密評 | 商用密碼安全性評估的幾大問題

1、什么是商用密碼安全性評估?

商用密碼應用安全性評估(簡稱“密評”)，是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中，對其密碼應用的合規性、正確性和有效性進行評估。

2、為什么要做密評?

開展密評，是為了解決商用密碼應用中存在的突出問題，為網絡和信息系統的安全提供科學評價方法，逐步規范商用密碼的使用和管理。從根本上改變商用密碼應用不廣泛、不規范、不安全的現狀，確保商用密碼在網絡和信息系統中有效使用，切實構建起堅實可靠的網絡安全密碼屏障。開展密評，是國家網絡安全和密碼相關法律法規提出的明確要求，是法定責任和義務。

《中華人民共和國密碼法》

第二十七條  法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接，避免重復評估、測評。

《商用密碼應用安全性評估管理辦法(試行)》

第三條  涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位(以下簡稱責任單位)應當健全密碼保障體系，實施商用密碼應用安全性評估。

重要領域網絡和信息系統包括：基礎信息網絡、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制系統、面向社會服務的政務信息系統，以及關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統。

3、哪些系統需要密評?

《網絡安全等級保護條例》

第四十七條【非涉密網絡密碼保護】非涉密網絡應當按照國家密碼管理法律法規和標準的要求，使用密碼技術、產品和服務。第三級以上網絡應當采用密碼保護，并使用國家密碼管理部門認可的密碼技術、產品和服務。

主要系統有

基礎信息網絡：電信網、廣播電視網、互聯網。

重要信息系統：能源、教育、公安、測繪地理信息、社保、交通、衛生計生、金融等涉及國計民生和基礎信息資源的重要信息系統。

重要工業控制系統：核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要工業控制系統。

面向社會服務的政務信息系統：黨政機關和使用財政性資金的事業單位和團體組織使用的面向社會服務的信息系統。

4、參考標準有哪些?

《中華人民共和國密碼法》

《商用密碼應用安全性評估管理辦法(試行)》

《信息安全等級保護商用密碼管理辦法》

《信息安全等級保護商用密碼技術實施要求》

《信息安全等級保護商用密碼技術要求》

GB/T 39786-2021《信息安全技術信息系統密碼應用基本要求》

《信息系統密碼測評要求》

GM/T0054-2018 《信息系統密碼應用基本要求》

5、密評總體要求?

總體要求是所有信息系統都需遵循的基本要求，包括密碼算法、密碼技術、密碼產品、密碼服務4個層面的相關要求，具體要求如下：

1、總體要求

密碼算法：使用的密碼算法應當符合法律、法規的規定和密碼相關國家標準、行業標準的有關要求，重點關注密碼算法的合規性。

密碼技術：使用的密碼技術應遵循密碼相關國家標準和行業標準。重點關注加密技術的合規性，密碼技術應保證自身的安全性，可靠性，與信息系統的互聯互通性。

密碼產品：使用的密碼產品與密碼模塊應通過國家密碼管理部門核準。“密碼模塊”可包括密碼卡、密碼機、定制密碼模塊、密碼軟件等多種形態。重點關注密碼產品的合規性和有效性，密碼產品和密碼模塊需根據國家相關規定進行密碼產品安全等級確定、檢測。其中根據GM/T0028-2014 《密碼模塊安全技術要求》確定安全等級，依據GM/T0039-2015《密碼模塊安全檢測要求》進行產品檢測。

密碼服務：使用的密碼服務應通過國家密碼管理部門許可。如CA認證機構應獲得《電子認證服務使用密碼許可證》以及《電子認證服務許可證》。

2、密碼功能要求

密碼功能要求是對密碼技術在信息系統中的使用場景起到什么作用的闡述，密碼功能要求包括機密性、完整性、真實性和不可否認性。

機密性：使用密碼加密功能，保障信息系統重要數據在傳輸、存儲過程中的保密性以及身份鑒別信息、密鑰數據的機密性。

完整性：使用消息校驗碼(MAC)或數字簽名實現完整性，保障信息系統重要數據在傳輸、存儲過程中的完整性以及身份鑒別信息、密鑰數據、日志記錄、訪問控制信息、資源敏感標記、重要程序、可信信任鏈、視頻監控記錄、電子門禁出入記錄的完整性。

真實性：使用對稱加密、動態口令、數字簽名等實現真實性，保障信息系統中各類基礎設施、軟硬件設備以及業務應用系統的用戶身份鑒別信息的真實性。

不可否認性:使用數字簽名等密碼技術實現實體行為的不可否認性，保障信息系統中無法否認的操作行為，如發送、接收、審批、創建、修改、刪除、添加、配置等。

3、密碼技術應用要求、密鑰管理和安全管理

密碼技術應用要求包括物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全;密鑰管理主要從密鑰的生成、存儲、分發、導入、導出的安全性和正確性;使用的正確性;備份和恢復的可靠性;歸檔的安全性與正確性;緊急情況下的銷毀等環節提出相應的要求。安全管理包括制度、人員、實施和應用四個維度。

這三個層面分別對信息系統(等級保護1級到4級系統)如何使用密碼提出了要求，要求強度使用應、宜、可三個級別來表示。

6、不做密評或測試結果不合格的影響?

《密碼法》第三十七條第一款

關鍵信息基礎設施的運營者違反本法第二十七條第一款規定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告;拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

《國家政務信息化項目建設管理辦法》第二十八條第三款

對于不符合密碼應用和網絡安全要求，或者存在重大安全隱患的政務信息系統，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統。

《商用密碼應用安全性評估管理辦法(試行)》第二章第十條

關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統，每年至少評估一次。

7、密評流程主要有哪些?

“密評”的實施流程主要包括密碼應用方案評估、測評準備、方案編制、現場測評、測評結論分析、密碼測評報告編制。

8、密評單位有哪幾家?

目前發布的《商用密碼應用安全性評估試點機構目錄》共48家測評機構。