解讀商用密碼安全性評估（密評）的幾大問題

123山不轉(zhuǎn)水轉(zhuǎn) 2021-06-14

展開全文

1、什么是商用密碼安全性評估?

2、為什么要做密評?

3、哪些系統(tǒng)需要密評?

4、參考標準有哪些?

5、密評總體要求?

6、不做密評或測試結(jié)果不合格的影響?

7、密評流程主要有哪些?

8、密評單位有哪幾家?

1、什么是商用密碼安全性評估?

商用密碼應用安全性評估(簡稱“密評”)，是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對其密碼應用的合規(guī)性、正確性和有效性進行評估。

2、為什么要做密評?

開展密評，是為了解決商用密碼應用中存在的突出問題，為網(wǎng)絡(luò)和信息系統(tǒng)的安全提供科學評價方法，逐步規(guī)范商用密碼的使用和管理。從根本上改變商用密碼應用不廣泛、不規(guī)范、不安全的現(xiàn)狀，確保商用密碼在網(wǎng)絡(luò)和信息系統(tǒng)中有效使用，切實構(gòu)建起堅實可靠的網(wǎng)絡(luò)安全密碼屏障。開展密評，是國家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)提出的明確要求，是法定責任和義務(wù)。

《中華人民共和國密碼法》

第二十七條 法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接，避免重復評估、測評。

《商用密碼應用安全性評估管理辦法(試行)》

第三條 涉及國家安全和社會公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位(以下簡稱責任單位)應當健全密碼保障體系，實施商用密碼應用安全性評估。

重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括：基礎(chǔ)信息網(wǎng)絡(luò)、涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會服務(wù)的政務(wù)信息系統(tǒng)，以及關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護第三級及以上信息系統(tǒng)。

3、哪些系統(tǒng)需要密評?

《網(wǎng)絡(luò)安全等級保護條例》

第四十七條【非涉密網(wǎng)絡(luò)密碼保護】非涉密網(wǎng)絡(luò)應當按照國家密碼管理法律法規(guī)和標準的要求，使用密碼技術(shù)、產(chǎn)品和服務(wù)。第三級以上網(wǎng)絡(luò)應當采用密碼保護，并使用國家密碼管理部門認可的密碼技術(shù)、產(chǎn)品和服務(wù)。

主要系統(tǒng)有

基礎(chǔ)信息網(wǎng)絡(luò)：電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)。

重要信息系統(tǒng)：能源、教育、公安、測繪地理信息、社保、交通、衛(wèi)生計生、金融等涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng)。

重要工業(yè)控制系統(tǒng)：核設(shè)施、航空航天、先進制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運輸、水利樞紐、城市設(shè)施等重要工業(yè)控制系統(tǒng)。

面向社會服務(wù)的政務(wù)信息系統(tǒng)：黨政機關(guān)和使用財政性資金的事業(yè)單位和團體組織使用的面向社會服務(wù)的信息系統(tǒng)。

4、參考標準有哪些?

《中華人民共和國密碼法》

《商用密碼應用安全性評估管理辦法(試行)》

《信息安全等級保護商用密碼管理辦法》

《信息安全等級保護商用密碼技術(shù)實施要求》

《信息安全等級保護商用密碼技術(shù)要求》

GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應用基本要求》

《信息系統(tǒng)密碼測評要求》

GM/T0054-2018 《信息系統(tǒng)密碼應用基本要求》

5、密評總體要求?

