao)定(ding)級(ji)系統(tong)里有多(duo)個(ge)應(ying)用(yong)或(huo)多(duo)個(ge)子系統(tong),密(mi)(mi)評(ping)時(shi)會(hui)針(zhen)對(dui)每個(ge)應(ying)用(yong)或(huo)子系統(tong)都做測評(ping),最終(zhong)分數判(pan)定(ding)需綜(zong)合考(kao)慮所有應(ying)用(yong)或(huo)子系統(tong)在相應(ying)層次的密(mi)(mi)碼(ma)應(ying)用(yong)情(qing)況(kuang)。詳(xiang)情(qing)可參照(zhao)GM/T 0115《信息系統(tong)密(mi)(mi)碼(ma)應(ying)用(yong)測評(ping)要求(qiu)》。

誤區五:采購一些密碼設備并部署上,就滿足了密評要求


現(xian)狀:開展密評工作必然離不開密碼設備的建設工作,密碼設備的采購數量、采購金額必然是各行業關注的重點之一。部分密碼設備廠商基于自身產品推廣,宣稱“采購一些密碼設備、一類產品即可通過密碼應用測評” 。

專家解讀:密評工作的目標是“以評促用”,脫離信息系統的當前狀況去談產品的配用是不科學的。對于已建的信息系統,首先開展差距分析,梳理保護對象、應用場景及防護現狀,總結當前差距形成密碼應用需求,根據密碼應用需求設計密碼應用措施,才能談得上需要什么樣的產品來實現這些措施。

誤區六:包過密評?


現狀:密評工作對于各行業來說屬于新業務、新要求,在缺乏有效參考經驗的情況下,一些銷售人員為了爭取商業機會,打出“包過密評”包票。

專家解讀:這樣的宣傳雖然可能給了用戶通過“密評”的信心,但能否通過密評,是由正規測評機構給出結論為標志的。密碼測評機構絕不會在尚未了解任何情況之前就去判定“符合”;同樣的,協助用戶做密碼應用的廠商,也只有在充分了解用戶業務、梳理密碼應用需求之后,才能明確有哪些GB/T 39786規定的密碼應用要求未得到滿足,此前的“包票”都只能是噱頭。即便明確了需求,是否能夠設計出既滿足了密碼應用需求、又不對業務造成太大影響的技術措施,仍是要具體問題具體分析。科學的說法,是專業密碼廠商會竭盡所能幫助用戶通過“密評”,但在未充分了解情況之前的“包票”,都是過于夸張的。

誤區七:已建設的CA認證產品和密評關系認知不明


現狀:一些機構疑惑現有的CA電子簽名、數據保護等和密評是什么關系?

專家解讀:基于公鑰密碼的電子簽名,是當前主流的密碼應用技術之一。行業現階段為無紙化業務而開展的電子簽名、數據保護等工作,同樣屬于密碼技術應用,能夠解決重要數據的真實性、完整性和不可否認性,為合規密碼應用建設打下了良好基礎。但如前所述,并非一類密碼應用技術就可解決所有問題,因此也不能有“用了電子簽名就一定能過密評”的認識。

誤區八:只用對新機房進行密碼應用改造


現狀:隨著信息化發展,部分機構在原有機房難以支撐信息化應用的情況下,采用了多機房并行的情況。針對此類情況,機構認為只對新機房開展密碼應用改造,就可以完成密評工作。

專家解讀:GB/T 39786規定的物理環境安全要求,是所有物理環境都需要滿足的。因此如果多機房,每個機房都要根據完整的測評單元開展評估工作,綜合的物理環境安全得分值是取加權平均,而非只有一個機房合規就能得到全部的分數。對于高風險項,如果任何一個機房存在高風險,則是“一票否決”。





