背景介绍
1.1密评到底是个啥?
密评,全称为商用密码应用安全性评估(以下简称密评),是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
2020年起实施的《中华人民共和国密码法》明确规定密评有关要求,新修订的《商用密码管理条例》进一步细化了相关规定。密评对我国商用密码应用和管理工作具有重要的推动和规范作用,其体系也在不断发展和完善过程中。 1.2 密评的基本信息 (1)管理单位
国家密码管理局负责管理全国的商用密码应用安全性评估工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码应用安全性评估工作。 (原文:《商用密码应用安全性评估管理办法》,国家密码管理局令第3号,2023年9月11日公布,自2023年11月1日起施行)
(2)要求密评的法律法规
《密码法》、《商用密码应用安全性评估管理办法》、《国家政务信息化项目建设管理办法》、《关键信息基础设施安全保护条例》等多部法律法规都直接对多类信息系统提出了密评要求。
1.3商用密码管理相关法律法规和标准 从国务院1999年10月发布的《商用密码管理条例》,一直到2024年11月中国密码学会密评联委会最新发布的《商用密码应用安全性评估测评实施指引》、《商用密码应用安全性评估测评工具指引》,二十余年来有关部门相继发布了十余部与商用密码管理相关的法律法律、标准文件、指南文件。 1.4 密评的发展历史(5阶段)
密评最早于2007 年提出,经过十余年的积累,密评制度体系不断成熟,其发展经历了4个阶段,现已步入第5阶段:密评工作常态化阶段,全国各地各行业领域和有关部门都在推动密评工作的有序开展。
引用文章:江苏省国家密码管理局,2022-06-27 《商用密码应用安全性评估体系发展历程》 密评评估的对象(6类) 2.1 6类重要领域网络和信息系统
2017年4月22日,国家密码管理局发布《商用密码应用安全性评估管理办法(试行)》,明确了需要开展密评工作的6类重要领域网络和信息系统。
2023年9月26日,国家密码管理局发布《商用密码应用安全性评估管理办法》正式版(2023年11月1日起实施),将密评对象描述为“重要网络与信息系统”,这一描述为后续密评对象的覆盖范围扩张留出了空间。
尽管最新的法律文件对覆盖范围进行了调整,但当前常见的做法仍是参考试行版管理办法明确指出的6类系统对密评对象进行选定。 下图对基础信息网络、重要工业控制系统、重要信息系统、面向社会服务的政务信息系统做了详细的解释和举例。
2.2 关基、密评、等保三者间的关系
等级保护评估对象、密评对象、关基安全检测评估对象的描述如图所示:
通过以上介绍,我们可以得出以下三条结论: (1)等级保护对象基本覆盖了全部的网络和信息系统,第三级以上的网络安全等级保护对象同时为关基和密评的评估对象; (2)密评对象含关键基础设施、第三级等级保护对象和部分重要的信息系统。 (3)关键基础设施一定是等级测评和密评的评估的对象; 根据以上结论我们画出了这三类评估对象的包含关系图。 在密评工作的实际操作过程中,我们一般认为等保三级及以上系统评估对象≈密评对象。 在2023年10月更新的《商用密码应用安全性评估FAQ (第三版)》中,对如何确定被测信息系统密码应用等级作出了详细解释,给出了密评等级与等保等级的对应关系。 根据该解释,等保三级及以上系统需遵循三级及以上密码应用要求。 密评体系 3.1 密评体系介绍(7大要素)
密评体系总体架构如下图所示。密评体系借鉴了信息安全等级保护工作十多年的实施经验,并考虑影响密评试点实施的关键要素,分为两层共7大要素。
(1)第一层:体系的底层是支撑层,包括法律法规制度和支撑平台2个要素; (2)第二层: 体系的上层是实施层,包括机构、人员、测评、报告、风控5要素。 目前,密评体系有些要素已基本具备(如机构要素中的测评机构管理办法、技术能力要求,测评要素中的应用标准、测评标准、测评过程指南等),有些要素在持续完善中。在密评工作开展过程中,既要严格遵守常用的各项规定,也要持续关注最新出台的政策和文件。 3.2 哪些机构可以开展密评评估?最新目录(112家) 2017年4月22日发布的《商用密码应用安全性评估管理办法(试行)》中,第六条规定: 第六条:商用密码应用安全性评估工作由国家密码管理部门认定的密码测评机构承担,国家密码管理部门定期发布测评机构目录。 2023年9月26日发布的《商用密码应用安全性评估管理办法》(正式版)第四条调整了上述定义,规定: 第四条:从事商用密码应用安全性评估活动,向社会出具具有证明作用的商用密码应用安全性评数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资质。
结合二者来看,机构必须经国家密码管理局认定,依法取得商用密码检测机构资质后才可开展密评评估工作。2024年11月11日,国家密码管理局公告(第49号)发布了《商用密码检测机构(商用密码应用安全性评估业务)目录》,共包含112家机构。
以下是小编截取的部分机构名单(排名不分先后):
3.3 密评测评体系(4板块)
密评测评体系共包含4个板块,分别是技术体系、管理规范、实施过程、测评类型,各板块的详细内容如图所示。
3.4 测评体系文件介绍(10份文件)
对于3.3节密评测评体系中提及的各类标准、指南、指导书等文件,我们可以分为以下4类:行业要求、通用要求、测评指南、指导文件。
密评实施概述 4.1密评参考标准解读
在密评评估过程中我们主要参考最新的标准文件:《GB/T43206—2023信息安全技术信息系统密码应用测评要求》。
该文件主要从以下4个维度介绍了对信息系统密码应用一至四级的测评要求:(1)通用测评要求(2)技术测评要求(3)管理测评要求(4)整体测评要求。同时也介绍了风险分析和评价、测评结论。
4.2 什么时候需要做密评?
