Image
全國統一服務(wù)熱線(xiàn)
0351-4073466

如何正確“過(guò)密評”?

編輯:2022-05-07 16:39:56

2022年,“密評”(即“商用密碼應用安全性評估”)成了各行業(yè)關(guān)注的熱詞。


在《密碼法》的要求下,在國標《信息安全技術(shù)信息系統密碼應用基本要求》(GB/T 39786-2021)的指導下,各地各行業(yè)積極、嚴謹地開(kāi)展密評工作,將是推動(dòng)密碼應用的良好開(kāi)端。各行業(yè)紛紛出臺了相關(guān)標準、要求,將密評工作提上日程,關(guān)鍵信息基礎設施、政務(wù)信息系統、等保三級以上信息系統建設,都要“過(guò)密評”。

面對各式各樣的產(chǎn)品和眾說(shuō)紛紜的方案,究竟密評該如何過(guò)?應該遵照哪些技術(shù)標準?關(guān)注哪些要點(diǎn)?有哪些誤區?我們帶你一探究竟。





這些“誤區”要辨別



誤區一:業(yè)務(wù)系統零改造,信息系統免集成,即可通過(guò)密評


現狀:有些廠(chǎng)家提出業(yè)務(wù)系統零改造過(guò)密評的方案,還有些密碼服務(wù)廠(chǎng)商抓住了客戶(hù)信息系統改造難度大、成本高的痛點(diǎn),打出“信息系統免集成,即可通過(guò)密評”的宣傳口號。

專(zhuān)家解讀:事實(shí)上信息系統開(kāi)展密評工作主要目的在于推動(dòng)密碼應用的合規性、正確性、有效性。在常見(jiàn)的密碼應用中的安全性問(wèn)題包括:密碼技術(shù)被棄用(例如完全未用密碼)、密碼技術(shù)被亂用(例如簡(jiǎn)化使用密碼協(xié)議導致出現安全漏洞)、密碼技術(shù)被誤用(例如使用固定值而非隨機數作為初始向量)。這一切都指向“用”,即信息系統要正確調用密碼產(chǎn)品、密碼服務(wù)。不針對信息系統實(shí)際情況、重要數據安全需求等加以分析,進(jìn)而適當改造信息系統以“用”密碼,是難以全面保障信息系統安全,也難以通過(guò)密評。

誤區二:忽略應用層,只靠物理、網(wǎng)絡(luò )層也能過(guò)密評


現狀:部分廠(chǎng)商向客戶(hù)提出“應用層不拿分,靠其他幾層拿分也能及格”的說(shuō)辭。

專(zhuān)家解讀:根據《商用密碼應用安全性評估量化評估規則》第6部分整體結論判定,整體量化評估結果是百分制,應用和數據安全占30分。只有達到分數閾值、且沒(méi)有高風(fēng)險項,才能判定被測信息系統基本符合GB/T39786-2021相應等級要求。目前執行的閾值是60分,這意味著(zhù)如果應用和數據層完全不拿分,就只剩下10分的機動(dòng)空間;更重要的是,應用和數據安全涉及5項高風(fēng)險項,如果完全不加以考慮,很容易碰到高風(fēng)險“一票否決”。

誤區三:密評是針對密碼產(chǎn)品的測評


現狀:一些機構疑問(wèn):“如果系統中沒(méi)有應用密碼技術(shù)或密碼產(chǎn)品,是不是就不需要過(guò)密評,或者可以直接通過(guò)密評?”

專(zhuān)家解讀:密評是針對應用方業(yè)務(wù)系統的測評,看密碼是否得到合規、正確、有效的應用,而非針對密碼產(chǎn)品的檢測。按照相關(guān)法律法規規定,關(guān)鍵信息基礎設施、政務(wù)信息系統、等保三級以上信息系統需要同步規劃、同步建設、同步運營(yíng)密碼保障系統,定期進(jìn)行密評,這項要求與其當前是否使用密碼無(wú)關(guān)。如果上述業(yè)務(wù)系統完全未用到密碼,那么在密評中“高風(fēng)險項”是肯定存在的,因而肯定無(wú)法通過(guò)密評。

誤區四:劃定測評對象范圍模糊


現狀:一些機構疑惑等保定級的范圍和密評范圍是否一致,在做密碼測評的時(shí)候是要所有的系統測試通過(guò)才算通過(guò)密評嗎?如何劃定測評對象范圍?

專(zhuān)家解讀:密評當前沒(méi)有獨立的定級,而是依賴(lài)等保定級的。因而在劃定測評范圍的時(shí)候,原則上應與等保定級的范圍一致。如果等保定級系統里有多個(gè)應用或多個(gè)子系統,密評時(shí)會(huì )針對每個(gè)應用或子系統都做測評,最終分數判定需綜合考慮所有應用或子系統在相應層次的密碼應用情況。詳情可參照GM/T 0115《信息系統密碼應用測評要求》。

誤區五:采購一些密碼設備并部署上,就滿(mǎn)足了密評要求


現狀:開(kāi)展密評工作必然離不開(kāi)密碼設備的建設工作,密碼設備的采購數量、采購金額必然是各行業(yè)關(guān)注的重點(diǎn)之一。部分密碼設備廠(chǎng)商基于自身產(chǎn)品推廣,宣稱(chēng)“采購一些密碼設備、一類(lèi)產(chǎn)品即可通過(guò)密碼應用測評” 。

專(zhuān)家解讀:密評工作的目標是“以評促用”,脫離信息系統的當前狀況去談產(chǎn)品的配用是不科學(xué)的。對于已建的信息系統,首先開(kāi)展差距分析,梳理保護對象、應用場(chǎng)景及防護現狀,總結當前差距形成密碼應用需求,根據密碼應用需求設計密碼應用措施,才能談得上需要什么樣的產(chǎn)品來(lái)實(shí)現這些措施。

誤區六:包過(guò)密評?


現狀:密評工作對于各行業(yè)來(lái)說(shuō)屬于新業(yè)務(wù)、新要求,在缺乏有效參考經(jīng)驗的情況下,一些銷(xiāo)售人員為了爭取商業(yè)機會(huì ),打出“包過(guò)密評”包票。

專(zhuān)家解讀:這樣的宣傳雖然可能給了用戶(hù)通過(guò)“密評”的信心,但能否通過(guò)密評,是由正規測評機構給出結論為標志的。密碼測評機構絕不會(huì )在尚未了解任何情況之前就去判定“符合”;同樣的,協(xié)助用戶(hù)做密碼應用的廠(chǎng)商,也只有在充分了解用戶(hù)業(yè)務(wù)、梳理密碼應用需求之后,才能明確有哪些GB/T 39786規定的密碼應用要求未得到滿(mǎn)足,此前的“包票”都只能是噱頭。即便明確了需求,是否能夠設計出既滿(mǎn)足了密碼應用需求、又不對業(yè)務(wù)造成太大影響的技術(shù)措施,仍是要具體問(wèn)題具體分析??茖W(xué)的說(shuō)法,是專(zhuān)業(yè)密碼廠(chǎng)商會(huì )竭盡所能幫助用戶(hù)通過(guò)“密評”,但在未充分了解情況之前的“包票”,都是過(guò)于夸張的。

誤區七:已建設的CA認證產(chǎn)品和密評關(guān)系認知不明


現狀:一些機構疑惑現有的CA電子簽名、數據保護等和密評是什么關(guān)系?

專(zhuān)家解讀:基于公鑰密碼的電子簽名,是當前主流的密碼應用技術(shù)之一。行業(yè)現階段為無(wú)紙化業(yè)務(wù)而開(kāi)展的電子簽名、數據保護等工作,同樣屬于密碼技術(shù)應用,能夠解決重要數據的真實(shí)性、完整性和不可否認性,為合規密碼應用建設打下了良好基礎。但如前所述,并非一類(lèi)密碼應用技術(shù)就可解決所有問(wèn)題,因此也不能有“用了電子簽名就一定能過(guò)密評”的認識。

誤區八:只用對新機房進(jìn)行密碼應用改造


現狀:隨著(zhù)信息化發(fā)展,部分機構在原有機房難以支撐信息化應用的情況下,采用了多機房并行的情況。針對此類(lèi)情況,機構認為只對新機房開(kāi)展密碼應用改造,就可以完成密評工作。