這些“要點”要掌握



01

密評工作的參與方及職責


  • 責任單位:
    網絡(luo)運營者即網絡(luo)和(he)(he)信息系統的(de)責(ze)任單位(包括(kuo)建設、使(shi)用、管(guan)理(li)單位),是密評的(de)被測評單位,應當認真履行(xing)好密碼(ma)(ma)安全(quan)主體(ti)責(ze)任,明確密碼(ma)(ma)安全(quan)負責(ze)人,制定(ding)完善的(de)密碼(ma)(ma)管(guan)理(li)制度,按照要求開展(zhan)商用密碼(ma)(ma)應用安全(quan)性評估、備(bei)案(an)和(he)(he)整改,配合密碼(ma)(ma)管(guan)理(li)部門和(he)(he)有關部門的(de)安全(quan)檢查。
  • 測評機(ji)構:
    測(ce)評機構(gou)是(shi)密(mi)評的(de)(de)執行單位(wei),應(ying)當按照有(you)關法(fa)律法(fa)規和(he)標(biao)準要求科(ke)學、公正地開展評估。從事密(mi)評工作(zuo)的(de)(de)測(ce)評人(ren)員應(ying)當通過國家密(mi)碼管理部門(或其授權的(de)(de)機構(gou))組織的(de)(de)考核,遵守(shou)國家有(you)關法(fa)律法(fa)規,按照相關標(biao)準,為用(yong)戶提(ti)供安全、客觀(guan)、公正的(de)(de)評估服務(wu),保證評估的(de)(de)質量(liang)和(he)效果。
  • 密碼管理部門
    國家密(mi)(mi)(mi)碼管(guan)(guan)理(li)部(bu)(bu)門(men)(men)負責(ze)(ze)指導(dao)、監(jian)(jian)督(du)和檢查(cha)全國的密(mi)(mi)(mi)評工(gong)作;省(部(bu)(bu))密(mi)(mi)(mi)碼管(guan)(guan)理(li)部(bu)(bu)門(men)(men)負責(ze)(ze)指導(dao)、監(jian)(jian)督(du)和檢查(cha)本(ben)地區、本(ben)部(bu)(bu)門(men)(men)、本(ben)行業(系統)的密(mi)(mi)(mi)評工(gong)作。國家密(mi)(mi)(mi)碼管(guan)(guan)理(li)部(bu)(bu)門(men)(men)依據有關規定(ding),組織對測評機(ji)構(gou)工(gong)作開展情況進行監(jian)(jian)督(du)檢查(cha)。


02

遵循的技術標準



《信息(xi)安全(quan)技術 信息(xi)系統密(mi)碼(ma)應用基本要求(qiu)》(GB/T 39786-2021)是貫(guan)徹落實(shi)《中(zhong)華人民共和國密(mi)碼(ma)法》,指(zhi)導(dao)(dao)我(wo)國商用密(mi)碼(ma)應用與安全(quan)性評估(gu)工作開(kai)展(zhan)的(de)綱領性、框架性標準。中(zhong)國密(mi)碼(ma)學會密(mi)評聯委會發布并持(chi)續更新依照(zhao)GB/T 39786-2021開(kai)展(zhan)密(mi)評的(de)系列指(zhi)導(dao)(dao)文件(jian),目(mu)前包括5項:

01

GM/T 0115-2021《信(xin)息系統密(mi)碼應用測評要(yao)求》

02

GM/T 0116-2021《信息系統密碼應用測評過程指南(nan)》

03

《信息系統密(mi)碼應用高(gao)風險判定指引》

04

《商(shang)用密碼應(ying)用安全性評(ping)(ping)估(gu)量化評(ping)(ping)估(gu)規(gui)則》

05

《商(shang)用密碼應(ying)用安全性評估報告(gao)模板(2021版(ban))》

另外,2021年新增發布了《商用(yong)密碼(ma)應用(yong)安全性評估FAQ》,對于密評工作中的常見問題進行了解答。

03

密評的基本要求和程序設計



  • 范圍要求:
    法(fa)律、行(xing)(xing)政法(fa)規(gui)(gui)和國家有關規(gui)(gui)定要求使用商(shang)用密(mi)(mi)碼(ma)進(jin)行(xing)(xing)保護的(de)網(wang)絡與(yu)信息系(xi)統(tong),其運營者(zhe)應(ying)當使用商(shang)用密(mi)(mi)碼(ma)進(jin)行(xing)(xing)保護,制定商(shang)用密(mi)(mi)碼(ma)應(ying)用方案,配備(bei)必要的(de)資金和專業人員,同(tong)步規(gui)(gui)劃、同(tong)步建設、同(tong)步運行(xing)(xing)商(shang)用密(mi)(mi)碼(ma)保障系(xi)統(tong)并定期進(jin)行(xing)(xing)密(mi)(mi)評(ping)。
  • 機構性質:
    密(mi)(mi)(mi)評機(ji)構(gou)(gou)(gou)應當(dang)經國家密(mi)(mi)(mi)碼管理局認(ren)定(ding),依(yi)法(fa)取得商用(yong)密(mi)(mi)(mi)碼檢測機(ji)構(gou)(gou)(gou)資質(zhi)(zhi),且資質(zhi)(zhi)認(ren)定(ding)業務范圍載明“商用(yong)密(mi)(mi)(mi)碼應用(yong)安全性評估”。目前密(mi)(mi)(mi)評工作仍處于“試(shi)點”階段,因此當(dang)前公布(bu)的(de)是密(mi)(mi)(mi)評“試(shi)點”機(ji)構(gou)(gou)(gou)名錄。不久的(de)將(jiang)來隨(sui)著《商用(yong)密(mi)(mi)(mi)碼管理條例》《密(mi)(mi)(mi)碼檢測機(ji)構(gou)(gou)(gou)管理辦法(fa)》等制度文件的(de)正式頒布(bu),密(mi)(mi)(mi)評機(ji)構(gou)(gou)(gou)認(ren)定(ding)工作將(jiang)走(zou)向常(chang)態化。
  • 實施要求(qiu):
    包含(han)方案測評、系統(tong)測評、運營者支持配合義務、結果備案等(deng)。
  • 信息系統密碼應用基本要求:如(ru)圖所示

 
圖片

04

選擇密碼產品的依據



開(kai)展密(mi)碼應(ying)用(yong)建設應(ying)根據責任單位實際(ji)情(qing)況具(ju)體問題具(ju)體分析,基于GB/T 39786-2021規定的四(si)個(ge)技術層(ceng)(ceng)面、四(si)個(ge)管(guan)理層(ceng)(ceng)面,根據實際(ji)安(an)全需求(qiu)編制密(mi)碼應(ying)用(yong)方案(an)(an),并針(zhen)對性選擇密(mi)碼產(chan)品實現(xian)方案(an)(an)中所述(shu)的密(mi)碼應(ying)用(yong)措施。安(an)全是核(he)心(xin)目標(biao)(biao),在合規的方案(an)(an)指(zhi)導下使(shi)用(yong)密(mi)碼技術和密(mi)碼產(chan)品,才能保障核(he)心(xin)目標(biao)(biao)不偏離。

05

密評工作關注的重點



(1)遵循“三同步,一評估”原則




項目建設單位應當同步規劃、同步建設、同步運行密碼保障系統并定期進行評估,其中同步規劃的核心是密碼應用方案編制。密碼應用方案編制是至關重要的環節,好的方案會為后續的建設指明方向、鋪平道路;如果方案未做好,后期的項目建設將面臨諸多困難和反復。典型的“方案未做好”是沒有對業務進行仔細梳理、對密碼應用需求的詳細分析,而是直接生搬硬套密碼應用措施和產品,導致建設時出現無法落地實施的狀況。

(2)把握“以評促用”的指導思想




只有正確(que)、合(he)規、有效地(di)使用(yong)密碼(ma)技術,才(cai)能更好(hao)地(di)保護網絡安全和數據(ju)安全——密碼(ma)用(yong)得對不對,需要前期的同步規劃(hua)、同步建設、同步運行密碼(ma)保障系統(tong),然后靠測評來證(zheng)明。

(3)對“應”“宜”“可”的把握




根據GM/T 0115《信息系統密碼應用測(ce)評要(yao)求》:

對于“應”的條款,密評人員應按照第5章和第6章相應的測評指標要求進行測評和結果判定;若根據信息系統的密碼應用方案和方案評審意見,判定信息系統確無與某項或某些項測評指標相關的密碼應用需求,則相應測評指標為“不適用”。