總體要求是所有信息系統(tǒng)都需遵循的基本要求，包括密碼算法、密碼技術(shù)、密碼產(chǎn)品、密碼服務(wù)4個層面的相關(guān)要求，具體要求如下：

1、總體要求

密碼算法：使用的密碼算法應當符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標準、行業(yè)標準的有關(guān)要求，重點關(guān)注密碼算法的合規(guī)性。

密碼技術(shù)：使用的密碼技術(shù)應遵循密碼相關(guān)國家標準和行業(yè)標準。重點關(guān)注加密技術(shù)的合規(guī)性，密碼技術(shù)應保證自身的安全性，可靠性，與信息系統(tǒng)的互聯(lián)互通性。

密碼產(chǎn)品：使用的密碼產(chǎn)品與密碼模塊應通過國家密碼管理部門核準。“密碼模塊”可包括密碼卡、密碼機、定制密碼模塊、密碼軟件等多種形態(tài)。重點關(guān)注密碼產(chǎn)品的合規(guī)性和有效性，密碼產(chǎn)品和密碼模塊需根據(jù)國家相關(guān)規(guī)定進行密碼產(chǎn)品安全等級確定、檢測。其中根據(jù)GM/T0028-2014 《密碼模塊安全技術(shù)要求》確定安全等級，依據(jù)GM/T0039-2015《密碼模塊安全檢測要求》進行產(chǎn)品檢測。

密碼服務(wù)：使用的密碼服務(wù)應通過國家密碼管理部門許可。如CA認證機構(gòu)應獲得《電子認證服務(wù)使用密碼許可證》以及《電子認證服務(wù)許可證》。

2、密碼功能要求

密碼功能要求是對密碼技術(shù)在信息系統(tǒng)中的使用場景起到什么作用的闡述，密碼功能要求包括機密性、完整性、真實性和不可否認性。

機密性：使用密碼加密功能，保障信息系統(tǒng)重要數(shù)據(jù)在傳輸、存儲過程中的保密性以及身份鑒別信息、密鑰數(shù)據(jù)的機密性。

完整性：使用消息校驗碼(MAC)或數(shù)字簽名實現(xiàn)完整性，保障信息系統(tǒng)重要數(shù)據(jù)在傳輸、存儲過程中的完整性以及身份鑒別信息、密鑰數(shù)據(jù)、日志記錄、訪問控制信息、資源敏感標記、重要程序、可信信任鏈、視頻監(jiān)控記錄、電子門禁出入記錄的完整性。

真實性：使用對稱加密、動態(tài)口令、數(shù)字簽名等實現(xiàn)真實性，保障信息系統(tǒng)中各類基礎(chǔ)設(shè)施、軟硬件設(shè)備以及業(yè)務(wù)應用系統(tǒng)的用戶身份鑒別信息的真實性。

不可否認性:使用數(shù)字簽名等密碼技術(shù)實現(xiàn)實體行為的不可否認性，保障信息系統(tǒng)中無法否認的操作行為，如發(fā)送、接收、審批、創(chuàng)建、修改、刪除、添加、配置等。

3、密碼技術(shù)應用要求、密鑰管理和安全管理

密碼技術(shù)應用要求包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應用和數(shù)據(jù)安全;密鑰管理主要從密鑰的生成、存儲、分發(fā)、導入、導出的安全性和正確性;使用的正確性;備份和恢復的可靠性;歸檔的安全性與正確性;緊急情況下的銷毀等環(huán)節(jié)提出相應的要求。安全管理包括制度、人員、實施和應用四個維度。

這三個層面分別對信息系統(tǒng)(等級保護1級到4級系統(tǒng))如何使用密碼提出了要求，要求強度使用應、宜、可三個級別來表示。

6、不做密評或測試結(jié)果不合格的影響?

《密碼法》第三十七條第一款

關(guān)鍵信息基礎(chǔ)設(shè)施的運營者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告;拒不改正或者導致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

《國家政務(wù)信息化項目建設(shè)管理辦法》第二十八條第三款

對于不符合密碼應用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運行維護經(jīng)費，項目建設(shè)單位不得新建、改建、擴建政務(wù)信息系統(tǒng)。

《商用密碼應用安全性評估管理辦法(試行)》第二章第十條

關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護第三級及以上信息系統(tǒng)，每年至少評估一次。

7、密評流程主要有哪些?

“密評”的實施流程主要包括密碼應用方案評估、測評準備、方案編制、現(xiàn)場測評、測評結(jié)論分析、密碼測評報告編制。