对于密评,你了解多少?
—— 前言 ——
密评是商用密码应用安全性评估的简称,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。简单地说,就是对使用了商业密码的系统进行评估,从而确保其密码应用的合规、正确、有效。
2021年3月,国家市场监督管理总局、中国国家标准化管理委员会发布了GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,规定了信息系统第一级到第四级的密码应用的基本要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处理四个方面提出了第一级到第四级的密码应用管理要求。
那么,如何判断需要进行密评,不做密评或者密评不合格将会有什么影响,又要如何做密评呢?本文将会为大家做详细的分解。
—— 如何判断需要进行密码测评 ——
对于哪些领域、单位需要做密评,相关法律法规给与了明确。
- 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
- 涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
- 重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
- 第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿开展商用密码应用安全性评估。
图:重要领域网络和信息系统
—— 不做密评或密评不合格的处罚 ——
《密码法》第三十七条第一款规定:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第二十八条第三款规定:对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
《商用密码应用安全性评估管理办法(试行)》第二章第十条规定:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
—— 密评评测内容 ——
密评评测依据的依据主要包括:GB/T 39786-2021 《信息系统密码应用基本要求》、《信息系统密码测评要求》、《商用密码应用与安全性评估》等。
部分参考标准包括:
1) GB/T 22239 信息安全技术 网络安全等级保护基本要求
2) GB/T 28448 信息安全技术 网络安全等级保护测评要求
3) GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南
4) GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
5) GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南
6) 各信息系统安全等级保护定级报告
7) GM/T 0005-2012随机性检测规范
8) GM/T 0028-2014密码模块安全技术要求
9) GM/T 0030-2014服务器密码机技术规范
10) GM/T 0045-2016 金融数据密码机技术规范
11) GM/T 0014-2012数字证书认证系统密码协议规范
12) GM/T 0022-2014IPSec VPN 技术规范
13) GM/T 0024-2014 SSL VPN 技术规范
14) GM/T 0021-2012动态口令密码应用技术规范
15) GM/T 0027-2014智能密码钥匙技术规范
16) GM/T 0029-2014签名验签服务器技术规范
17) GM/T 0034-2014基于SM2密码算法的证书认证系统密码及其相关安全技术规范
测评过程包括四项基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评方与受测方之间的沟通与洽谈应贯穿整个测评过程。未进行密码应用方案评估的,可由责任单位委托测评机构或组织专家进行评估;通过评估的密码应用方案可以作为测评实施的依据。
• 测评对象选择
– 依据信息系统密码测评要求,结合资产重要程度的分析结果,项目组将对被测系统的主机设备和网络设备进行抽样。抽样方法为:同型号、同功能、同配置的设备抽取其中一台,采用双机热备机制的设备抽取其中至少一台进行测评。
• 物理环境
– 测评应选取被测系统的主要物理环境,对其配备的门禁系统、视频监控系统以及上述系统的存储设备进行选择、评估。
• 安全设备
– 测评应选择被测系统的主要安全设备进行评估,如防火墙、VPN、入侵检测、入侵防御、堡垒主机等。
• 密码设备
– 测评应选择被测系统所有密码设备进行评估,主要检查密码设备、密码技术、密码算法的合规性、正确性及有效性
• 服务器/存储设备
– 测评应选择被测系统主要服务器及存储设备进行评估。
• 业务应用软件
– 测评应选择被测系统主要业务应用软件进行评估。
• 访谈人员
– 测评应选择被测系统相关的主要安全人员进行访谈。访谈的对象应包括:安全管理员、系统管理员、数据库管理员、应用管理员、开发人员、密钥管理人员、审计人员及其他相关人员。
• 安全管理文档
– 测评应选择被测系统相关的主要管理文档进行审查。审查范围包括但不限于:
序号 | 文档名称 | 主要内容 |
1 | 管理制度类文档 | 安全方针文件、安全管理制度等 |
2 | 记录类文档 | 制度执行情况记录、各种运行记录等 |
3 | 证据类文档 | 系统建设方案、设计方案、测试方案、测试报告等 |
评测技术基线包括物理与环境、网络与通信、设备与计算、应用与数据。
指标要求 | 测评项 | |
物理和环境安全 | 身份鉴别 | 采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; |
电子门禁记录数据完整性 | 采用密码技术保证电子门禁系统进出记录数据的存储完整性; | |
视频记录数据完整性 | 采用密码技术保证视频监控音像记录数据的存储完整性。 | |
网络和通信安全 | 身份鉴别 | 采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; |
访问控制信息完整性 | 采用密码技术保证通信过程中数据的完整性; | |
通信数据完整性 | 采用密码技术保证通信过程中重要数据的机密性; | |
通信数据机密性 | 采用密码技术保证网络边界访问控制信息的完整性; | |
集中管理通道安全 | 采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。 | |
设备和计算安全 | 身份鉴别 | 采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; |
