【概念】密评详解

微信扫码，打开到小程序

工业和信息化部电子第五研究所 商用密码应用安全性评估 李 丹 中国赛宝实验室 工业和信息化部电子第五研究所 工业和信息化部电子第五研究所 （中国赛宝实验室） 目录 应 用 安 全 性 评 估 商 用 密 码 密评简介 1 2 政策法规 3 密评内容 4 密评实施 5 机构简介 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.1 密码释 义 《密码法》第二条给出密码定义： 密码是指采用特定变换的方法对信息等进行加密保护、 安全认证的技术、产品和服务。 《密码法》第八条： 商用密码用于保护不属于国家秘密的信息。 公民、法人和其他组织可以依法使用商用密码保护网络 与信息安全。 《中华人民共和国密码法》 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.2 密评释 义 商用密码应用安全性评估（简称“密评” ) ，指在采用商用密码技术、产品和服务 集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。 合规性 指密码算法、密码协议、密钥管 理、密码产品和服务使用合规。 使用符合国家密码法规和标准规 定的商用密码算法，使用经检测 认证合格的商用密码产品或服务。 正确性 指密码算法、密码协议、密钥管理、密 码产品和服务使用正确。即釆用的密码 算法、协议和密钥管理机制按照相应的 密码国家和行业标准进行正确的设计和 实现；密码保障系统建设或改造过程中 密码产品和服务的部署和应用正确。 有效性 指釆用的密码协议、密钥管理系统、 密码应用子系统和密码安全防护机 制不仅设计合理，而且在系统运行 过程中能够发挥密码效用，保障信 息的机密性、完整性、真实性、抗 抵赖性。 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.3 密评对 象 《商用密码管理条例（修订草案征求意见稿）》第三十八条明确密码应用安全 性评估对象为： 关键信息基础设施 网络安全等级保护第三级 及以上网络 国家政务信息系统 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.4 密评主要内 容 商用密码 应用安全 性评估 方案评估 系统评估 信息系统规划阶段 系统建设阶段 / 运行阶 段 工业和信息化部电子第五研究所 （中国赛宝实验室） 目录 密评简介 1 2 政策法规 3 密评内容 4 密评实施 5 机构简介 应 用 安 全 性 评 估 商 用 密 码 工业和信息化部电子第五研究所 （中国赛宝实验室） 第二十七条 法律、行政法规和国家有关规定要 求使用商用密码进行保护的关键信息基础设施， 其运营者应当使用商用密码进行保护，自行或者 委托商用密码检测机构开展商用密码应用安全性 评估。 第三十七条 关键信息基础设施的运营者违反本 法第二十七条第一款规定，未按照要求使用商用 密码，或者未按照要求开展商用密码应用安全性 评估的，由密码管理部门责令改正，给予警告； 拒不改正或者导致危害网络安全等后果的，处十 万元以上一百万元以下罚款，对直接负责的主管 人员处一万元以上十万元以下罚款。 第十条 建设、运营网络或者通过网络提供服务， 应当维护网络数据的完整性、保密性和可用性。 第二十一条 采取数据分类、重要数据备份和加密 等措施，保障网络免受干扰、破坏或者未经授权 的访问，防止网络数据泄露或者被窃取、篡改。 第四条 网络运营者在网络建设过程中，应当同 步规划、同步建设、同步运行网络安全保护、 保密和密码保护措施。 第四十七条 非涉密网络应当按照国家密码管理 法律法规和标准的要求，使用密码技术、产品 和服务。第三级以上网络应当采用密码保护， 并使用国家密码管理部门认可的密码技术、产 品和服务。 密码法 网络安全法 网络安全等级保 护条例（征求意 见稿） 第三十八条 非涉密的关键信息基础设施、网络安 全等级保护第三级以上网络、国家政务信息系统等 网络与信息系统，其运营者应当使用商用密码进行 保护，制定商用密码应用方案，配备必要的资金和 专业人员，同步规划、同步建设、同步运行商用密 码保障系统，自行或者委托商用密码检测机构开展 商用密码应用安全性评估。 前款所列网络与信息系统通过商用密码应用安全 性评估方可投入运行，运行后每年至少进行一次评 估，评估情况报送所在地设区的市级密码管理部门 备案。 商用密码管理条 例（修订草案征 求意见稿） 2.1 国家法律法 规 工业和信息化部电子第五研究所 （中国赛宝实验室） 2.1 国家法律法 规 《中华人民共和国密码法》 第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础 设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机 构开展商用密码应用安全性评估。 