商用密码应用安全性评估

商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估,简称“密评”。商用密码应用安全性评估共包括密评发展历程、密评主要内容、密评各方职责三部分内容,本篇主要介绍密评发展历程内容。

密评发展历程

第一阶段:制度奠基期(2007年11月至2016年8月)

2007年11月27日,国家密码管理局印发11号文件《信息安全等级保护商用密码管理办法》,要求信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。2009年12月15日,国家密码管理局印发管理办法实施意见,进一步明确了与密码测评有关的要求。

第二阶段:再次集结期(2016年9月至2017年4月)

国家密码管理局成立起草小组,研究起草《商用密码应用安全性评估管理办法(试行)》。2017年4月22日,正式印发《关于开展密码应用安全性评估试点工作的通知》(国密局〔2017〕138号文),在七省五行业开展密评试点。

第三阶段:体系建设期(2017年5月至2017年9月)

国家密码管理局成立密评领导小组,研究确定了密评体系总体架构,并组织有关单位起草14项制度文件。经征求试点地区、部门意见和专家评审,2017年9月27日,国家密码管理局印发《商用密码应用安全性测评机构管理办法(试行)》《商用密码应用安全性测评机构能力评审实施细则(试行)》《信息系统密码应用基本要求》(后以密码行业标准GM/T 0054形式发布)和《信息系统密码测评要求(试行)》,密评制度体系初步建立。

第四阶段:密评试点开展期(2017年10月至今)

试点开展过程同时也是机构培育过程,包括机构申报遴选、考察认定、发布目录、开展试点测评工作并提升测评机构能力、总结试点经验、完善相关规定等。2019 年上半年对第一批密评试点做了评审总结,对参与试点的27家机构进行能力再评审,择优选出16家扩大试点,对另11家机构给予6个月能力提升整改期。

2019年10月,开始启动第二批密评试点工作。2020年7月29日,国家密码管理局发布第40号公告《商用密码应用安全性评估试点机构目录》,全国商用密码应用安全性评估试点机构包括24家。

2021年6月11日,国家密码管理局发布第42号公告《商用密码应用安全性评估试点机构目录》,全国商用密码应用安全性评估试点机构共48家。

密评主要内容

01密评依据

1) GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》

2) GM/T 0054-2018《信息系统密码应用基本要求》

3)《信息系统密码应用测评要求》

4)《信息系统密码应用测评过程指南》

5)《信息系统密码应用高风险判定指引》

6)《商用密码应用安全性评估量化评估规则》

7)《商用密码应用安全性评估测评作业指导书(试行)》

02密评主要内容

密评的对象是采用商用密码技术、产品和服务集成建设的网络与信息系统,评估的内容包括密码应用安全的三个方面:合规性、正确性和有效性。

商用密码应用合规性是指判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求,使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。

商用密码应用正确性是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确,即系统中采用的标准算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现,自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求,密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。

商用密码应用有效性是指判定信息系统中实现的密码保障系统在信息系统运行过程中发挥了实际效用,是否满足了信息系统的安全需求,是否切实解决了信息系统面临的安全问题。

03密评流程

依据测评工作流程,有计划有步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制,主要包括四个阶段。

1)测评准备阶段

收集被测系统的相关资料信息,全面掌握被测系统密码使用的详细情况,为测评工作的开展打下基础。

2)方案编制阶段

正确合理确定测评对象、测评边界、测评指标等内容,并依据技术标准、规范编制测评方案、测评结果记录表格,测评方案应通过技术评审并有相关记录。

3)现场测评阶段

严格执行测评方案中的内容和要求,并依据操作规程熟练地使用测评设备和工具,规范、准确、完整地填写测评结果记录,获取足够证据,客观、真实、科学地反映出系统的密码安全防护状况,测评过程应予以监督并记录。特别需要强调的是,测评过程中,要强化对系统数据的获取和分析,能够发现系统的漏洞和密码应用的问题。

4)报告编制阶段

通过对测评数据的综合分析得出被测信息系统密码安全护现状与相应的技术标准要求之间的差距,分析差距可能导致被测系统面临的风险,给出测评结论,形成测评报告,测评报告应依据国家密码管理部门统一编制的报告模板的格式和内容要求编写;测评报告应包括所有测评结果、根据这些结果做出的专业判断,以及理解和解释这些结果所需要的相关信息,以上信息均应正确、准确、清晰地表述。