远程管理通道安全 | 远程管理设备时,应采用密码技术建立安全的信息传输通道; | |
系统资源访问控制信息完整性 | 采用密码技术保证系统资源访问控制信息的完整性; | |
重要信息资源安全标记完整性 | 采用密码技术保证设备中的重要信息资源安全标记的完整性; | |
日志记录完整性 | 采用密码技术保证日志记录的完整性; | |
重要可执行程序完整性、重要可执行程序来源真实性 | 采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。 | |
应用和数据安全 | 身份鉴别 | 采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; |
访问控制信息完整性 | 采用密码技术保证信息系统应用的访问控制信息的完整性; | |
重要信息资源安全标记完整性 | 采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; | |
重要数据传输机密性 | 采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; | |
重要数据存储机密性 | 采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; | |
重要数据传输完整性 | 采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; | |
重要数据存储完整性 | 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; | |
不可否认性 | 在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 | |
从管理制度、人员、建设运营和应急处置等方面评测信息系统的安全管理。
指标要求 | 评测项 | |
管理制度 | 具备密码应用安全管理制度 | 具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; |
密钥管理规则 | 根据密码应用方案建立相应密钥管理规则; | |
建立操作规程 | 对管理人员或操作人员执行的日常管理操作建立操作规程; | |
定期修订安全管理制度 | 定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订; | |
明确管理制度发布流程 | 明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制; | |
制度执行过程记录留存 | 具有密码应用操作规程的相关执行记录并妥善保存。 | |
人员 | 了解并遵守密码相关法律法规和密码管理制度 | 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; |
建立密码应用岗位责任制度 | 建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限; | |
建立上岗人员培训制度 | 建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; | |
定期进行安全岗位人员考核 | 定期对密码应用安全岗位人员进行考核; | |
建立关键岗位人员保密制度和调离制度 | 建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。
| |
建设运行 | 制定密码应用方案 | 依据密码相关标准和密码应用需求,制定密码应用方案; |
制定密钥安全管理策略 | 根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术 信息系统密码应用基本要求》 | |
制定实施方案 | 按照应用方案实施建设; | |
投入运行前进行密码应用安全性评估 | 投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; | |
定期开展密码应用安全性评估及攻防对抗演习 | 在运行过程中,应严格执行既定的密码应用安全管理制度,应定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。 | |
应急处置 | 应急策略 | 应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置; |
事件处置 | 事件发生后,应及时向信息系统主管部门进行报告; | |
向有关主管部门上报处置情况 | 事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。 | |
测评方式包括访谈、文档审查、配置检查、工具测试和实地查看。
• 访谈
– 测评人员与被测系统有关人员(个体/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。访谈深度(即访谈内容的详细程度)以及访谈的广度(即对被测评组织中员工角色类型以及每种类型中人数的覆盖程度)由测评人员依据不同的测评需要进行选择和判断。
• 文档审查
– 检查基本要求中规定的必须具有的制度、策略、操作规程等文档是否齐备。
– 检查是否有完整的制度执行情况记录,如安全事件处置记录、电子记录等。
– 对上述文档进行审核与分析,检查它们的完整性和这些文档之间的内部一致性。
• 配置检查
– 根据测评结果记录表格内容,利用上机验证的方式检查密码设备、密码产品机应用系统的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实。
• 工具测试
– 根据测评方案,利用技术工具对系统进行测试。
• 实地查看
– 根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的标准要求。
—— 结束语 ——
为什么要过密评,简单地来说,这是相关法律法规的明确要求,不过密评,就会受到相应的处罚。相关单位、行业对照自身信息系统建设情况,符合要求的,及时积极的开展密评;不符合要求的,积极主动的开展密改,做到符合国家政策要求,同时也保障自身信息系统的安全性。
8087金沙娱场城依托自身具备多年网络安全及密码领域工作经验的专业服务团队,以自身丰富多样的商用密码产品为核心,可基于信息系统密码应用现状,为用户量身打造一套符合国家密码管理局相关要求的密码应用体系。8087金沙娱场城在国密改造工作前期,对用户密码应用现状进行详细调研和评估,充分调研当前密码算法、密码资产和密码应用情况,明确整改环节和整改方法,形成完善的国密改造建设方案;后续根据方案内容,通过自有符合国家标准规定的一系列商密产品,帮助用户完成密码算法及密码应用方式的改造。
