2022年,“密評”(即“商(shāng)用密兵器碼應用安全性評估”)成了各行業關注的熱詞。在《密碼法》的要求下(xià),在國标《信息安全技術信息系統密電空碼應用基本要求》(GB/T 39786-2021)的湖山指導下(xià),各地各行業積極、嚴謹地開(kāi)展密評工(gōng了腦)作,将是推動密碼應用的良好開(kāi)端。各行業紛紛出台了相關标準、要求,将哥科密評工(gōng)作提上日程,關鍵信息基礎懂數設施、政務信息系統、等保三級以上信息系統建設,都要“過密評”。兵輛面對各式各樣的産品和衆說紛纭的方案,究竟密評該如何過?應該遵照哪些技術标準討林?關注哪些要點?有哪些誤區?我(wǒ)(wǒ)們帶水開你一(yī)探究竟。誤區一(yī):業務系統零改造,信息系統免集成,即信道可通過密評現狀:有些廠家提出業務系統零改造過密評的方案,還有些密碼服務廠商(shāng)車大抓住了客戶信息系統改造難度大(dà)、成本高的痛點,南雜打出“信息系統免集成,即可通過密評”的宣傳口号。專家解讀:事實上信息系統開(kāi)展密評工(gōng)作主要目的在于推動密碼應用數家的合規性、正确性、有效性。在常見的密碼應用中(zhōng)的安全性問題包括:密票下碼技術被棄用(例如完全未用密碼)、密碼技術被亂用(例如簡化使用密碼協議導緻謝的出現安全漏洞)、密碼技術被誤用(例如使用固定值而非随機數作爲初金妹始向量)。這一(yī)切都指向“用”,即信息系統要正确調用密碼産有一品、密碼服務。不針對信息系統實際情況、重要數據安全說媽需求等加以分(fēn)析,進而适當改造信息系統以“用”密碼,是難以******習影保障信息系統安全,也難以通過密評。誤區二:忽略應用層,隻靠物(wù)理、網絡層也能過密評現狀:部分(fēn)廠商(shāng)向客戶提出“應用層不拿分(fēn),靠其影廠他幾層拿分(fēn)也能及格”的說辭。專家解讀:根據《商(shāng)用密碼應用安全性評估量化評估規則》第6讀能部分(fēn)整體(tǐ)結論判定,整體(tǐ)量化評估結風作果是百分(fēn)制,應用和數據安全占30分(fēn)。隻有達到分(fēn)數低討阈值、且沒有高風險項,才能判定被測信息系統基本符合GB/T39786-20如我21相應等級要求。目前執行的阈值是60分(fēn),這意少冷味着如果應用和數據層完全不拿分(fēn),就隻剩一現下(xià)10分(fēn)的機動空間;更重要的是,應用和數據安全涉分劇及5項高風險項,如果完全不加以考慮,很容唱員易碰到高風險“一(yī)票(piào)否決”。現狀:一(yī)些機構疑問:“如果系統中(zhōng)沒有應用密碼技術或密吧業碼産品,是不是就不需要過密評,或者可以直接通過密評?微些”專家解讀:密評是針對應用方業務系統的測評,看密碼是否得到合規、正确、有效的應用信章,而非針對密碼産品的檢測。按照相關法律法規規定,關鍵信息基礎設施、政務信雨學息系統、等保三級以上信息系統需要同步規劃、同步建設、同步子街運營密碼保障系統,定期進行密評,這項要求與其當前是否使用密碼無北黃關。如果上述業務系統完全未用到密碼,那麽在密評中(zhōng)“高風險中拍項”是肯定存在的,因而肯定無法通過密評。現狀:一(yī)些機構疑惑等保定級的範圍和密評範圍是否一(yī)緻,在做密碼測評慢男的時候是要所有的系統測試通過才算通過密評嗎(ma)?如何劃定測評對象範圍?身行專家解讀:密評當前沒有獨立的定級,而是依賴等保定級的。因而在文道劃定測評範圍的時候,原則上應與等保定級的範圍一輛一(yī)緻。如果等保定級系統裏有多個應用或山子多個子系統,密評時會針對每個應用或子系統都做測評,***終分(fēn)數長長判定需綜合考慮所有應用或子系統在相應層次的密碼應用情況就靜。詳情可參照GM/T 0115《信息系統密碼應用做鐵測評要求》。誤區五:采購一(yī)些密碼設備并部署上,就滿足了密船草評要求現狀:開(kāi)展密評工(gōng)作必然離(lí)不開(kā區制i)密碼設備的建設工(gōng)作,密碼設備的采購數南低量、采購金額必然是各行業關注的重點之一(yī)。部分(fēn)密碼設備廠商服刀(shāng)基于自身産品推廣,宣稱“采購一(yī)些密碼設備、一服答(yī)類産品即可通過密碼應用測評” 。專家解讀:密評工(gōng)作的目标是“以評促用”,脫朋村離(lí)信息系統的當前狀況去(qù)談産品的配用是河小不科學的。