密评各方职责

根据《商用密码应用安全性评估管理办法(试行)》、《商用密码应用安全性测评机构管理办法(试行)》等有关规定的要求,测评机构和测评人员、网络与信息系统责任单位、密码管理部门三方在密评工作中的职责各不相同,只有三方通力协作配合,才能将密评工作扎实做好。

01测评机构和测评人员的职责

商用密码应用安全性评估工作是一项专业性很强的工作,需要专门的测评机构派出专业测评人员实施测评,测评结果作为密码应用安全性评估结论的重要依据。测评机构是商用密码应用安全性评估的承担单位,应当按照有关法律法规和标准要求科学、公正地开展评估。承担商用密码应用安全性评估工作的测评机构,需要经过国家密码管理部门组织的试点培育,经评审后,纳入试点测评机构目录;在测评过程中,需要全面、客观地反映被测系统的密码应用安全状态,不得泄露被测评对象的工作秘密和重要数据,不得妨碍被测系统的正常运行。测评机构完成商用密码应用安全性评估工作后,应在30个工作日内将评估结果报国家密码管理部门备案。

从事商用密码应用安全性评估工作的测评人员应当通过国家密码管理部门(或其授权的机构)组织的考核,遵守国家有关法律法规,按照相关标准,为用户提供安全、客观、公正的评估服务,保证评估的质量和效果。

02网络与信息系统责任单位的职责

网络与信息系统责任单位即网络与信息系统建设、使用、管理单位,是商用密码应用安全性评估的责任单位,应当健全密码保障系统,并在规划、建设和运行阶段,组织开展商用密码应用安全性评估工作,并负主体责任。重要领域网络与信息系统的运营者,应按如下要求开展工作。

第一,系统规划阶段,网络与信息系统责任单位应当依据商用密码技术标准,制定商用密码应用建设方案(简称密码应用方案),组织专家或委托具有相关资质的测评机构进行评估。其中,使用财政性资金建设的网络与信息系统,商用密码应用安全性评估结果应作为项目立项的必备材料。

第二,系统建设完成后,网络与信息系统责任单位应当委托具有相关资质的测评机构进行商用密码应用安全性评估,评估结果作为项目建设验收的必备材料,评估通过后,方可投入运行。

第三,系统投入运行后,网络与信息系统责任单位应当委托具有相关资质的测评机构定期开展商用密码应用安全性评估。未通过评估的,网络与信息系统责任单位应当按要求进行整改并重新组织评估。其中,关键信息基础设施、网络安全等级保护第三级及以上信息系统每年至少评估一次。

第四,系统发生密码相关重大安全事件、重大调整或特殊紧急情况时,网络与信息系统责任单位应当及时组织具有相关资质的测评机构开展商用密码应用安全性评估,并依据评估结果进行应急处置,采取必要的安全防范措施。

第五,完成规划、建设、运行和应急评估后,网络与信息系统责任单位应当在30个工作日内将评估结果报主管部门及所在地区(部门)的密码管理部门备案(部委建设直管的系统及其延伸系统,商用密码应用安全性评估结果报部委密码管理部门备案)。

网络与信息系统责任单位应当认真履行密码安全主体责任,明确密码安全负责人,制定完善的密码管理制度,按照要求开展商用密码应用安全性评估、备案和整改,配合密码管理部门和有关部门的安全检查。

03密码管理部门的职责

国家密码管理部门负责指导、监督和检查全国的商用密码应用安全性评估工作;省(部)密码管理部门负责指导、监督和检查本地区、本部门、本行业(系统)的商用密码应用安全性评估工作。

国家密码管理部门依据有关规定,组织对测评机构工作开展情况进行监督检查。检查内容主要包括两方面:对测评机构出具的评估结果的客观、公允和真实性进行评判;对测评机构开展评估工作的客观、规范和独立性进行检查。

各地区(部门)密码管理部门根据工作需要,定期或不定期地对本地区、本部门重要领域网络与信息系统商用密码应用安全性评估工作落实情况进行检查。国家密码管理部门对全国的商用密码应用安全性评估工作落实情况进行抽查。检查的主要内容包括:是否在规划、建设、运行阶段按照要求开展商用密码应用安全性评估,评估后问题整改情况,评估结果有效性情况等。

来源:中科永安