第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使 用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理 部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十 万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以 下罚款。 第四十四条 本法自 2020 年 1 月 1 日起施行。 工业和信息化部电子第五研究所 （中国赛宝实验室） 2.1 国家法律法 规 第十条 建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和 国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳 定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的 完整性、保密性和可用性。 第二十一条 采取数据分类、重要数据备份和加密等措施，保障网络免受干扰、 破坏或者 未经授权的访问，防止网络数据泄露或者被窃取、篡改。 《中华人民共和国网络安全法》 第七十九条 本法自 2017 年 6 月 1 日起施行。 工业和信息化部电子第五研究所 （中国赛宝实验室） 2.1 国家法律法 规 第八条 重要领域网络和信息系统规划阶段，责任单位应当依据商用密码应用安全 性有关标准 , 制定商用密码应用建设方案 , 组织专家或委托测评机构进行 评 估，评估结果作为项目规划立项的重要依据和申报使用财政性资金项 目的 必备材料。 第九条 重要领域网络和信息系统建设完成后，责任单位应当委托测评机构进行 商 用密码应用安全性评估，评估结果作为项目建设验收的必备材料。 《商用密码应用安全性评估 管理办法（试行）》 工业和信息化部电子第五研究所 （中国赛宝实验室） 2.1 国家法律法 规 第十条 重要领域网络和信息系统投入运行后，责任单位应当委托测评机构定期 开 展商用密码应用安全性评估，评估未通过 , 责任单位应当限期整改并 重新 组织评估。关键信息基础设施、网络安全等级保护第三级及以上信 息系统 ，每年至少评估一次。 第二十二条 本办法自 2017 年 4 月 22 日起施行。 《商用密码应用安全性评估 管理办法（试行）》 工业和信息化部电子第五研究所 （中国赛宝实验室） 2.1 国家法律法 规 第八条 采购需求应当落实国家密码管理有关法律法规、政策和标准规范的要求， 同步规划、同步建设、同步运行密码保障系统并定期进行评估 第十二条 采购人应当按照国家有关规定组织政务信息系统项目验收，根据项目特点 制定完整的项目验收方案。验收方案应当包括项目所有功能的实现情况、 密码应用和安全审查情况、信息系统共享情况、维保服务等采购文件和采 购合同规定的内容，必要时可以邀请行业专家、第三方机构或相关主管部 门参与验收。 《政务信息系统政府采购管 理暂行办法》 第十七条 本办法从 2018 年 1 月 1 日起施行。 工业和信息化部电子第五研究所 （中国赛宝实验室） 2.1 国家法律法 规 第九条 有关部门自行审批新建、改建、扩建，以及通过政府购买服务方式产生的 国家政务信息化项目，应当按规定履行审批程序并向国家发展改革委备案。 备案文件应当包括项目名称、建设单位、审批部门、绩效目标及绩效指标、 投资额度、运行维护经费、经费渠道、信息资源目录、应用系统、等级保 护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内 容。 《国家政务信息化项目建设 管理办法》 第十五条 项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同 步规划、同步建设、同步运行密码保障系统并定期进行评估。 工业和信息化部电子第五研究所 （中国赛宝实验室） 2.1 国家法律法 规 《国家政务信息化项目建设 管理办法》 第二十八条 对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息 系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信 息系统。 第三十条 各部门应当严格遵守有关保密等法律法规规定，构建全方位、多层次、一 致性的防护体系，按要求采用密码技术，并定期开展密码应用安全性评估 ，确保政务信息系统运行安全和政务信息资源共享交换的数据安全。 第三十六条 本办法自 2020 年 2 月 1 日起施行。 工业和信息化部电子第五研究所 （中国赛宝实验室） 2.2 标准规 范 2020 年 9 月 16 日，中国密码学会密评联委会发布《政务信息系统密码应用与安全 性 评估工作指南》（ 2020 版），指导非涉密的国家政务信息系统建设单位和使用 单位 规范开展商用密码应用与安全性评估工作：  第一章为政务信息系统密码应用与安全性评估实施过程指南，给出了政务信息 系统规划、建设、运行阶段，项目建设单位和使用单位分别应当开展的密码应 用与安全性评估相关工作。  