Image
全國統一服務(wù)熱線(xiàn)
0351-4073466

建立完善商用密碼應用安全性評估體系,推動(dòng)商用密碼規范應用

編輯:2023-06-09 08:52:45

2020年起實(shí)施的《中華人民共和國密碼法》(以下簡(jiǎn)稱(chēng)《密碼法》)明確規定了商用密碼應用安全性評估(以下簡(jiǎn)稱(chēng)密評)有關(guān)要求,新修訂的《商用密碼管理條例》(以下簡(jiǎn)稱(chēng)《條例》)進(jìn)一步細化了相關(guān)規定。密評對我國商用密碼應用和管理工作具有重要的推動(dòng)和規范作用,其體系也在不斷發(fā)展和完善過(guò)程中。


一、商用密碼應用安全性評估體系初步建立

2007年,國家密碼管理局印發(fā)《信息安全等級保護商用密碼管理辦法》,成為密評工作的肇始和開(kāi)端。2017年,國家密碼管理局印發(fā)《關(guān)于開(kāi)展密碼應用安全性評估試點(diǎn)工作的通知》,密評工作走上了發(fā)展快車(chē)道,密評體系建設在法律法規、標準規范、機構培育等方面取得了長(cháng)足的進(jìn)展,科學(xué)性和規范性不斷提升。

(一)體制機制與法規依據逐步成熟規范

《密碼法》首次確立了密評工作的法律地位?!睹艽a法》第二十七條對關(guān)鍵信息基礎設施使用商用密碼和開(kāi)展密評提出了明確要求,并在第三十七條對違反該要求的行為明確了罰則,這從根本上建立起了密評制度,也是開(kāi)展密評工作最基本的法律依據。隨著(zhù)《密碼法》的貫徹實(shí)施,密評工作也得到了越來(lái)越多的關(guān)注和認可,成為了密碼應用推進(jìn)工作的重要抓手。

新修訂的《條例》對密評工作提出了更加具體和細化的要求。在落實(shí)《密碼法》要求的基礎上,《條例》第三十八條進(jìn)一步明確了關(guān)鍵信息基礎設施“三同步”、每年定期評估以及備案管理的具體要求:“……運營(yíng)者應當使用商用密碼進(jìn)行保護,制定商用密碼應用方案,配備必要的資金和專(zhuān)業(yè)人員,同步規劃、同步建設、同步運行商用密碼保障系統,自行或者委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估?!?,運行后每年至少進(jìn)行一次評估,評估情況按照國家有關(guān)規定報送國家密碼管理部門(mén)或者關(guān)鍵信息基礎設施所在地省、自治區、直轄市密碼管理部門(mén)備案?!睂τ谂c網(wǎng)絡(luò )安全等級保護制度的銜接,《條例》第四十一條規定:“網(wǎng)絡(luò )運營(yíng)者應當按照國家網(wǎng)絡(luò )安全等級保護制度要求,使用商用密碼保護網(wǎng)絡(luò )安全。國家密碼管理部門(mén)根據網(wǎng)絡(luò )的安全保護等級,確定商用密碼的使用、管理和應用安全性評估要求,制定網(wǎng)絡(luò )安全等級保護密碼標準規范?!边@及時(shí)回應了社會(huì )對于等級保護對象開(kāi)展密碼應用與安全性評估的關(guān)切,為等級保護對象開(kāi)展密評提供了基本遵循。

除了《密碼法》和《條例》外,相關(guān)部門(mén)規章和規范性文件也對密碼應用和密評作出了明確規定,包括國務(wù)院辦公廳印發(fā)的《國家政務(wù)信息化項目建設管理辦法》、公安部印發(fā)的《貫徹落實(shí)網(wǎng)絡(luò )安全等級保護制度和關(guān)鍵信息基礎設施安全保護制度的指導意見(jiàn)》、財政部印發(fā)的《政務(wù)信息系統政府采購管理暫行辦法》等,與上述法律法規一起,共同構成了密評工作的法律依據和制度支撐。

