Image
全國(guó)統(tǒng)一服務(wù)熱線
0351-4073466

如何正確“過(guò)密評(píng)”?

編輯:2022-05-07 16:39:56

2022年,“密評(píng)”(即“商用密碼應(yīng)用安全性評(píng)估”)成了各行業(yè)關(guān)注的熱詞。


在《密碼法》的要求下,在國(guó)標(biāo)《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》(GB/T 39786-2021)的指導(dǎo)下,各地各行業(yè)積極、嚴(yán)謹(jǐn)?shù)亻_(kāi)展密評(píng)工作,將是推動(dòng)密碼應(yīng)用的良好開(kāi)端。各行業(yè)紛紛出臺(tái)了相關(guān)標(biāo)準(zhǔn)、要求,將密評(píng)工作提上日程,關(guān)鍵信息基礎(chǔ)設(shè)施、政務(wù)信息系統(tǒng)、等保三級(jí)以上信息系統(tǒng)建設(shè),都要“過(guò)密評(píng)”。

面對(duì)各式各樣的產(chǎn)品和眾說(shuō)紛紜的方案,究竟密評(píng)該如何過(guò)?應(yīng)該遵照哪些技術(shù)標(biāo)準(zhǔn)?關(guān)注哪些要點(diǎn)?有哪些誤區(qū)?我們帶你一探究竟。





這些“誤區(qū)”要辨別



誤區(qū)一:業(yè)務(wù)系統(tǒng)零改造,信息系統(tǒng)免集成,即可通過(guò)密評(píng)


現(xiàn)狀:有些廠家提出業(yè)務(wù)系統(tǒng)零改造過(guò)密評(píng)的方案,還有些密碼服務(wù)廠商抓住了客戶信息系統(tǒng)改造難度大、成本高的痛點(diǎn),打出“信息系統(tǒng)免集成,即可通過(guò)密評(píng)”的宣傳口號(hào)。

專家解讀:事實(shí)上信息系統(tǒng)開(kāi)展密評(píng)工作主要目的在于推動(dòng)密碼應(yīng)用的合規(guī)性、正確性、有效性。在常見(jiàn)的密碼應(yīng)用中的安全性問(wèn)題包括:密碼技術(shù)被棄用(例如完全未用密碼)、密碼技術(shù)被亂用(例如簡(jiǎn)化使用密碼協(xié)議導(dǎo)致出現(xiàn)安全漏洞)、密碼技術(shù)被誤用(例如使用固定值而非隨機(jī)數(shù)作為初始向量)。這一切都指向“用”,即信息系統(tǒng)要正確調(diào)用密碼產(chǎn)品、密碼服務(wù)。不針對(duì)信息系統(tǒng)實(shí)際情況、重要數(shù)據(jù)安全需求等加以分析,進(jìn)而適當(dāng)改造信息系統(tǒng)以“用”密碼,是難以全面保障信息系統(tǒng)安全,也難以通過(guò)密評(píng)。

誤區(qū)二:忽略應(yīng)用層,只靠物理、網(wǎng)絡(luò)層也能過(guò)密評(píng)


現(xiàn)狀:部分廠商向客戶提出“應(yīng)用層不拿分,靠其他幾層拿分也能及格”的說(shuō)辭。

專家解讀:根據(jù)《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》第6部分整體結(jié)論判定,整體量化評(píng)估結(jié)果是百分制,應(yīng)用和數(shù)據(jù)安全占30分。只有達(dá)到分?jǐn)?shù)閾值、且沒(méi)有高風(fēng)險(xiǎn)項(xiàng),才能判定被測(cè)信息系統(tǒng)基本符合GB/T39786-2021相應(yīng)等級(jí)要求。目前執(zhí)行的閾值是60分,這意味著如果應(yīng)用和數(shù)據(jù)層完全不拿分,就只剩下10分的機(jī)動(dòng)空間;更重要的是,應(yīng)用和數(shù)據(jù)安全涉及5項(xiàng)高風(fēng)險(xiǎn)項(xiàng),如果完全不加以考慮,很容易碰到高風(fēng)險(xiǎn)“一票否決”。

誤區(qū)三:密評(píng)是針對(duì)密碼產(chǎn)品的測(cè)評(píng)


現(xiàn)狀:一些機(jī)構(gòu)疑問(wèn):“如果系統(tǒng)中沒(méi)有應(yīng)用密碼技術(shù)或密碼產(chǎn)品,是不是就不需要過(guò)密評(píng),或者可以直接通過(guò)密評(píng)?”

專家解讀:密評(píng)是針對(duì)應(yīng)用方業(yè)務(wù)系統(tǒng)的測(cè)評(píng),看密碼是否得到合規(guī)、正確、有效的應(yīng)用,而非針對(duì)密碼產(chǎn)品的檢測(cè)。按照相關(guān)法律法規(guī)規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施、政務(wù)信息系統(tǒng)、等保三級(jí)以上信息系統(tǒng)需要同步規(guī)劃、同步建設(shè)、同步運(yùn)營(yíng)密碼保障系統(tǒng),定期進(jìn)行密評(píng),這項(xiàng)要求與其當(dāng)前是否使用密碼無(wú)關(guān)。如果上述業(yè)務(wù)系統(tǒng)完全未用到密碼,那么在密評(píng)中“高風(fēng)險(xiǎn)項(xiàng)”是肯定存在的,因而肯定無(wú)法通過(guò)密評(píng)。

誤區(qū)四:劃定測(cè)評(píng)對(duì)象范圍模糊


現(xiàn)狀:一些機(jī)構(gòu)疑惑等保定級(jí)的范圍和密評(píng)范圍是否一致,在做密碼測(cè)評(píng)的時(shí)候是要所有的系統(tǒng)測(cè)試通過(guò)才算通過(guò)密評(píng)嗎?如何劃定測(cè)評(píng)對(duì)象范圍?

專家解讀:密評(píng)當(dāng)前沒(méi)有獨(dú)立的定級(jí),而是依賴等保定級(jí)的。因而在劃定測(cè)評(píng)范圍的時(shí)候,原則上應(yīng)與等保定級(jí)的范圍一致。如果等保定級(jí)系統(tǒng)里有多個(gè)應(yīng)用或多個(gè)子系統(tǒng),密評(píng)時(shí)會(huì)針對(duì)每個(gè)應(yīng)用或子系統(tǒng)都做測(cè)評(píng),最終分?jǐn)?shù)判定需綜合考慮所有應(yīng)用或子系統(tǒng)在相應(yīng)層次的密碼應(yīng)用情況。詳情可參照GM/T 0115《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》。

誤區(qū)五:采購(gòu)一些密碼設(shè)備并部署上,就滿足了密評(píng)要求


現(xiàn)狀:開(kāi)展密評(píng)工作必然離不開(kāi)密碼設(shè)備的建設(shè)工作,密碼設(shè)備的采購(gòu)數(shù)量、采購(gòu)金額必然是各行業(yè)關(guān)注的重點(diǎn)之一。部分密碼設(shè)備廠商基于自身產(chǎn)品推廣,宣稱“采購(gòu)一些密碼設(shè)備、一類產(chǎn)品即可通過(guò)密碼應(yīng)用測(cè)評(píng)” 。

專家解讀:密評(píng)工作的目標(biāo)是“以評(píng)促用”,脫離信息系統(tǒng)的當(dāng)前狀況去談產(chǎn)品的配用是不科學(xué)的。對(duì)于已建的信息系統(tǒng),首先開(kāi)展差距分析,梳理保護(hù)對(duì)象、應(yīng)用場(chǎng)景及防護(hù)現(xiàn)狀,總結(jié)當(dāng)前差距形成密碼應(yīng)用需求,根據(jù)密碼應(yīng)用需求設(shè)計(jì)密碼應(yīng)用措施,才能談得上需要什么樣的產(chǎn)品來(lái)實(shí)現(xiàn)這些措施。

誤區(qū)六:包過(guò)密評(píng)?


現(xiàn)狀:密評(píng)工作對(duì)于各行業(yè)來(lái)說(shuō)屬于新業(yè)務(wù)、新要求,在缺乏有效參考經(jīng)驗(yàn)的情況下,一些銷售人員為了爭(zhēng)取商業(yè)機(jī)會(huì),打出“包過(guò)密評(píng)”包票。

專家解讀:這樣的宣傳雖然可能給了用戶通過(guò)“密評(píng)”的信心,但能否通過(guò)密評(píng),是由正規(guī)測(cè)評(píng)機(jī)構(gòu)給出結(jié)論為標(biāo)志的。密碼測(cè)評(píng)機(jī)構(gòu)絕不會(huì)在尚未了解任何情況之前就去判定“符合”;同樣的,協(xié)助用戶做密碼應(yīng)用的廠商,也只有在充分了解用戶業(yè)務(wù)、梳理密碼應(yīng)用需求之后,才能明確有哪些GB/T 39786規(guī)定的密碼應(yīng)用要求未得到滿足,此前的“包票”都只能是噱頭。即便明確了需求,是否能夠設(shè)計(jì)出既滿足了密碼應(yīng)用需求、又不對(duì)業(yè)務(wù)造成太大影響的技術(shù)措施,仍是要具體問(wèn)題具體分析??茖W(xué)的說(shuō)法,是專業(yè)密碼廠商會(huì)竭盡所能幫助用戶通過(guò)“密評(píng)”,但在未充分了解情況之前的“包票”,都是過(guò)于夸張的。

誤區(qū)七:已建設(shè)的CA認(rèn)證產(chǎn)品和密評(píng)關(guān)系認(rèn)知不明


現(xiàn)狀:一些機(jī)構(gòu)疑惑現(xiàn)有的CA電子簽名、數(shù)據(jù)保護(hù)等和密評(píng)是什么關(guān)系?

專家解讀:基于公鑰密碼的電子簽名,是當(dāng)前主流的密碼應(yīng)用技術(shù)之一。行業(yè)現(xiàn)階段為無(wú)紙化業(yè)務(wù)而開(kāi)展的電子簽名、數(shù)據(jù)保護(hù)等工作,同樣屬于密碼技術(shù)應(yīng)用,能夠解決重要數(shù)據(jù)的真實(shí)性、完整性和不可否認(rèn)性,為合規(guī)密碼應(yīng)用建設(shè)打下了良好基礎(chǔ)。但如前所述,并非一類密碼應(yīng)用技術(shù)就可解決所有問(wèn)題,因此也不能有“用了電子簽名就一定能過(guò)密評(píng)”的認(rèn)識(shí)。

誤區(qū)八:只用對(duì)新機(jī)房進(jìn)行密碼應(yīng)用改造


現(xiàn)狀:隨著信息化發(fā)展,部分機(jī)構(gòu)在原有機(jī)房難以支撐信息化應(yīng)用的情況下,采用了多機(jī)房并行的情況。針對(duì)此類情況,機(jī)構(gòu)認(rèn)為只對(duì)新機(jī)房開(kāi)展密碼應(yīng)用改造,就可以完成密評(píng)工作。

專家解讀:GB/T 39786規(guī)定的物理環(huán)境安全要求,是所有物理環(huán)境都需要滿足的。因此如果多機(jī)房,每個(gè)機(jī)房都要根據(jù)完整的測(cè)評(píng)單元開(kāi)展評(píng)估工作,綜合的物理環(huán)境安全得分值是取加權(quán)平均,而非只有一個(gè)機(jī)房合規(guī)就能得到全部的分?jǐn)?shù)。對(duì)于高風(fēng)險(xiǎn)項(xiàng),如果任何一個(gè)機(jī)房存在高風(fēng)險(xiǎn),則是“一票否決”。





這些“要點(diǎn)”要掌握



01

密評(píng)工作的參與方及職責(zé)


  • 責(zé)任單位:
    網(wǎng)絡(luò)運(yùn)營(yíng)者即網(wǎng)絡(luò)和信息系統(tǒng)的責(zé)任單位(包括建設(shè)、使用、管理單位),是密評(píng)的被測(cè)評(píng)單位,應(yīng)當(dāng)認(rèn)真履行好密碼安全主體責(zé)任,明確密碼安全負(fù)責(zé)人,制定完善的密碼管理制度,按照要求開(kāi)展商用密碼應(yīng)用安全性評(píng)估、備案和整改,配合密碼管理部門和有關(guān)部門的安全檢查。
  • 測(cè)評(píng)機(jī)構(gòu):
    測(cè)評(píng)機(jī)構(gòu)是密評(píng)的執(zhí)行單位,應(yīng)當(dāng)按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)要求科學(xué)、公正地開(kāi)展評(píng)估。從事密評(píng)工作的測(cè)評(píng)人員應(yīng)當(dāng)通過(guò)國(guó)家密碼管理部門(或其授權(quán)的機(jī)構(gòu))組織的考核,遵守國(guó)家有關(guān)法律法規(guī),按照相關(guān)標(biāo)準(zhǔn),為用戶提供安全、客觀、公正的評(píng)估服務(wù),保證評(píng)估的質(zhì)量和效果。
  • 密碼管理部門
    國(guó)家密碼管理部門負(fù)責(zé)指導(dǎo)、監(jiān)督和檢查全國(guó)的密評(píng)工作;省(部)密碼管理部門負(fù)責(zé)指導(dǎo)、監(jiān)督和檢查本地區(qū)、本部門、本行業(yè)(系統(tǒng))的密評(píng)工作。國(guó)家密碼管理部門依據(jù)有關(guān)規(guī)定,組織對(duì)測(cè)評(píng)機(jī)構(gòu)工作開(kāi)展情況進(jìn)行監(jiān)督檢查。


02

遵循的技術(shù)標(biāo)準(zhǔn)



《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》(GB/T 39786-2021)是貫徹落實(shí)《中華人民共和國(guó)密碼法》,指導(dǎo)我國(guó)商用密碼應(yīng)用與安全性評(píng)估工作開(kāi)展的綱領(lǐng)性、框架性標(biāo)準(zhǔn)。中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)發(fā)布并持續(xù)更新依照GB/T 39786-2021開(kāi)展密評(píng)的系列指導(dǎo)文件,目前包括5項(xiàng):

01

GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》

02

GM/T 0116-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南》

03

《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》

04

《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》

05

《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板(2021版)》

另外,2021年新增發(fā)布了《商用密碼應(yīng)用安全性評(píng)估FAQ》,對(duì)于密評(píng)工作中的常見(jiàn)問(wèn)題進(jìn)行了解答。

03

密評(píng)的基本要求和程序設(shè)計(jì)



  • 范圍要求:
    法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng),其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),制定商用密碼應(yīng)用方案,配備必要的資金和專業(yè)人員,同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)并定期進(jìn)行密評(píng)。
  • 機(jī)構(gòu)性質(zhì):
    密評(píng)機(jī)構(gòu)應(yīng)當(dāng)經(jīng)國(guó)家密碼管理局認(rèn)定,依法取得商用密碼檢測(cè)機(jī)構(gòu)資質(zhì),且資質(zhì)認(rèn)定業(yè)務(wù)范圍載明“商用密碼應(yīng)用安全性評(píng)估”。目前密評(píng)工作仍處于“試點(diǎn)”階段,因此當(dāng)前公布的是密評(píng)“試點(diǎn)”機(jī)構(gòu)名錄。不久的將來(lái)隨著《商用密碼管理?xiàng)l例》《密碼檢測(cè)機(jī)構(gòu)管理辦法》等制度文件的正式頒布,密評(píng)機(jī)構(gòu)認(rèn)定工作將走向常態(tài)化。
  • 實(shí)施要求:
    包含方案測(cè)評(píng)、系統(tǒng)測(cè)評(píng)、運(yùn)營(yíng)者支持配合義務(wù)、結(jié)果備案等。
  • 信息系統(tǒng)密碼應(yīng)用基本要求:如圖所示

 
圖片

04

選擇密碼產(chǎn)品的依據(jù)



開(kāi)展密碼應(yīng)用建設(shè)應(yīng)根據(jù)責(zé)任單位實(shí)際情況具體問(wèn)題具體分析,基于GB/T 39786-2021規(guī)定的四個(gè)技術(shù)層面、四個(gè)管理層面,根據(jù)實(shí)際安全需求編制密碼應(yīng)用方案,并針對(duì)性選擇密碼產(chǎn)品實(shí)現(xiàn)方案中所述的密碼應(yīng)用措施。安全是核心目標(biāo),在合規(guī)的方案指導(dǎo)下使用密碼技術(shù)和密碼產(chǎn)品,才能保障核心目標(biāo)不偏離。

05

密評(píng)工作關(guān)注的重點(diǎn)



(1)遵循“三同步,一評(píng)估”原則




項(xiàng)目建設(shè)單位應(yīng)當(dāng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評(píng)估,其中同步規(guī)劃的核心是密碼應(yīng)用方案編制。密碼應(yīng)用方案編制是至關(guān)重要的環(huán)節(jié),好的方案會(huì)為后續(xù)的建設(shè)指明方向、鋪平道路;如果方案未做好,后期的項(xiàng)目建設(shè)將面臨諸多困難和反復(fù)。典型的“方案未做好”是沒(méi)有對(duì)業(yè)務(wù)進(jìn)行仔細(xì)梳理、對(duì)密碼應(yīng)用需求的詳細(xì)分析,而是直接生搬硬套密碼應(yīng)用措施和產(chǎn)品,導(dǎo)致建設(shè)時(shí)出現(xiàn)無(wú)法落地實(shí)施的狀況。

