關于商用密碼應用安全性評估,“十問十答”來解惑
近年來,網絡空間安全一直是經濟社會關注的焦點,2022年網絡信息安全更是成為315晚會關注重點。密碼為保護信息安全而生,是網絡安全的核心要件,是數字經濟基礎支撐。下面,我們就來介紹一下日常工作生活中融入的商用密碼應用及其安全性評估。
一、什么是商用密碼,為什么要使用商用密碼?
密碼分為核心密碼、普通密碼和商用密碼,我們日常工作生活中接觸到的多是商用密碼。工作中,網上辦公、繳稅納稅等過程都有商用密碼在起作用。生活中,第二代居民身份證就通過商用密碼技術保證認證一致,購買火車票、網絡購物等在線支付全過程都有商用密碼的保護。
商用密碼,是指對不涉及國家秘密內容的信息進行加密保護或安全認證所使用的密碼技術和密碼產品。其中,商用密碼技術,是保障信息安全的核心技術。從功能上看,主要包括加密保護技術和安全認證技術;從內容上看,主要包括密碼算法、密鑰管理和密碼協議。商用密碼產品,是指采用密碼技術對不涉及國家秘密內容的信息進行加密保護或安全認證的產品,即承載密碼技術、實現密碼功能的實體。按照形態劃分,商用密碼產品分為六類,即軟件、芯片、模塊、板卡、整機、系統;按照功能劃分,商用密碼產品分為七類,即密碼算法類、數據加解密類、認證鑒別類、證書管理類、密鑰管理類、密碼防偽類和綜合類。
密碼是網絡信任體系的重要基石,是目前世界上公認的,保障網絡與信息安全最有效、最可靠、最經濟的關鍵核心技術。《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規均不同程度地提到要使用商用密碼。在信息互聯時代,密碼除傳統加密外,主要體現在身份認證、權限管理、訪問控制等。數字經濟時代,密碼的作用不斷擴展到數據流通、數據共享等新維度,密碼技術自身也需要持續革新。
二、商用密碼應用安全性評估(簡稱“密評”)是什么,哪些單位需要開展密評工作?
“密評”是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中,對其密碼應用的合規性、正確性和有效性進行評估。
國家網絡安全和密碼相關法律法規明確要求非涉密的關鍵信息基礎設施、等保三級及以上系統、國家政務等重要信息系統要開展密評工作。并且,密評管理辦法也明確規定:關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,需要每年至少評估一次。
工業和信息化部下發的基礎電信企業及其專業公司網絡與信息安全工作評分標準中支出,參與商用密碼應用試點,有突出表現的,視情予以加分。
三、不做密評或測試結果不合格會有哪些影響呢?
相關影響已經有文件加以明確:
首先,是《密碼法》第三十七條第一款指出:關鍵信息基礎設施的運營者未按照要求使用商用密碼,或者未按照要求開展密評的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,將處十萬元以上一百萬元以下罰款。
《國家政務信息化項目建設管理辦法》第二十八條第三款也有提到:對于不符合密碼應用和網絡安全要求,或者存在重大安全隱患的政務信息系統,不安排運行維護經費,項目建設單位不得新建、改建、擴建政務信息系統。
此外,全國各地方也在不斷將密碼應用要求納入行業管理規范、工作計劃。如近兩年印發的《廣東省政務信息化項目建設管理辦法》《河北省省級政務信息化項目建設管理辦法》《河南省政務云管理辦法》《江西省政務信息化項目建設管理辦法》《吉林省政務信息化項目建設管理辦法》《廣西政務信息化項目建設管理辦法》,均提到了要按要求采用密碼技術和定期開展密評。
四、密評在密碼應用部署過程中所處的位置,全過程涉及的參與方有哪些?
項目建設單位應當落實國家密碼管理有關法律法規和標準規范的要求,同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。
五、密評主要由哪些機構開展?