對于已建的信息系統,首先開(kāi)展差距分科民(fēn)析,梳理保護對象、應用場景及防護現狀,總結當前差距形習算成密碼應用需求,根據密碼應用需求設計密碼應用措施,才能談得空電上需要什麽樣的産品來實現這些措施。現狀:密評工(gōng)作對于各行業來說屬于新業務、新要求,在缺乏有事會效參考經驗的情況下(xià),一(yī)些銷雨河售人員(yuán)爲了争取商(shāng)業機會,打出“包過密評”包票(pi也白ào)。專家解讀:這樣的宣傳雖然可能給了用戶通過“密評”的信心,但能否通過密評,是由正多很規測評機構給出結論爲标志(zhì)的。密碼測評機構絕不會在尚未了解任業些何情況之前就去(qù)判定“符合”;同樣的商劇,協助用戶做密碼應用的廠商(shāng),也隻有內也在充分(fēn)了解用戶業務、梳理密碼應用需求之後,才能明确有哪些GB/錯朋T 39786規定的密碼應用要求未得到滿足行上,此前的“包票(piào)”都隻能是噱頭。即便明船中确了需求,是否能夠設計出既滿足了密碼應用需求、又(yòu年數)不對業務造成太大(dà)影響的技術措施,仍是雪兵要具體(tǐ)問題具體(tǐ)分(fēn)析。科學的說新山法,是專業密碼廠商(shāng)會竭盡所能幫助用戶通過“密評”下銀,但在未充分(fēn)了解情況之前的“包票(piào)”公光,都是過于誇張的。誤區七:已建設的CA認證産品和密評關系認知(zhī)不明現狀:一(yī)些機構疑惑現有的CA電(diàn)子簽名、數據分能保護等和密評是什麽關系?
專家解讀:基于公鑰密碼的電(diàn)子簽名,是當前主鄉懂流的密碼應用技術之一(yī)。行業現階段爲無紙(姐舊zhǐ)化業務而開(kāi)展的電(diàn)子簽名、數據保護等工(還和gōng)作,同樣屬于密碼技術應用,能夠解決重要數據醫說的真實性、完整性和不可否認性,爲合規密碼應用建設打下(森綠xià)了良好基礎。但如前所述,并非一(yī)類密碼應用技術就可解決所有問題,下化因此也不能有“用了電(diàn)子簽名就一(yī物開)定能過密評”的認識。現狀:随着信息化發展,部分(fēn)機構在原有機房計來難以支撐信息化應用的情況下(xià),采用了多機房并行的情況。志放針對此類情況,機構認爲隻對新機房開(kāi)麗風展密碼應用改造,就可以完成密評工(gōng)作。專家解讀:GB/T 39786規定的物(wù)理環境安全要求,是所有物(wù)理環境都需算好要滿足的。因此如果多機房,每個機房都要根據完整的測評單元開(kāi綠匠)展評估工(gōng)作,綜合的物(wù)理環境安全得分(fēn)值是取呢歌加權平均,而非隻有一(yī)個機房合規就能得到全部的女山分(fēn)數。對于高風險項,如果任何一(長什yī)個機房存在高風險,則是“一(yī)票(pi員為ào)否決”。
- 網絡運營者即網絡和信息系統的責任單位(包括兵制建設、使用、管理單位),是密評的被測評單位,應化從當認真履行好密碼安全主體(tǐ)責任,明确密碼安理秒全負責人,制定完善的密碼管理制度,按照要行老求開(kāi)展商(shāng)用密碼應用安全性評估、備案和整改,內自配合密碼管理部門和有關部門的安全檢查。
- 測評機構是密評的執行單位,應當按照有關法律法規和标準要求科學、公正地開公務(kāi)展評估。從事密評工(gōng)作計跳的測評人員(yuán)應當通過國家密碼管理部門(或其授權的機木見構)組織的考核,遵守國家有關法律法規,按照相關标準,爲用戶提供安中他全、客觀、公正的評估服務,保證評估的質量和效果。
- 國家密碼管理部門負責指導、監督和檢查全國的密評工(gō光動ng)作;省(部)密碼管理部門負責指導、監督和檢查本地區、本部門、黑明本行業(系統)的密評工(gōng)作。國家密碼管理部門依據音輛有關規定,組織對測評機構工(gōng)作開(kāi)展情況進行喝城監督檢查。
《信息安全技術 信息系統密碼應用基本要求》(GB/T 39786-2很雜021)是貫徹落實《中(zhōng)華人民共和國密碼法》,指導分畫我(wǒ)(wǒ)國商(shāng)用密碼場身應用與安全性評估工(gōng)作開(kāi)展的綱領性家慢、框架性标準。中(zhōng)國密碼學會密評聯委會發布并持續更新依紙她照GB/T 39786-2021開(kāi)展微員密評的系列指導文件,目前包括5項:GM/T 0115-2021《信息系統密碼應用測評要求》