專(zhuān)家解讀:GB/T 39786規定的物理環(huán)境安全要求,是所有物理環(huán)境都需要滿(mǎn)足的。因此如果多機房,每個(gè)機房都要根據完整的測評單元開(kāi)展評估工作,綜合的物理環(huán)境安全得分值是取加權平均,而非只有一個(gè)機房合規就能得到全部的分數。對于高風(fēng)險項,如果任何一個(gè)機房存在高風(fēng)險,則是“一票否決”。





這些“要點(diǎn)”要掌握



01

密評工作的參與方及職責


  • 責任單位:
    網(wǎng)絡(luò )運營(yíng)者即網(wǎng)絡(luò )和信息系統的責任單位(包括建設、使用、管理單位),是密評的被測評單位,應當認真履行好密碼安全主體責任,明確密碼安全負責人,制定完善的密碼管理制度,按照要求開(kāi)展商用密碼應用安全性評估、備案和整改,配合密碼管理部門(mén)和有關(guān)部門(mén)的安全檢查。
  • 測評機構:
    測評機構是密評的執行單位,應當按照有關(guān)法律法規和標準要求科學(xué)、公正地開(kāi)展評估。從事密評工作的測評人員應當通過(guò)國家密碼管理部門(mén)(或其授權的機構)組織的考核,遵守國家有關(guān)法律法規,按照相關(guān)標準,為用戶(hù)提供安全、客觀(guān)、公正的評估服務(wù),保證評估的質(zhì)量和效果。
  • 密碼管理部門(mén)
    國家密碼管理部門(mén)負責指導、監督和檢查全國的密評工作;?。ú浚┟艽a管理部門(mén)負責指導、監督和檢查本地區、本部門(mén)、本行業(yè)(系統)的密評工作。國家密碼管理部門(mén)依據有關(guān)規定,組織對測評機構工作開(kāi)展情況進(jìn)行監督檢查。


02

遵循的技術(shù)標準



《信息安全技術(shù) 信息系統密碼應用基本要求》(GB/T 39786-2021)是貫徹落實(shí)《中華人民共和國密碼法》,指導我國商用密碼應用與安全性評估工作開(kāi)展的綱領(lǐng)性、框架性標準。中國密碼學(xué)會(huì )密評聯(lián)委會(huì )發(fā)布并持續更新依照GB/T 39786-2021開(kāi)展密評的系列指導文件,目前包括5項:

01

GM/T 0115-2021《信息系統密碼應用測評要求》

02

GM/T 0116-2021《信息系統密碼應用測評過(guò)程指南》

03

《信息系統密碼應用高風(fēng)險判定指引》

04

《商用密碼應用安全性評估量化評估規則》

05

《商用密碼應用安全性評估報告模板(2021版)》

另外,2021年新增發(fā)布了《商用密碼應用安全性評估FAQ》,對于密評工作中的常見(jiàn)問(wèn)題進(jìn)行了解答。

03

密評的基本要求和程序設計



  • 范圍要求:
    法律、行政法規和國家有關(guān)規定要求使用商用密碼進(jìn)行保護的網(wǎng)絡(luò )與信息系統,其運營(yíng)者應當使用商用密碼進(jìn)行保護,制定商用密碼應用方案,配備必要的資金和專(zhuān)業(yè)人員,同步規劃、同步建設、同步運行商用密碼保障系統并定期進(jìn)行密評。
  • 機構性質(zhì):
    密評機構應當經(jīng)國家密碼管理局認定,依法取得商用密碼檢測機構資質(zhì),且資質(zhì)認定業(yè)務(wù)范圍載明“商用密碼應用安全性評估”。目前密評工作仍處于“試點(diǎn)”階段,因此當前公布的是密評“試點(diǎn)”機構名錄。不久的將來(lái)隨著(zhù)《商用密碼管理條例》《密碼檢測機構管理辦法》等制度文件的正式頒布,密評機構認定工作將走向常態(tài)化。
  • 實(shí)施要求:
    包含方案測評、系統測評、運營(yíng)者支持配合義務(wù)、結果備案等。
  • 信息系統密碼應用基本要求:如圖所示