從事密評活動的機構,應當經國家密碼管理部門認定,依法取得商用密碼檢測機構資質。
經國家密碼管理局批準,中國信息通信研究院基于現有商用密碼測評實驗室(工業和信息化部密碼應用研究中心第一測評實驗室)等軟硬實力,可在本地區、本行業(領域)或受委托面向社會開展商用密碼應用安全性評估試點工作。
中國信息通信研究院具備完善的商用密碼測試評估平臺、模擬仿真系統、測評工具,相關技術人員具備專業的測評實施能力,可依據GB/T 39786-2021《信息安全技術 信息系統密碼應用基本要求》等標準規范,為用戶提供信息系統商用密碼應用安全性評估相關的咨詢服務以及測評評估服務。目前已為多家證券期貨行業機構、政務服務單位、互聯網公司等提供密評及相關服務。
六、開展密評工作主要參考哪些標準規范?
參考的標準主要分為兩類:
● 第一類是基本要求
就是我們通常說的“信息系統密碼應用基本要求”,主要依據國家標準GB/T 39786-2021《信息安全技術 信息系統密碼應用基本要求》,此標準于2021年10月1日正式實施。
● 第二類是評估方法
目前主要參考的文件是2021年發布的GM/T 0115-2021《信息系統密碼應用測評要求》、GM/T 0116-2021《信息系統密碼應用測評過程指南》,中國密碼學會密評聯委會修訂形成的《信息系統密碼應用高風險判定指引》《商用密碼應用安全性評估量化評估規則》。
密評量化評估滿分100分,得分大于等于60分且沒有高風險項為基本合格。
七、密評的服務內容主要有哪些?
密評工作主要包括兩部分內容:一是信息系統規劃階段的密碼應用方案評估,這一環節主要用于保證建設方案的安全性;二是信息系統建設完成后針對該系統開展現場測試。
● 方案評估階段
主要針對新建或改造信息系統,密碼應用改造方案一般由用戶單位組織編寫,用戶單位編寫密碼應用建設方案/改造方案后,應委托專家對方案進行評估或委托密評機構出具方案密評報告。
● 系統評估階段
主要依據國標GB/T39786-2021《信息安全技術 信息系統密碼應用基本要求》,從物理和環境、網絡和通信、設備和計算、應用和數據、安全管理等方面開展評估。
注:密評系統的定級參照網絡安全等級保護的系統定級。
八、密評過程主要包括哪些環節?
密評過程(見下圖)分為四個基本測評活動:測評準備活動、方案編制活動、現場測評活動、分析與報告編制活動;測評雙方之間的溝通與洽談貫穿整個密碼應用安全性評估過程。其中,測評對象包括安全人員、管理員、密碼產品、網絡設備、服務器、數據庫、安全設備、操作系統、應用系統、業務系統、技術文檔、管理制度文檔等;測評工具涉及協議分析工具、端口掃描工具、滲透測試工具、算法和隨機性檢測工具、密碼應用檢測工具、密碼安全協議檢測工具等。
九、密評過程中有哪些常見問題?
用戶單位在密碼實際應用改造過程中,會遇到諸多問題,如租用外部機房如何滿足物理和環境安全項的要求、自建CA的合規性、云平臺和云上應用的測評等問題,通用解答可參見2021年底已發布的《商用密碼應用安全性評估FAQ》(https://ht.cacrnet.org.cn/upload/file/20211217/1639751669666037.pdf),針對具體問題還需要結合用戶單位實際情況進行詳細解答。
十、取得密評報告后應如何去管理部門備案?
按照《密碼法》確定的屬地管理原則,應由運營者所在地的密碼管理部門作為備案部門,由省級密碼管理部門作為一般備案部門,國家密碼管理局作為特殊備案部門。自密評報告出具之日起30日內,填寫《網絡與信息系統密評備案信息表》,并按備案表要求,附上密評合同和密評報告,郵寄到所屬地密碼管理局。