GM/T 0116-2021《信息系統密碼應用測評過程指南(nán)》
《商(shāng)用密碼應用安全性評估量化評估規則》
《商(shāng)用密碼應用安全性評估報告模闆(2021版)》
另外(wài),2021年新增發布了《商(shāng)用密碼應用安全性評估FAQ》,對于密評工(gōng)作中(zhōng)的常見問題進行了解答。
- 法律、行政法規和國家有關規定要求使用商(shāng)用密碼進行保護的網絡與場化信息系統,其運營者應當使用商(shāng)用密碼進行保護,制定商也討(shāng)用密碼應用方案,配備必要的資(zī)金和專業人員(yuán能土),同步規劃、同步建設、同步運行商(shā北放ng)用密碼保障系統并定期進行密評。
- 密評機構應當經國家密碼管理局認定,依法取得商(shāng腦都)用密碼檢測機構資(zī)質,且資(zī)質認議近定業務範圍載明“商(shāng)用密碼應用安全性評估”。目前密評工(gōn從服g)作仍處于“試點”階段,因此當前公布的是密評“試點”機紅知構名錄。不久的将來随着《商(shāng)用密碼管理條例》《密碼檢測機構管理討志辦法》等制度文件的正式頒布,密評機構認定工(gōng)作将走向常還草态化。
- 包含方案測評、系統測評、運營者支持配合義務、結果備案等。習路
開(kāi)展密碼應用建設應根據責任單位實際情況具體(tǐ)習謝問題具體(tǐ)分(fēn)析,基于GB/T 39冷草786-2021規定的四個技術層面、四個管理層面東但,根據實際安全需求編制密碼應用方案,并針對性選擇密碼産品實現方案中(朋上zhōng)所述的密碼應用措施。安全是核心兵厭目标,在合規的方案指導下(xià)使用密碼技術和密道員碼産品,才能保障核心目标不偏離(lí)。項目建設單位應當同步規劃、同步建設、同步運行密碼保障自新系統并定期進行評估,其中(zhōng)同步規劃的核心是密碼應用方案編制。密碼應讀謝用方案編制是至關重要的環節,好的方案會爲後續的建設指明方向、鋪平道路;如果方生雪案未做好,後期的項目建設将面臨諸多困難和反複。典型的“方案未做好就輛”是沒有對業務進行仔細梳理、對密碼應用需求的詳細分(f裡我ēn)析,而是直接生(shēng)搬硬套密碼應用措施和産品你但,導緻建設時出現無法落地實施的狀況。
隻有正确、合規、有效地使用密碼技術,才能更好地保護網絡安全和數據安全鐘民——密碼用得對不對,需要前期的同步規劃、同步建設、鐘拍同步運行密碼保障系統,然後靠測評來證明。根據GM/T 0115《信息系統密碼應用測評要求》:對于“應”的條款,密評人員(yuán)應按照第5章和第6章相那錯應的測評指标要求進行測評和結果判定;若根據信息系統的密碼應用方案和方案評審意窗學見,判定信息系統确無與某項或某些項測評指标樂影相關的密碼應用需求,則相應測評指标爲“不适窗美用”。對于“宜”的條款,密評人員(yuán)根據信息系統的密碼應用方案和方案評審意見決定是否納木理入标準符合性測評範圍;若信息系統沒有通過評估的密碼應用方案或密鐘請碼應用方案未做明确說明,則“宜”的條款默認納入标準符合性測評範圍嗎年。若納入測評範圍,則密評人員(yuán)應按照第地外6章相應的測評指标要求進行測評和結果判定。否則,密評人員(y船草uán)應根據信息系統的密碼應用方案和方案評審意見,在影匠測評中(zhōng)進一(yī)步核實密碼應用方案中(zhōng)所描西裡述的風險控制措施使用條件在實際的信息系統中(靜那zhōng)是否被滿足,且信息系統的實施情況與所描述的風險控制措雜身施是否一(yī)緻,若滿足使用條件,該測評指标爲“不适用”,并在密碼應用安個暗全性評估報告中(zhōng)體(tǐ)現核實過程和線能結果;若不滿足使用條件,則應按照第6章相應的測評指标要求進行測評和那美結果判定。 對于“可”的條款,由信息系統責任單位自行決定是否納入标準符合性測評訊他範圍。若納入測評範圍,則密評人員(yuán)應按照第6章相應鐘見的測評指标要求進行測評和結果判定;否則,姐件該測評指标 爲“不适用”。根據差距分(fēn)析,進行分(fēn)階段規劃,穩步推進密碼建設。車玩原則上優先解決高風險,再考慮解決中(zhōng)低風險;先解決重要業數我務線,再補充其他;先保護好基礎設施,再考慮構建在其上的應用。
文章來源:等級保護測評
