蓬勃發展的商用密碼應用安全性評估
摘 要:
隨著信息技術的飛速發展,網絡環境日益復雜、安全形勢瞬息萬變,網絡安全威脅的范圍在不斷擴散,我國面臨的網絡安全問題也越來越嚴峻。商用密碼是保障網絡空間安全的根本性核心技術和基礎支撐,因此,更加標準和規范的管理和使用密碼技術就顯得尤為重要。實現這一目標的唯一途徑是發展先進的密碼評估技術,并建立完善的密碼檢測和認證系統 [1] 。密碼測評技術已成為信息安全測評的重要內容,它是構建國家信息安全測評認證體系的基礎。本文先介紹了近十幾年信息安全領域層出不窮的安全事件,然后整理了我國為規范密碼使用,在密碼領域出臺的相關法律法規,隨后從商用密碼應用安全性評估的角度,指出了信息系統密碼應用要求,最后從測評主要內容、測評原則、測評風險和測評過程四個方面介紹了商用密碼應用安全性評估。
1 引 言
21世紀以來,世界范圍內迎來一場新的信息技術革命,人類社會信息化、數字化、網絡化水平空前提高,信息網絡已經成為了全國乃至全世界的“中樞神經”。但是隨著信息技術越來越復雜,系統的脆弱性、漏洞和安全風險也隨之增加,受到的攻擊也越來越多樣化。從多年前的CSDN密碼庫泄露事件,5000多萬CSDN網絡賬戶密碼被公開,到近年的11億8千多萬淘寶用戶信息泄露事件,滴滴事件,incaseformat蠕蟲病毒大規模爆發事件,導致所有非系統分區文件被刪除,對用戶造成了不可挽回的損失。因此,做好網絡安全防護,規范有效的管理密碼技術就顯得尤為重要。
1996年,我國指定了商用密碼發展戰略,目前已經在金融、保險、交通運輸、電子政務等多個方面得到了廣泛的應用,但是人們往往會更多的關注系統的功能夠不夠強大、性能夠不夠好,而忽略了其安全防護的問題。為了加強商用密碼管理,國務院在1999年10月頒布了我國密碼領域的第一部行政法規《商用密碼管理條例》,并在隨后出臺了一系列保證商用密碼安全的法律法規,直到2020年1月1日《中華人民共和國密碼法》正式施行,標志著我國在密碼的應用和管理等方面有了專門性的法律保障[3]。
隨著我國密碼相關法規的不斷發展和完善,商用密碼應用安全性評估應運而生并不斷發展,《密碼法》第二十七條“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評。”因此,開展商用密碼應用安全性評估是貫徹落實《密碼法》的要求,是各行各業合規、正確和有效的使用密碼,保障網絡安全的關鍵。
2 信息安全亂象
隨著互聯網飛速發展,網絡安全形勢愈發嚴峻,各種安全威脅來勢洶洶,勒索攻擊、數據泄露等各種安全事件層出不窮。
2011年8月,黑客入侵了荷蘭CA供應商DigiNotar的證書服務器,并使用其設備為Google和Gmail等網站發行SSL偽造證書,隨后還利用證書攔截了HTTPS流量,并監視了30多萬人。DigiNotar因為此次攻擊被眾多瀏覽器開發商和操作系統開發商列為“不受信任”并破產。這次攻擊使得眾多如Google這樣的科技巨頭更為警惕,隨后全面改革了SSL/TLS證書的整個頒發過程,這其中的許多程序至今還在被使用。
2014年,安全公司Codenomicon和谷歌安全工程師發現一個嚴重的安全漏洞,Heartbleed。Heartbleed安全漏洞在2012年就被引入OpenSSL加密庫,但直到2014年才被發現,該漏洞一經公開披露很快就被利用,在2014年引發了一系列攻擊,但直到今天,仍有很多系統還未安裝有效補丁。
2016年,雅虎在四個月內宣布了兩起數據泄露事件,先是在9月宣布在2014年數據泄露事件中,5億用戶的真實姓名、電子郵件地址和電話號碼被泄露,在調查這一事件的過程中,雅虎還跟蹤到2013年的一次安全漏洞,并在12月份宣布該漏洞影響到了10億用戶,最后在2017年將數據更新為30億。
2018年2月,平昌冬奧會開幕式期間,主辦方遭到黑客攻擊,服務器被入侵,為了防止黑客進行下一步行動,主辦方立即關閉網絡服務器,系統宕機,直播終端,觀眾無法打印門票進場。同樣在2018年,萬豪國際酒店5億客戶的聯系信息、護照號碼、支付卡號以及其他個人信息被泄露,超過1億客戶的信用卡號被盜,該漏洞2014年就存在并被黑客入侵,一直潛伏到2018年9月才被發現。在這樣的背景下,對密碼應用進行標準化和規范化管理就顯得愈發重要。