 
圖片

04

選擇密碼產(chǎn)品的依據



開(kāi)展密碼應用建設應根據責任單位實(shí)際情況具體問(wèn)題具體分析,基于GB/T 39786-2021規定的四個(gè)技術(shù)層面、四個(gè)管理層面,根據實(shí)際安全需求編制密碼應用方案,并針對性選擇密碼產(chǎn)品實(shí)現方案中所述的密碼應用措施。安全是核心目標,在合規的方案指導下使用密碼技術(shù)和密碼產(chǎn)品,才能保障核心目標不偏離。

05

密評工作關(guān)注的重點(diǎn)



(1)遵循“三同步,一評估”原則




項目建設單位應當同步規劃、同步建設、同步運行密碼保障系統并定期進(jìn)行評估,其中同步規劃的核心是密碼應用方案編制。密碼應用方案編制是至關(guān)重要的環(huán)節,好的方案會(huì )為后續的建設指明方向、鋪平道路;如果方案未做好,后期的項目建設將面臨諸多困難和反復。典型的“方案未做好”是沒(méi)有對業(yè)務(wù)進(jìn)行仔細梳理、對密碼應用需求的詳細分析,而是直接生搬硬套密碼應用措施和產(chǎn)品,導致建設時(shí)出現無(wú)法落地實(shí)施的狀況。

(2)把握“以評促用”的指導思想




只有正確、合規、有效地使用密碼技術(shù),才能更好地保護網(wǎng)絡(luò )安全和數據安全——密碼用得對不對,需要前期的同步規劃、同步建設、同步運行密碼保障系統,然后靠測評來(lái)證明。

(3)對“應”“宜”“可”的把握




根據GM/T 0115《信息系統密碼應用測評要求》:

對于“應”的條款,密評人員應按照第5章和第6章相應的測評指標要求進(jìn)行測評和結果判定;若根據信息系統的密碼應用方案和方案評審意見(jiàn),判定信息系統確無(wú)與某項或某些項測評指標相關(guān)的密碼應用需求,則相應測評指標為“不適用”。

對于“宜”的條款,密評人員根據信息系統的密碼應用方案和方案評審意見(jiàn)決定是否納入標準符合性測評范圍;若信息系統沒(méi)有通過(guò)評估的密碼應用方案或密碼應用方案未做明確說(shuō)明,則“宜”的條款默認納入標準符合性測評范圍。若納入測評范圍,則密評人員應按照第6章相應的測評指標要求進(jìn)行測評和結果判定。否則,密評人員應根據信息系統的密碼應用方案和方案評審意見(jiàn),在測評中進(jìn)一步核實(shí)密碼應用方案中所描述的風(fēng)險控制措施使用條件在實(shí)際的信息系統中是否被滿(mǎn)足,且信息系統的實(shí)施情況與所描述的風(fēng)險控制措施是否一致,若滿(mǎn)足使用條件,該測評指標為“不適用”,并在密碼應用安全性評估報告中體現核實(shí)過(guò)程和結果;若不滿(mǎn)足使用條件,則應按照第6章相應的測評指標要求進(jìn)行測評和結果判定。 

對于“可”的條款,由信息系統責任單位自行決定是否納入標準符合性測評范圍。若納入測評范圍,則密評人員應按照第6章相應的測評指標要求進(jìn)行測評和結果判定;否則,該測評指標 為“不適用”。

(4)尊重客觀(guān)規律




根據差距分析,進(jìn)行分階段規劃,穩步推進(jìn)密碼建設。原則上優(yōu)先解決高風(fēng)險,再考慮解決中低風(fēng)險;先解決重要業(yè)務(wù)線(xiàn),再補充其他;先保護好基礎設施,再考慮構建在其上的應用。

文章來(lái)源:等級保護測評


Image
Image
版權所有:山西科信源科技股份有限公司
咨詢(xún)熱線(xiàn):0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區)太原市小店區南中環(huán)街529 號清控創(chuàng )新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F