(2)把握“以評(píng)促用”的指導(dǎo)思想




只有正確、合規(guī)、有效地使用密碼技術(shù),才能更好地保護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)安全——密碼用得對(duì)不對(duì),需要前期的同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng),然后靠測(cè)評(píng)來(lái)證明。

(3)對(duì)“應(yīng)”“宜”“可”的把握




根據(jù)GM/T 0115《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》:

對(duì)于“應(yīng)”的條款,密評(píng)人員應(yīng)按照第5章和第6章相應(yīng)的測(cè)評(píng)指標(biāo)要求進(jìn)行測(cè)評(píng)和結(jié)果判定;若根據(jù)信息系統(tǒng)的密碼應(yīng)用方案和方案評(píng)審意見(jiàn),判定信息系統(tǒng)確無(wú)與某項(xiàng)或某些項(xiàng)測(cè)評(píng)指標(biāo)相關(guān)的密碼應(yīng)用需求,則相應(yīng)測(cè)評(píng)指標(biāo)為“不適用”。

對(duì)于“宜”的條款,密評(píng)人員根據(jù)信息系統(tǒng)的密碼應(yīng)用方案和方案評(píng)審意見(jiàn)決定是否納入標(biāo)準(zhǔn)符合性測(cè)評(píng)范圍;若信息系統(tǒng)沒(méi)有通過(guò)評(píng)估的密碼應(yīng)用方案或密碼應(yīng)用方案未做明確說(shuō)明,則“宜”的條款默認(rèn)納入標(biāo)準(zhǔn)符合性測(cè)評(píng)范圍。若納入測(cè)評(píng)范圍,則密評(píng)人員應(yīng)按照第6章相應(yīng)的測(cè)評(píng)指標(biāo)要求進(jìn)行測(cè)評(píng)和結(jié)果判定。否則,密評(píng)人員應(yīng)根據(jù)信息系統(tǒng)的密碼應(yīng)用方案和方案評(píng)審意見(jiàn),在測(cè)評(píng)中進(jìn)一步核實(shí)密碼應(yīng)用方案中所描述的風(fēng)險(xiǎn)控制措施使用條件在實(shí)際的信息系統(tǒng)中是否被滿足,且信息系統(tǒng)的實(shí)施情況與所描述的風(fēng)險(xiǎn)控制措施是否一致,若滿足使用條件,該測(cè)評(píng)指標(biāo)為“不適用”,并在密碼應(yīng)用安全性評(píng)估報(bào)告中體現(xiàn)核實(shí)過(guò)程和結(jié)果;若不滿足使用條件,則應(yīng)按照第6章相應(yīng)的測(cè)評(píng)指標(biāo)要求進(jìn)行測(cè)評(píng)和結(jié)果判定。 

對(duì)于“可”的條款,由信息系統(tǒng)責(zé)任單位自行決定是否納入標(biāo)準(zhǔn)符合性測(cè)評(píng)范圍。若納入測(cè)評(píng)范圍,則密評(píng)人員應(yīng)按照第6章相應(yīng)的測(cè)評(píng)指標(biāo)要求進(jìn)行測(cè)評(píng)和結(jié)果判定;否則,該測(cè)評(píng)指標(biāo) 為“不適用”。

(4)尊重客觀規(guī)律




根據(jù)差距分析,進(jìn)行分階段規(guī)劃,穩(wěn)步推進(jìn)密碼建設(shè)。原則上優(yōu)先解決高風(fēng)險(xiǎn),再考慮解決中低風(fēng)險(xiǎn);先解決重要業(yè)務(wù)線,再補(bǔ)充其他;先保護(hù)好基礎(chǔ)設(shè)施,再考慮構(gòu)建在其上的應(yīng)用。

文章來(lái)源:等級(jí)保護(hù)測(cè)評(píng)


Image
Image
版權(quán)所有:山西科信源信息科技有限公司??
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號(hào)文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號(hào)清控創(chuàng)新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號(hào) 技術(shù)支持 - 資??萍技瘓F(tuán)