根据《商用密码应用安全性评估管理办法》(2023)第七、八、九条要求,密评贯穿于信息系统的规划、建设和运行阶段。密评工作的整体思路是“三同步一评估”,项目建设单位应当同步规划、同步建设、同步运行密码保障系统,每一个阶段都需要开展密评。
值得注意的是,为了保证密评顺利合规,项目建设单位在信息系统密码应用规划初期,就应该邀请专业机构参与指导系统现状分析,以及编制密码应用方案。
4.3 密评指标与评分
密评的详细指标与评分,需参考《商用密码应用安全性评估量化评估规则》2023版文件内容,我们整理了密评评定的各维度分数(100分制),值得注意的是,其中应用和数据安全共计30分,分值占比最高(安全管理的30分实际融合了:管理制度 8分,人员管理 8分,建设运行8分,应急处置6分 )。
在标准文件《GB/T 39786—2021信息安全技术-信息系统密码应用基本要求》附录A中,我们摘取了主要的技术性指标,如下图所示。其中红色字体“应”对应密评三级系统应该满足的技术性指标。
4.4 数据机密性和完整性保护的重要性
目前,密评三级系统是密评的主要评估对象,占比超过90%。通过对密评三级系统应该满足的技术性指标聚合,我们可以发现数据机密性保护工作占总体技术指标的1/3。
参考《信息系统密码应用高风险判定指引》文件,我们可以发现第三级及以上级别信息系统应用和数据安全领域的高风险项共计5项。
而在《GB/T 43206—2023信息安全技术信息系统密码应用测评要求》文件中,明确指出了以下情况密评最终结论将被判定为:不符合。 信息系统单元测评结果中存在不符合项和部分符合项,与测评指标存在较大差距,或存在的不符合项和部分符合项导致信息系统高安全风险。 也就是说以上这5项是一票否决项,数据机密性、完整性相关的高风险项占了其中的3项,足见数据机密性和完整性保护的在密评合规中的重要性。 如何进行信息系统密码应用建设? 5.1 信息系统密码应用建设参考标准解读
在信息系统密码应用建设或改造(也就是我们常说的“密改”)时,我们应该重点参考国家标准GB/T 39786—2021《信息安全技术-信息系统密码应用基本要求》,该标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求,以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。同时按照信息系统安全等级分别提出了相应的密码应用要求。该标准的内容框架如图所示。
5.2信息系统密码应用建设目标
建设信息系统密码应用建设目标,重点是建设其保障体系,完善密码基础设施,使用国产密码技术完善信息系统在身份鉴别、安全传输及数据机密性、完整性保护等方面的能力。进而提升密码管理和应用水平,增强信息系统的网络安全防护和风险防控能力,实现密评和其他各类监管要求。
5.3 信息系统密码应用建设-总体技术架构
信息系统密码应用建设的总体技术架构,主要是以满足总体性、完备性、经济性原则的基础上通过部署密码类设备,提供典型密码应用服务,以满足本系统的密码应用需求。
5.4 信息系统密码应用产品(模块)列表 结合密评相关的法律法规和标准文件,以及当前市场上主流密评相关产品厂家研发的产品功能,我们推荐以下11类产品作为密评合规的基本产品组合方案,仅供参考,具体行业和单位可以根据实际情况进行调整。 其中,产品数据库透明加密系统是针对4.4节所提到的数据机密性和完整性保护的专用解决方案,可以实现数据存储过程机密性、完整性保护,是信息系统密码应用(密改)方案的重要组成部分。 5.5 数据库透明加密系统深度解读 数据库透明加密系统,是指基于透明加密技术、主动防御机制的数据库防泄漏系统,能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等功能。 同时该系统还能有效防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取,防止绕开合法应用系统直接访问数据库,从根本上解决数据库敏感数据泄漏问题,真正实现了数据高度安全、应用完全透明、密文高效访问等技术特点。 评价一款数据库加密系统的优异程度一般有以下5个指标:
