如何正確“過密評”？ - 網安 - 專業的網絡安全產業、社區、知識平臺

2022年，“密評”（即“商用密碼應用安全性評估”）成了各行業關注的熱詞。

在《密碼法》的要求下，在國標《信息安全技術信息系統密碼應用基本要求》（GB/T 39786-2021）的指導下，各地各行業積極、嚴謹地開展密評工作，將是推動密碼應用的良好開端。各行業紛紛出臺了相關標準、要求，將密評工作提上日程，關鍵信息基礎設施、政務信息系統、等保三級以上信息系統建設，都要“過密評”。

面對各式各樣的產品和眾說紛紜的方案，究竟密評該如何過？應該遵照哪些技術標準？關注哪些要點？有哪些誤區？我們帶你一探究竟。

這些“誤區”要辨別

誤區一：業務系統零改造，信息系統免集成，即可通過密評

現狀：有些廠家提出業務系統零改造過密評的方案，還有些密碼服務廠商抓住了客戶信息系統改造難度大、成本高的痛點，打出“信息系統免集成，即可通過密評”的宣傳口號。

專家解讀：事實上信息系統開展密評工作主要目的在于推動密碼應用的合規性、正確性、有效性。在常見的密碼應用中的安全性問題包括：密碼技術被棄用（例如完全未用密碼）、密碼技術被亂用（例如簡化使用密碼協議導致出現安全漏洞）、密碼技術被誤用（例如使用固定值而非隨機數作為初始向量）。這一切都指向“用”，即信息系統要正確調用密碼產品、密碼服務。不針對信息系統實際情況、重要數據安全需求等加以分析，進而適當改造信息系統以“用”密碼，是難以全面保障信息系統安全，也難以通過密評。

誤區二：忽略應用層，只靠物理、網絡層也能過密評

現狀：部分廠商向客戶提出“應用層不拿分，靠其他幾層拿分也能及格”的說辭。

專家解讀：根據《商用密碼應用安全性評估量化評估規則》第6部分整體結論判定，整體量化評估結果是百分制，應用和數據安全占30分。只有達到分數閾值、且沒有高風險項，才能判定被測信息系統基本符合GB/T39786-2021相應等級要求。目前執行的閾值是60分，這意味著如果應用和數據層完全不拿分，就只剩下10分的機動空間；更重要的是，應用和數據安全涉及5項高風險項，如果完全不加以考慮，很容易碰到高風險“一票否決”。

誤區三：密評是針對密碼產品的測評

現狀：一些機構疑問：“如果系統中沒有應用密碼技術或密碼產品，是不是就不需要過密評，或者可以直接通過密評？”

專家解讀：密評是針對應用方業務系統的測評，看密碼是否得到合規、正確、有效的應用，而非針對密碼產品的檢測。按照相關法律法規規定，關鍵信息基礎設施、政務信息系統、等保三級以上信息系統需要同步規劃、同步建設、同步運營密碼保障系統，定期進行密評，這項要求與其當前是否使用密碼無關。如果上述業務系統完全未用到密碼，那么在密評中“高風險項”是肯定存在的，因而肯定無法通過密評。

誤區四：劃定測評對象范圍模糊

現狀：一些機構疑惑等保定級的范圍和密評范圍是否一致，在做密碼測評的時候是要所有的系統測試通過才算通過密評嗎？如何劃定測評對象范圍？

專家解讀：密評當前沒有獨立的定級，而是依賴等保定級的。因而在劃定測評范圍的時候，原則上應與等保定級的范圍一致。如果等保定級系統里有多個應用或多個子系統，密評時會針對每個應用或子系統都做測評，最終分數判定需綜合考慮所有應用或子系統在相應層次的密碼應用情況。詳情可參照GM/T 0115《信息系統密碼應用測評要求》。

誤區五：采購一些密碼設備并部署上，就滿足了密評要求

現狀：開展密評工作必然離不開密碼設備的建設工作，密碼設備的采購數量、采購金額必然是各行業關注的重點之一。部分密碼設備廠商基于自身產品推廣，宣稱“采購一些密碼設備、一類產品即可通過密碼應用測評” 。