3 商用密碼相關政策法規
為了促進商用密碼應用的標準化和規范化,我國制定了一系列商用密碼相關的法律法規。1999年10月,國務院頒布了我國密碼領域的第一部行政法規《商用密碼管理條例》,它首次以國家行政法規形式明確了商用密碼定義、管理機構和管理體制,同時對商用密碼科研、生產、銷售、使用、安全保密等方面做出了規定。
為了規范電子簽名行為,確立電子簽名的法律效力,維護有關各方的合法權益而制定的法律,2004年8月28日全國人大常務委員會會議通過《中華人民共和國電子簽名法》,該法賦權國家密碼管理局對電子認證服務使用密碼的行為依法實施管理,明確規定“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”,為我國信息化建設提供了重要的法律制度保障。
為加快推進信息安全等級保護,規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,2007年6月22日,公安部、國家保密局、國家密碼管理局、原國務院信息化工作辦公室聯合印發了《信息安全等級保護管理辦法》,隨后為配合《信息安全等級保護商用密碼管理辦法》的實施,進一步規范信息安全等級保護商用密碼工作,2009年10月29日國家密碼管理局印發《信息安全等級保護商用密碼管理辦法實施意見》,規定“第三級及以上信息系統的商用密碼應用系統建設方案應當通過密碼管理部門組織的評審后方可實施”,“第三級及以上信息系統的商用密碼應用系統,應當通過國家密碼管理部門指定測評機構的密碼測評后方可投入運行。密碼測評包括資料審查、系統分析、現場測評、綜合評估等”,這些制度均明確了信息安全等級保護第三級及以上信息系統的商用密碼應用要求。
為了推進網絡基礎設施建設和互聯互通,鼓勵網絡技術創新和應用,培養網絡安全人才,建立健全網絡安全保障體系,國家制定并不斷完善網絡安全戰略,2016年11月7日,全國人民代表大會常務委員會于發布《中華人民共和國網絡安全法》,自2017年6月1日起施行。
2019年10月26日十三屆全國人大常委會第十四次會議表決通過《中華人民共和國密碼法》,這標志著我國在密碼的應用和管理等方面有了專門性的法律保障。《密碼法》按照中央確定的密碼管理原則和應用政策,規定了密碼應用的主要制度和要求。其中明確了關鍵信息基礎設施使用密碼和進行密碼應用安全性評估的要求,規定法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。
4 信息系統密碼應用要求
為了規范指導和評估我國信息系統中密碼應用的使用情況,國家密碼管理局在2018年2月公布了GM/T 0054-2018《信息系統密碼應用基本要求》,該制度是面向等級保護體系制定的,從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、密鑰管理和安全管理六個方面制定了等級保護一至四級的密碼應用要求。公安部于2018年6月27日發布《網絡安全等級保護條例(征求意見稿)》,其中提出“第三級以上網絡運營者應在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,委托密碼應用安全性測評機構開展密碼應用安全性評估”。GM/T 0054標準因而也成為密碼應用安全性評估所遵循的重要標準。2021年3月,GB/T 39786-2021《信息安全技術 信息系統密碼應用基本要求》正式發布,于2021年10月1日起正式實施,GB/T 39786-2021相比GM/T 0054,標準的內容更加規范、要求更加明確、邏輯更加清楚,并且對密評實施過程中出現的問題也做了相應的修訂,使得密評工作可以更有序、快速的推進。其中主要修改的內容有以下幾個方面:
①GB/T 39786將第三級對完整性要求的約束程度由“應”調整為“宜”,這樣可以更好地與GB/T 22239《網絡安全等級保護要求》形成銜接。
②GB/T 39786對系統應配用的密碼產品有了更明確的標準,對于第三級信息系統要求更改為“應達到GB/T 37092二級及以上安全要求”,第四級信息系統仍然維持標準為“應達到GB/T 37092三級及以上安全要求”。而GM/T 0054則要求第三、第四級信息系統均“應采用符合GM/T 0028的第三級及以上密碼模塊或通過國家密碼管理部門標準的硬件密碼產品”。
③GB/T 39786密鑰管理相關內容,在正文中只針對密鑰的管理和使用提出了管理性質的要求,將密鑰管理周期中涉及到的相關技術要求放在了附錄A。密鑰生命周期的技術性要求,在本質上是對實現密鑰產生、存儲、分發、使用等功能的密碼產品的要求,這些功能均由密碼產品實現,而商用密碼應用安全性評估是直接信任商用密碼產品認證證書的,并不會對密碼產品的具體實現進行重復性檢測,因此進行這樣的轉變是更合理的。
不同等級的信息系統密碼應用要求略有不同,下文將以第三級密碼應用基本要求為例,從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、管理制度、人員管理、建設運行、應急處理八個方面介紹密碼應用基本要求。
4.1物理和環境安全密碼應用要求
第三級要求包括:
a)宜采用密碼技術進行物理訪問身份鑒別,保證重要區域進入人員身份的真實性;
b)宜采用密碼技術保證電子門禁系統進出記錄數據的存儲完整性;
c)宜采用密碼技術保證視頻監控音像記錄數據的存儲完整性;
d)以上如采用密碼服務,該密碼服務應符合法律法規的相關要求,需依法接受檢測認證的,應經商用密碼認證機構認證合格;
e)以上采用的密碼產品,應達到GB/T 37092二級及以上安全要求。
物理和環境安全是實現信息系統安全的基礎,如果物理和環境安全受到了威脅,那么系統的物理設備,系統中的重要信息以及應用都將會受到損失。因此,物理和環境安全的要求主要有以下兩方面:①身份鑒別需求,使用密碼技術保證只有經授權的人員才可以進入重要場所,才可訪問重要設備;②完整性保護,使用密碼技術保證監控設施的視頻記錄以及門禁進出記錄不被惡意篡改。這樣方可保護重要設備不被直接入侵,實現事前震懾、事中監控、事后追責[2]。
4.2 網絡和通信安全密碼應用要求
第三級要求包括:
a)應采用密碼技術對通信實體進行身份鑒別,保證通信實體身份的真實性;
b)宜采用密碼技術保證通信過程中數據的完整性;
c)應采用密碼技術保證通信過程中重要數據的機密性;
d)宜采用密碼技術保證網絡邊界訪問控制信息的完整性;
e)可采用密碼技術對從外部連接到內部網絡的設備進行接入認證,確保接入的設備身份真實性;
f)以上如采用密碼服務,該密碼服務應符合法律法規的相關要求,需依法接受檢測認證的,應經商用密碼認證機構認證合格;
g)以上采用的密碼產品,應達到GB/T 37092二級及以上安全要求。
信息系統實現與外界的互通需要通過網絡,而網絡和通信安全層面的主要是使用密碼技術保護網絡通信信道的安全。如果網絡層和傳輸層使用了安全通信協議,就應使用符合我國密碼行業標準的通信協議,使用國密算法套件。如果未使用安全通信協議,系統責任單位應將整體技術方案,包括技術路線、密碼協議、產品選型等內容,提交至國家密碼管理部門進行安全審查后方可使用。
4.3 設備和計算安全密碼應用要求
第三級要求包括:
a)應采用密碼技術對登錄設備的用戶進行身份鑒別,保證用戶身份的真實性;
b)遠程管理設備時,應采用密碼技術建立安全的信息傳輸通道;
c)宜采用密碼技術保證系統資源訪問控制信息的完整性;
d)宜采用密碼技術保證設備中的重要信息資源安全標記的完整性;
e)宜采用密碼技術保證日志記錄的完整性;
f)宜采用密碼技術對重要可執行程序進行完整性保護,并對其來源進行真實性驗證;
g)以上如采用密碼服務,該密碼服務應符合法律法規的相關要求,需依法接受檢測認證的,應經商用密碼認證機構認證合格;
h)以上采用的密碼產品,應達到GB/T 37092二級及以上安全要求。
設備和計算安全主要是對設備中的訪問控制信息、重要信息資源安全標記、日志記錄、重要可執行程序等提出安全要求。其本質是保證密碼技術的運行和計算環境安全,主要針對的設備有兩種,一種是密碼產品,另一種是通用設備。密碼產品自身可直接完成密鑰管理和密碼計算,只要其具有商用密碼產品認證證書,即通過國家密碼管理部門審批或由具備資格的機構檢測認證合格,其安全性就可以得到保證。而通用設備則需要通過使用內置密碼部件(如加密硬盤、密碼卡等)或智能密碼鑰匙以及服務器密碼機來實現設備和計算安全[4]。
4.4 應用和數據安全密碼應用要求
第三級要求包括:
a)應采用密碼技術對登錄用戶進行身份鑒別,保證應用系統用戶身份的真實性;
b)宜采用密碼技術保證信息系統應用的訪問控制信息的完整性;
c)宜采用密碼技術保證信息系統應用的重要信息資源安全標記的完整性;
d)應采用密碼技術保證信息系統應用的重要數據在傳輸過程中的機密性;
e)應采用密碼技術保證信息系統應用的重要數據在存儲過程中的機密性;
f)宜采用密碼技術保證信息系統應用的重要數據在傳輸過程中的完整性;
g)宜采用密碼技術保證信息系統應用的重要數據在存儲過程中的完整性;
h)在可能涉及法律責任認定的應用中,宜采用密碼技術提供數據原發證據和數據接收證據,實現數據原發行為的不可否認性和數據接收行為的不可否認性;
i)以上如采用密碼服務,該密碼服務應符合法律法規的相關要求,需依法接受檢測認證的,應經商用密碼認證機構認證合格;
j)以上采用的密碼產品,應達到GB/T 370921二級及以上安全要求。
應用和數據安全主要是針對系統中的關鍵業務和重要數據提出的安全要求,是密碼保護網絡安全的最終層面。盡管在網絡和通信安全以及設備和計算安全以及提供了安全防護,但仍有一些業務應用系統需要特殊保護。這種多層次的深度防御在單層安全機制失效時可以發揮非常有效的作用。
4.5 管理制度密碼應用要求
第三級要求包括:
a)應具備密碼應用安全管理制度,包括密碼人員管理、密鑰管理、建設運行、應急處置、密碼軟硬件及介質管理等制度;
b)應根據密碼應用方案建立相應密鑰管理規則;
c)應對管理人員或操作人員執行的日常管理操作建立操作規程;
d)應定期對密碼應用安全管理制度和操作規程的合理性和適用性進行論證和審定,對存在不足或需要改進之處進行修訂;
e)應明確相關密碼應用安全管理制度和操作規程的發布流程并進行版本控制;
f)應具有密碼應用操作規程的相關執行記錄并妥善保存。
4.6 人員管理密碼應用要求
第三級要求包括:
a)相關人員應了解并遵守密碼相關法律法規、密碼應用安全管理制度;
b)應建立密碼應用崗位責任制度,明確各崗位在安全系統中的職責和權限:
1)根據密碼應用的實際情況,設置密鑰管理員、密碼安全審計員、密碼操作員等關鍵安全崗位;
2)對關鍵崗位建立多人共管機制;
3)密鑰管理、密碼安全審計、密碼操作人員職責互相制約互相監督,其中密碼安全審計員崗位不可與密鑰管理員、密碼操作員兼任;
4)相關設備與系統的管理和使用賬號不得多人共用。
c)應建立上崗人員培訓制度,對于涉及密碼的操作和管理的人員進行專門培訓,確保其具備崗位所需專業技能;
d)應定期對密碼應用安全崗位人員進行考核;
e)應建立關鍵人員保密制度和調離制度,簽訂保密合同,承擔保密義務。
4.7 建設運行密碼應用要求
第三級要求包括:
a)應依據密碼相關標準和密碼應用需求,制定密碼應用方案;
b)應根據密碼應用方案.確定系統涉及的密鑰種類、體系及其生存周期環行,各環力密鑰管理要求參照附錄B;
c)應按照應用方案實施建設;
d)投入運行前應進行密碼應用安全性評估,評估通過后系統方可正式運行;
e)在運行過程中,應嚴格執行既定的密碼應用安全管理制度,應定期開展密碼應用安全性評估及攻防對抗演習,并根據評估結果進行整改。
4.8 應急處理密碼應用要求
第三級要求包括:
a)應制定密碼應用應急策略,做好應急資源準,當密碼應用安全事件發生時,應立即啟動應急處置措施,結合實際情況及時處置;
b)事件發生后,應及時向信息系統主管部門進行報告;
c)事件處置完成后,應及時向信息系統主管部門及歸屬的密碼管理部門報告事件發生情況及處置情況。
5 商用密碼應用安全性評估
5.1 密評工作的主要內容
密碼測評是指對采用了商用密碼技術、產品和服務集成建設的網絡和信息系統,按照商用密碼管理政策和相關密碼標準,對其密碼應用的合規性、正確性、有效性進行評估。
5.1.1 合規性要求
合規性要求主要是指信息系統中所使用的密碼算法、密碼技術、密碼協議、密碼產品、密碼服務等必須滿足《商用密碼管理條例》等密碼相關標準規范和要求,采用符合國家密碼法規的密碼算法,如ZUC、SM2、SM3、SM4、SM9等;采用通過國家密碼管理部門核準的密碼產品和密碼模塊;采用通過國家密碼管理部門許可的密碼服務;按照相關標準政策法規進行密碼應用方案設計。
5.1.2 正確性要求
由于信息系統的復雜性和多樣性,其面臨的攻擊方法也是多種多樣的。在面對不同的信息系統時,應使用符合系統安全要求的密碼算法、密碼技術、密碼產品和密碼服務,對系統中的敏感數據進行保護,在改造或建設密碼保障系統的過程中,正確的進行密碼產品和服務的部署。
5.1.3 有效性
信息系統并不是一成不變的,因此,系統中采用的密碼協議、密鑰管理體系以及密碼安全防護機制等不僅在設計規劃時要合理有效,在建設運行時也要保證密碼應用始終有效,在進行應用修改、配置管理調整等動態變化時,更要緊跟系統變化進行安全評估,保證發揮密碼效用,實現密碼應用的系統安全、體系安全和動態安全[5]。
5.2 密碼測評基本原則
(1)客觀公正原則
在進行測評時,測評方必須確保在最少的主觀判斷情況下,且測評方案需被測方認可,測評方式需明確定義的條件下開展測評工作。
(2)經濟性和可復用性原則
測評工作可以復用商用密碼產品檢測結果和商用密碼應用安全性評估測評結果。所復用的測評結果應該以結果適用于待測系統為前提,并且需要能夠客觀反應當前系統的安全狀態。
(3)可重復性和可再現性原則
使用同樣的測評方法,在同樣的測評要求和測評環境下,不同測評機構的測評結果應該相同,且對于每個測評過程進行重復執行都應得到相同的結果。
5.3 測評風險
(1)驗證測試可能影響系統正常運行
在測評過程中需要對系統和設備進行測評工作,針對測評內容需要上機對信息進行查看,可能會對系統的運行產生影響。
(2)工具測試可能影響系統正常運行
在現場測評過程中,需要使用測評工具對系統進行測試,而測評工具在使用過程中可能會產生冗余數據的寫入,從而對系統的負載造成一定影響,進而對系統的通信甚至服務器造成影響。
(3)可能導致敏感信息泄露
在測評過程中,系統中的敏感信息如業務流程、用戶敏感信息、加密機制以及機密文檔可能會遭到泄露。
(4)其他可能面臨的風險
在測評過程中,也有可能會出現影響信息系統的可用性、保密性和完整性的風險。
5.4 密碼測評過程
5.4.1 測評準備活動
測評準備活動主要的目的是順利啟動測評項目,以便接下來測評方案的編制。測評準備活動包括項目啟動、信息收集和分析、工具和表單準備三項主要工作。
(1)項目啟動
在項目啟動任務中,測評方根據雙方簽訂的委托測評協議書和系統規模,挑選人員組建測評項目組,并編制項目計劃書,項目計劃書應該包括項目概述、工作依據、技術思路、工作內容和項目組織等,還需獲取被測單位及信息系統的基本情況,從人員、計劃安排、基本資料等方面為項目做準備。
測評方還需要委托單位提交一些基本信息,其中包括被測系統的總體描述、安全管理制度文件、密鑰管理制度、相關流程管理記錄、測評委托單位信息化建設與發展狀況及聯絡方式、安全保護等級定級報告、系統驗收報告、安全需求分析報告、安全總體方案、自查或上次測評報告等材料。
(2)信息收集和分析
測評方通過查閱被測系統相關資料或者使用已有調查表格的方式,對整個系統的密碼使用情況進行調查,為撰寫測評方案以及現場測評提供基礎。若調查表格填寫不準確或出現互相矛盾,測評方應進行現場調查,以確認正確的調研信息。
(3)工具和表單準備
測評人員在進行現場測評之前,應確定和熟悉相關測評工具、并準備各種表單,如風險告知書、現場測評授權書、會議記錄表單、會議簽到表單等。
5.4.2 方案編制活動
方案編制活動主要是為了對測評準備活動中的資料進行歸納和整理,并擬定出測評方案,為現場測評工作提供指導方案和規范性文件。方案編制活動主要包括測評對象確定、測評指標確定、測試檢查點確定、測評內容確定及測評方案編制五項主要工作。
(1)測評對象確定
首先根據調查表格以及現場調查,獲取被測系統的基本情況,包括其網絡邊界、安全設備、密碼產品、物理環境、網絡拓撲圖結構與網絡邊界、業務應用系統等,及其密碼使用情況。隨后根據上述信息,以網絡拓撲圖為基礎對被測系統進行描述。隨后測評方需要根據被測系統的基本情況,來確認系統的核心資產、設備和組件的情況,并對資產的價值進行認定,最終確定測評對象,包括物理和環境、業務應用軟件、主機和服務器、數據庫、網絡安全設備、密碼產品以及密碼管理文檔等,并以列表的形式對設備名稱、用途、信息等進行描述。
(2)測評指標確定
根據被測系統的定級結果,《信息系統密碼測評要求》中相應等級對應的測評指標以及系統的實際情況,對系統所有的不適用項及其具體情況進行確認和檢查評估,并詳細論述其安全需求和不適用的原因。
(3)測試檢查點確定
在測評過程中,需要對關鍵設備及關鍵業務進行抓包測試、查看關鍵設備配置,以查看其使用的密碼算法、密碼技術及密鑰管理是否是通過國家密碼管理部門認證或行業主管部門認可的。測試的檢查點需要在編制測評方式時確定。
(4)測評內容確定
將測評指標、測評對象、測評方法根據《信息系統密碼應用基本要求》和《信息系統密碼測評要求》結合起來,并簡要編制各個測評單元相應的現場測評測試內容。
(5)測評方案編制
匯總項目概述、測評對象、測評指標、測試檢查點、單元測評實施以及其他內容,形成測評方案。
5.4.3 現場測評活動
(1)現場測評準備
確認測評工具、現場測評需要的資源,委托單位的配合人員以及提供的測評條件等,并簽署現場測評授權書。
(2)現場測評和結果記錄
測評方安排測評人員在約定的時間段內,通過對被測系統的工具測試、配置審查、文檔審查、實地查看以及相關人員訪談的方式對被測系統進行現場測評,并將測評結果記錄表格。
(3)結果確認和資料歸還
現場測評完成后,測評人員匯總現場測評記錄并檢查是否有遺漏,并交由委托單位確認簽字,最后將借閱的所有文檔資料以及安全設備歸還。
5.4.4 分析與報告編制活動
(1)單項測評結果判定
該工作的目的是將評價指標中的單個測評項與特定的測評對象相結合,對測評證據進行客觀、準確的分析,從而得出一個初步的單項測評結果以及分數。單項測評結果是測評結論的依據。
(2)單元測評結果判定
該任務主要是以將單項測評結果按不同的測評層面進行匯總,從而得出單元測評結果和分數。
(3)整體測評
該任務主要是將單元測評結果進行匯總,得出整體測評結果以及最后的分數。
(4)風險分析
測評人員根據信息系統密碼應用的相關規范額標準,結合單項測評結果與單元測評結果,對信息系統中可能出現的安全威脅進行風險分析。
(5)測評結論形成
對測評結果匯總表格、整體測評分數以及風險分析結果進行分析,若測評結果中所有測評項均為符合,信息系統未發現安全問題,則測評結論為符合;若信息系統中存在安全問題,綜合得分小于100分不低于60分,且系統的密碼應用無高風險,則測評結論為部分符合;若信息系統中存在安全問題,綜合得分低于60分或者密碼應用存在高風險,則測評結論為不符合。
(6)測評報告編制
將概述、被測信息系統描述、測評對象說明、測評指標說明、測評內容和方法說明、單元測評、整體測評、測評結果匯總、風險分析和評價、測評結論、整改建議等內容進行匯總,編制成測評報告[5]。
6 結束語
隨著信息安全產業的蓬勃發展,密碼技術在政務、金融、教育、醫療衛生、公共服務以及關鍵信息基礎設施等諸多領域的保障作用日益凸顯。當今世界正處于百年未有之大變局,密碼技術作為信息安全的基礎支撐和核心技術,已成為各國政府和國際組織關注的重點。因此,發展密碼測評,規范密碼技術的使用,提高網絡與信息系統密碼應用的合規性、有效性、正確性,是保障我國網絡空間安全、維護國家安全的必然需求。