(二)技術(shù)體系與標準規范不斷健全完善

2018年初,為指導密評試點(diǎn)工作開(kāi)展,國家密碼管理局發(fā)布了密碼行業(yè)標準GM/T-0054《信息系統密碼應用基本要求》。2018年以來(lái),基于GM/T-0054開(kāi)展的密碼應用和安全性評估工作,充分驗證了密評工作的科學(xué)性和可行性。該標準也在2021年上升為國家標準GB/T-39786《信息安全技術(shù) 信息系統密碼應用基本要求》,結合密評工作實(shí)踐對內容進(jìn)行了優(yōu)化,更為科學(xué)合理。

為了配合GB/T-39786的實(shí)施,更好地指導和規范密評活動(dòng),中國密碼學(xué)會(huì )密評聯(lián)委會(huì )組織制定了《信息系統密碼應用測評要求》《信息系統密碼應用測評過(guò)程指南》《信息系統密碼應用高風(fēng)險判定指引》《商用密碼應用安全性評估量化評估規則》《商用密碼應用安全性評估報告模板》等5項指導性文件,其中前2項已正式發(fā)布為密碼行業(yè)標準GM/T-0115和GM/T-0116。

相比于原有的符合性判定“一票否決”的規則,新的密評標準框架豐富了密評結果的出具過(guò)程,提出了“量化評估+風(fēng)險判定”的綜合判定思路。量化評估是為了“保量”,即商用密碼應用應當達到一定的程度,便于縱向和橫向的比較;風(fēng)險判定是為了“保質(zhì)”,即守住信息系統的安全底線(xiàn)。此外,為了規范密評實(shí)施和判定活動(dòng),中國密碼學(xué)會(huì )密評聯(lián)委會(huì )還組織編制了《商用密碼應用安全性評估FAQ》,以問(wèn)答形式解釋了密評過(guò)程中常見(jiàn)問(wèn)題,并確立了定期更新機制,不斷應對技術(shù)發(fā)展和應用情況的變化,以持續保持密評標準體系的活力。

(三)機構規模與能力水平持續壯大提升

密評機構不僅是密評工作實(shí)施開(kāi)展的主體,還是密碼應用推進(jìn)工作的宣傳隊,因此其專(zhuān)業(yè)水平十分重要。2017年底,第一批密評試點(diǎn)機構遴選工作正式開(kāi)始,經(jīng)培育考核,確定了首批密評試點(diǎn)機構。2019年底,第二批密評試點(diǎn)機構的遴選正式啟動(dòng),吸取第一批密評試點(diǎn)機構能力考核的經(jīng)驗,結合密評試點(diǎn)階段實(shí)際密評工作的要求,第二批密評試點(diǎn)機構的能力考核進(jìn)一步完善,在原有的人員能力筆試考核和機構條件現場(chǎng)考核基礎上,將密評報告評估和密評實(shí)戰能力考核納入能力考核范圍。這其中,實(shí)戰能力考核是充分克服了新冠疫情的不利影響,積極探索解決密評實(shí)戰能力如何考核的難題,取得了很好的成效,也獲得了參與考核機構的積極反饋。實(shí)戰能力考核貼近實(shí)際,不再是“紙上談兵”,一方面覆蓋了原本理論考試無(wú)法涉及的內容,對機構實(shí)戰能力進(jìn)行了有效評價(jià),另一方面也對密評工作的開(kāi)展起到了有效的引導和教育作用,將密評機構原先對算法、產(chǎn)品進(jìn)行簡(jiǎn)單核查的僵化思路,逐步轉變?yōu)槌浞植杉C據、深入分析數據、客觀(guān)給出結果的科學(xué)化、合理化路徑。

2020年7月,國家密碼管理局公布了第一批24家密評試點(diǎn)機構目錄,并于2021年6月進(jìn)行目錄更新,其中可面向全國開(kāi)展密評業(yè)務(wù)的機構共48家,另外25家可面向本省本行業(yè)開(kāi)展密評業(yè)務(wù),形成了階梯式的密評機構層次架構。密評試點(diǎn)機構規模不斷擴大、能力逐步提升,為密評工作規?;?、規范化發(fā)展提供了重要支撐。