專家解讀：密評工作的目標是“以評促用”，脫離信息系統的當前狀況去談產品的配用是不科學的。對于已建的信息系統，首先開展差距分析，梳理保護對象、應用場景及防護現狀，總結當前差距形成密碼應用需求，根據密碼應用需求設計密碼應用措施，才能談得上需要什么樣的產品來實現這些措施。

誤區六：包過密評？

現狀：密評工作對于各行業來說屬于新業務、新要求，在缺乏有效參考經驗的情況下，一些銷售人員為了爭取商業機會，打出“包過密評”包票。

專家解讀：這樣的宣傳雖然可能給了用戶通過“密評”的信心，但能否通過密評，是由正規測評機構給出結論為標志的。密碼測評機構絕不會在尚未了解任何情況之前就去判定“符合”；同樣的，協助用戶做密碼應用的廠商，也只有在充分了解用戶業務、梳理密碼應用需求之后，才能明確有哪些GB/T 39786規定的密碼應用要求未得到滿足，此前的“包票”都只能是噱頭。即便明確了需求，是否能夠設計出既滿足了密碼應用需求、又不對業務造成太大影響的技術措施，仍是要具體問題具體分析。科學的說法，是專業密碼廠商會竭盡所能幫助用戶通過“密評”，但在未充分了解情況之前的“包票”，都是過于夸張的。

誤區七：已建設的CA認證產品和密評關系認知不明

現狀：一些機構疑惑現有的CA電子簽名、數據保護等和密評是什么關系？

專家解讀：基于公鑰密碼的電子簽名，是當前主流的密碼應用技術之一。行業現階段為無紙化業務而開展的電子簽名、數據保護等工作，同樣屬于密碼技術應用，能夠解決重要數據的真實性、完整性和不可否認性，為合規密碼應用建設打下了良好基礎。但如前所述，并非一類密碼應用技術就可解決所有問題，因此也不能有“用了電子簽名就一定能過密評”的認識。

誤區八：只用對新機房進行密碼應用改造

現狀：隨著信息化發展，部分機構在原有機房難以支撐信息化應用的情況下，采用了多機房并行的情況。針對此類情況，機構認為只對新機房開展密碼應用改造，就可以完成密評工作。

專家解讀：GB/T 39786規定的物理環境安全要求，是所有物理環境都需要滿足的。因此如果多機房，每個機房都要根據完整的測評單元開展評估工作，綜合的物理環境安全得分值是取加權平均，而非只有一個機房合規就能得到全部的分數。對于高風險項，如果任何一個機房存在高風險，則是“一票否決”。

這些“要點”要掌握

01密評工作的參與方及職責

責任單位：
網絡運營者即網絡和信息系統的責任單位（包括建設、使用、管理單位），是密評的被測評單位，應當認真履行好密碼安全主體責任，明確密碼安全負責人，制定完善的密碼管理制度，按照要求開展商用密碼應用安全性評估、備案和整改，配合密碼管理部門和有關部門的安全檢查。
測評機構：
測評機構是密評的執行單位，應當按照有關法律法規和標準要求科學、公正地開展評估。從事密評工作的測評人員應當通過國家密碼管理部門（或其授權的機構）組織的考核，遵守國家有關法律法規，按照相關標準，為用戶提供安全、客觀、公正的評估服務，保證評估的質量和效果。
密碼管理部門
國家密碼管理部門負責指導、監督和檢查全國的密評工作；省（部）密碼管理部門負責指導、監督和檢查本地區、本部門、本行業（系統）的密評工作。國家密碼管理部門依據有關規定，組織對測評機構工作開展情況進行監督檢查。

02遵循的技術標準

《信息安全技術信息系統密碼應用基本要求》（GB/T 39786-2021）是貫徹落實《中華人民共和國密碼法》，指導我國商用密碼應用與安全性評估工作開展的綱領性、框架性標準。中國密碼學會密評聯委會發布并持續更新依照GB/T 39786-2021開展密評的系列指導文件，目前包括5項：