對(dui)于“宜”的條款,密(mi)(mi)(mi)(mi)評(ping)(ping)(ping)人員(yuan)(yuan)根據信息(xi)(xi)(xi)系(xi)統的(de)密(mi)(mi)(mi)(mi)碼(ma)應(ying)(ying)(ying)(ying)(ying)用(yong)方(fang)案(an)和方(fang)案(an)評(ping)(ping)(ping)審意見決(jue)定(ding)(ding)是(shi)(shi)否(fou)納(na)(na)入(ru)標準符(fu)合性測(ce)評(ping)(ping)(ping)范圍;若信息(xi)(xi)(xi)系(xi)統沒有通過評(ping)(ping)(ping)估的(de)密(mi)(mi)(mi)(mi)碼(ma)應(ying)(ying)(ying)(ying)(ying)用(yong)方(fang)案(an)或密(mi)(mi)(mi)(mi)碼(ma)應(ying)(ying)(ying)(ying)(ying)用(yong)方(fang)案(an)未做明確說明,則(ze)“宜”的(de)條(tiao)(tiao)(tiao)款默(mo)認納(na)(na)入(ru)標準符(fu)合性測(ce)評(ping)(ping)(ping)范圍。若納(na)(na)入(ru)測(ce)評(ping)(ping)(ping)范圍,則(ze)密(mi)(mi)(mi)(mi)評(ping)(ping)(ping)人員(yuan)(yuan)應(ying)(ying)(ying)(ying)(ying)按(an)照(zhao)(zhao)第(di)6章相應(ying)(ying)(ying)(ying)(ying)的(de)測(ce)評(ping)(ping)(ping)指(zhi)標要(yao)求進行(xing)測(ce)評(ping)(ping)(ping)和結果(guo)判定(ding)(ding)。否(fou)則(ze),密(mi)(mi)(mi)(mi)評(ping)(ping)(ping)人員(yuan)(yuan)應(ying)(ying)(ying)(ying)(ying)根據信息(xi)(xi)(xi)系(xi)統的(de)密(mi)(mi)(mi)(mi)碼(ma)應(ying)(ying)(ying)(ying)(ying)用(yong)方(fang)案(an)和方(fang)案(an)評(ping)(ping)(ping)審意見,在測(ce)評(ping)(ping)(ping)中進一(yi)步核(he)實(shi)密(mi)(mi)(mi)(mi)碼(ma)應(ying)(ying)(ying)(ying)(ying)用(yong)方(fang)案(an)中所(suo)描述的(de)風險控制措施(shi)使(shi)用(yong)條(tiao)(tiao)(tiao)件(jian)在實(shi)際的(de)信息(xi)(xi)(xi)系(xi)統中是(shi)(shi)否(fou)被滿(man)足,且信息(xi)(xi)(xi)系(xi)統的(de)實(shi)施(shi)情況與所(suo)描述的(de)風險控制措施(shi)是(shi)(shi)否(fou)一(yi)致(zhi),若滿(man)足使(shi)用(yong)條(tiao)(tiao)(tiao)件(jian),該測(ce)評(ping)(ping)(ping)指(zhi)標為“不適用(yong)”,并在密(mi)(mi)(mi)(mi)碼(ma)應(ying)(ying)(ying)(ying)(ying)用(yong)安全性評(ping)(ping)(ping)估報告中體現核(he)實(shi)過程和結果(guo);若不滿(man)足使(shi)用(yong)條(tiao)(tiao)(tiao)件(jian),則(ze)應(ying)(ying)(ying)(ying)(ying)按(an)照(zhao)(zhao)第(di)6章相應(ying)(ying)(ying)(ying)(ying)的(de)測(ce)評(ping)(ping)(ping)指(zhi)標要(yao)求進行(xing)測(ce)評(ping)(ping)(ping)和結果(guo)判定(ding)(ding)。 

對于(yu)“可”的條款,由信(xin)息系統責任單(dan)位(wei)自行(xing)(xing)決定是(shi)否(fou)納(na)入(ru)標(biao)(biao)準符(fu)合性測(ce)(ce)評(ping)范(fan)圍(wei)。若納(na)入(ru)測(ce)(ce)評(ping)范(fan)圍(wei),則(ze)密評(ping)人(ren)員應(ying)按照第6章相應(ying)的測(ce)(ce)評(ping)指(zhi)標(biao)(biao)要(yao)求進行(xing)(xing)測(ce)(ce)評(ping)和(he)結果(guo)判定;否(fou)則(ze),該(gai)測(ce)(ce)評(ping)指(zhi)標(biao)(biao) 為“不適用(yong)”。

(4)尊重客觀規律




根據差(cha)距分析,進行分階段規劃,穩(wen)步推進密碼建(jian)設。原則上優先(xian)解決(jue)高風(feng)險,再考慮(lv)解決(jue)中(zhong)低風(feng)險;先(xian)解決(jue)重要(yao)業務線,再補(bu)充(chong)其他;先(xian)保護(hu)好(hao)基礎設施,再考慮(lv)構建(jian)在其上的應用。

文章來源:等(deng)級(ji)保護測評


Image
Image
版權所有(you):山西科信源科技(ji)股份有(you)限公司(si)
咨詢(xun)熱線:0351-4073466?
地址(zhi):(北區(qu))山西省太原(yuan)市(shi)迎澤區(qu)新(xin)建(jian)南路(lu)文源巷24號文源公務中心5層(ceng)
? ? ? ? ? ?(南區)太原(yuan)市小店(dian)區南中環(huan)街529 號清控創新基地A座4層(ceng)
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團