二、貫徹落實(shí)《條例》,進(jìn)一步完善密評體系

《條例》關(guān)于密評的規定,既是對關(guān)鍵信息基礎設施運營(yíng)者密評主體責任的明確,也對密評體系建設提出了更高要求,指引著(zhù)密評體系建設不斷發(fā)展完善。

(一)持續拓展密評工作深度廣度,不斷增強重要領(lǐng)域密碼應用水平

在法律法規層面,可以預見(jiàn)的是,隨著(zhù)《條例》發(fā)布,配套的規章制度也會(huì )陸續出臺,進(jìn)一步細化對密評機構管理和對密評工作管理等要求。在這些法律法規的具體要求下,密評機構和人員的管理將進(jìn)一步規范,開(kāi)展密評的信息系統范圍和數量將進(jìn)一步擴大。下一步,在前期金融、政務(wù)等領(lǐng)域開(kāi)展密碼應用和密評工作的良好基礎上,要進(jìn)一步深入擴展到其他重要領(lǐng)域和行業(yè),推動(dòng)密碼應用和密評要求在重要領(lǐng)域和行業(yè)落地生根,持續增強密碼應用的廣度和深度。

(二)持續推進(jìn)標準文件更新出臺,不斷為密評體系注入生命力

GB/T-39786針對信息系統提出了通用性的密碼應用基本要求,但無(wú)法適配于所有類(lèi)型信息系統和應用場(chǎng)景。近些年,國家密碼管理局以密碼行業(yè)標準形式發(fā)布了針對具體應用場(chǎng)景的密碼應用技術(shù)要求和指南,包括電子保單、網(wǎng)上銀行、遠程移動(dòng)支付、電子招投標、區塊鏈等。隨著(zhù)密碼應用范圍的不斷擴大,亟需新一批的指導性文件用于指導具體場(chǎng)景的密碼應用建設和安全性評估工作,并適情開(kāi)展文件的標準化。另外,目前密評體系文件中形成標準的還不多,還需進(jìn)一步推進(jìn)已經(jīng)在制標過(guò)程中的《信息系統密碼應用方案設計指南》和《信息系統密碼應用實(shí)施指南》等應用指導類(lèi)文件加快成熟,以更好指導密碼應用與安全性評估工作。

(三)持續加強技術(shù)手段建設,不斷提升密評機構能力水平

在密評實(shí)施過(guò)程中,目前的工具和手段還不能較好支撐對專(zhuān)門(mén)領(lǐng)域(如5G、工業(yè)互聯(lián)網(wǎng))中的密碼協(xié)議和密碼應用情況進(jìn)行有效檢查,在對信息系統重要數據的深入自動(dòng)分析及密碼應用漏洞的探測方面也存在較大欠缺。因此,未來(lái)需要圍繞密評實(shí)踐過(guò)程中的各個(gè)技術(shù)驗證點(diǎn),進(jìn)一步加強密評業(yè)務(wù)開(kāi)展的技術(shù)手段建設。一方面,基于密碼產(chǎn)品/服務(wù)等相關(guān)標準完善現有典型密評工具,同時(shí)研制并集成密評新工具,如自動(dòng)化分析工具、密碼應用滲透測試工具,形成可聯(lián)動(dòng)、可動(dòng)態(tài)配置、自動(dòng)化、一體化的密評工具平臺;另一方面,加強密碼應用典型風(fēng)險庫和應對知識庫建設,為密評人員的知識培訓、實(shí)戰考核和能力驗證提供基礎保障。此外,還需加強密碼應用攻防平臺建設,整合密碼應用風(fēng)險庫以及對應的典型案例庫、惡意攻擊行為庫等知識庫,結合一體化密評工具平臺,形成涵蓋環(huán)境仿真、密評人員培訓演練、密評機構能力驗證為一體的密評核心基礎設施,全面提升我國密評工作質(zhì)量水平和實(shí)戰能力,切實(shí)維護重要網(wǎng)絡(luò )與信息系統安全。






文章來(lái)源:國家密碼管理局網(wǎng)站

Image
Image
版權所有:山西科信源科技股份有限公司
咨詢(xún)熱線(xiàn):0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區)太原市小店區南中環(huán)街529 號清控創(chuàng )新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F