GM/T 0115-2021《信息系統密碼應用測評要求》

GM/T 0116-2021《信息系統密碼應用測評過程指南》

《信息系統密碼應用高風險判定指引》

《商用密碼應用安全性評估量化評估規則》

《商用密碼應用安全性評估報告模板（2021版）》

另外，2021年新增發布了《商用密碼應用安全性評估FAQ》，對于密評工作中的常見問題進行了解答。

03密評的基本要求和程序設計

范圍要求：
法律、行政法規和國家有關規定要求使用商用密碼進行保護的網絡與信息系統，其運營者應當使用商用密碼進行保護，制定商用密碼應用方案，配備必要的資金和專業人員，同步規劃、同步建設、同步運行商用密碼保障系統并定期進行密評。
機構性質：
密評機構應當經國家密碼管理局認定，依法取得商用密碼檢測機構資質，且資質認定業務范圍載明“商用密碼應用安全性評估”。目前密評工作仍處于“試點”階段，因此當前公布的是密評“試點”機構名錄。不久的將來隨著《商用密碼管理條例》《密碼檢測機構管理辦法》等制度文件的正式頒布，密評機構認定工作將走向常態化。
實施要求：
包含方案測評、系統測評、運營者支持配合義務、結果備案等。
信息系統密碼應用基本要求：如圖所示

04選擇密碼產品的依據

開展密碼應用建設應根據責任單位實際情況具體問題具體分析，基于GB/T 39786-2021規定的四個技術層面、四個管理層面，根據實際安全需求編制密碼應用方案，并針對性選擇密碼產品實現方案中所述的密碼應用措施。安全是核心目標，在合規的方案指導下使用密碼技術和密碼產品，才能保障核心目標不偏離。

05密評工作關注的重點

（1）遵循“三同步，一評估”原則

項目建設單位應當同步規劃、同步建設、同步運行密碼保障系統并定期進行評估，其中同步規劃的核心是密碼應用方案編制。密碼應用方案編制是至關重要的環節，好的方案會為后續的建設指明方向、鋪平道路；如果方案未做好，后期的項目建設將面臨諸多困難和反復。典型的“方案未做好”是沒有對業務進行仔細梳理、對密碼應用需求的詳細分析，而是直接生搬硬套密碼應用措施和產品，導致建設時出現無法落地實施的狀況。

（2）把握“以評促用”的指導思想

只有正確、合規、有效地使用密碼技術，才能更好地保護網絡安全和數據安全——密碼用得對不對，需要前期的同步規劃、同步建設、同步運行密碼保障系統，然后靠測評來證明。

（3）對“應”“宜”“可”的把握

根據GM/T 0115《信息系統密碼應用測評要求》：

對于“應”的條款，密評人員應按照第5章和第6章相應的測評指標要求進行測評和結果判定；若根據信息系統的密碼應用方案和方案評審意見，判定信息系統確無與某項或某些項測評指標相關的密碼應用需求，則相應測評指標為“不適用”。

對于“宜”的條款，密評人員根據信息系統的密碼應用方案和方案評審意見決定是否納入標準符合性測評范圍；若信息系統沒有通過評估的密碼應用方案或密碼應用方案未做明確說明，則“宜”的條款默認納入標準符合性測評范圍。若納入測評范圍，則密評人員應按照第6章相應的測評指標要求進行測評和結果判定。否則，密評人員應根據信息系統的密碼應用方案和方案評審意見，在測評中進一步核實密碼應用方案中所描述的風險控制措施使用條件在實際的信息系統中是否被滿足，且信息系統的實施情況與所描述的風險控制措施是否一致，若滿足使用條件，該測評指標為“不適用”，并在密碼應用安全性評估報告中體現核實過程和結果；若不滿足使用條件，則應按照第6章相應的測評指標要求進行測評和結果判定。

對于“可”的條款，由信息系統責任單位自行決定是否納入標準符合性測評范圍。若納入測評范圍，則密評人員應按照第6章相應的測評指標要求進行測評和結果判定；否則，該測評指標為“不適用”。

（4）尊重客觀規律

根據差距分析，進行分階段規劃，穩步推進密碼建設。原則上優先解決高風險，再考慮解決中低風險；先解決重要業務線，再補充其他；先保護好基礎設施，再考慮構建在其上的應用。