第二章为政务信息系统密码应用措施指南，介绍了密码在政务信息系统中发挥 的主要功能，并给出了密码应用措施方面的建议。  第三章为政务信息系统密码应用与安全性评估质量保障指南，给出了项目建设 单位和使用单位、系统集成单位、密评机构在相关活动中的质量管理建议。  附录提供了密码应用方案模板、已发布的密码国家标准和密码行业标准目录、 电子公文处理系统的密码应用方案示例。 工业和信息化部电子第五研究所 （中国赛宝实验室） 目录 密评简介 1 2 政策法规 3 密评内容 4 密评实施 5 机构简介 应 用 安 全 性 评 估 商 用 密 码 工业和信息化部电子第五研究所 （中国赛宝实验室） 3 密评内 容 分析系统现状 明确密码应用 需求 按照要求编制 密码应用方案 方案密码应用 安全性评估 通过评估的 密码应用方案 规划阶段 按照密码应用 方案建设 系统密码应用 安全性评估 通过评估 的系统 建设阶段 整 改 定期开展系统密码应 用安全性评估 修订密码应用方案（必要时） 运行阶段 整 改 未通过 政务信息系统密码应用与安全性评估实施过程 工业和信息化部电子第五研究所 （中国赛宝实验室） 3.1 方案评 估  密码应用方案设计是信息系统密码应用的起点，它直接决定着信息系统的密码应用能 否 合规、正确、有效地部署实施；  密码应用方案需按照《信息系统密码应用基本要求》，结合信息系统的实际情况进行设计 ，保证其具有总体性、科学性、完备性和可行性；  密码应用方案是开展信息系统密码应用情况分析和评估工作的基础条件，是开展密评工 作 不可或缺的重要参考文件；  对于新建 / 改造信息系统，密码应用方案一般由责任单位组织商用密码从业单位编写。 责 任单位完成密码应用方案编制后，应委托测评机构对方案进行评估。  密码应用方案及其作用 工业和信息化部电子第五研究所 （中国赛宝实验室） 3.1 方案评 估  密码应用方案形式一 按照金融和重要领域密码应用试点工作要求，密码应用方案包含《密码应用解决方案》、《实施 方 案》、《应急处置方案》三个子方案。 《密码应用解决方案》应明确安全风险、密码应用需求，密码应 用体系架构、密码技术方案、算法使用、密钥管理等内容。 《实施方案》应明确实施路线图、应用 / 升级改造方案、责任 机 构和责任人、工作计划和任务分工等内容。 《应急处置方案》应分析潜在的意外事件并制定多套应急处置预 案，明确应急处理人员角色和责任、应急事件通告规则、损失评 估程序、预案激活条件等。 工业和信息化部电子第五研究所 （中国赛宝实验室） 3.1 方案评 估  方案评估要点 应用解决方案  内容的完整性  密码应用的合规性、正确性、有效性 实施方案  文档完整性  实施计划是否科学、合理、具备可行性  组织管理方法和保障措施合理、有效  与《应用解决方案》内容的一致性 应急处置方案 文档结构是否完整，并重点审查方案提出的风险事件是否完备，方 案 措施和应急预案是否合理、周密 工业和信息化部电子第五研究所 （中国赛宝实验室） 3.1 方案评 估  密码应用方案形式二 《政务信息系统密码应用与安全性评估工作指南》（ 2020 版）提供的政务信息系统密码应用方案模板， 将《密码应用解决方案》、《实施方案》、《应急 处 置方案》的内容进行整合，统一为政务信息系统 密码 应用方案，包括系统基本情况、密码应用需求、 密码 应用技术框架、密码应用部署、安全管理方案、 实施 保障方案等内容。 工业和信息化部电子第五研究所 （中国赛宝实验室） 3.1 方案评 估 方案评估要点  文档结构是否完整  系统基本情况是否梳理充分  密码应用需求是否清晰明确  密码应用技术框架中密码协议、防护机制、密钥管理、密码应用子系统设计是否 合理，能否满足安全需求和保障要求  密码产品应用和部署设计是否合理、正确  安全管理方案是否覆盖密码安全相关人员、制度、实施、应急等内容  实施保障方案中实施计划是否科学、合理，组织管理方法和保障是否合理有效 工业和信息化部电子第五研究所 （中国赛宝实验室） 3.2 系统评 估 GM/T 0054-2018 信息系统密码应用基本要求 工业和信息化部电子第五研究所 （中国赛宝实验室） 不同安全保护等级信息系统商用密码应用安全性评估指标 3.2 系统评 估 测评指标 等保级别指标要求 一级 （ 1 ） 技术要 求 物理和环境安全 身份鉴别 可 宜 应 应 电子门禁记录数据完整性 可 宜 应 应 视频记录数据完整性 — — 应 应 密码模块实现 — 宜 宜 应 网络和通信安全 身份鉴别 可 宜 应 应 访问控制信息完整性 可 宜 应 应 通信数据完整性 可 宜 应 应 通信数据机密性 可 宜 应 应 集中管理通道安全 — 应 应 密码模块实现 — 宜 宜 应 设备和计算安全 身份鉴别 可 宜 应 应 访问控制信息完整性 可 宜 应 应 敏感标记的完整性 可 宜 应 应 日志记录完整性 可 宜 应 应 远程管理身份鉴别信息机密性 — 宜 应 应 重要程序或文件完整性 — — 应 应 密码模块实现 — 宜 宜 应 应用和数据安全 身份鉴别 可 宜 应 应 访问控制 可 宜 应 应 数据传输安全 可 宜 应 应 数据存储安全 可 宜 应 应 日志记录完整性 可 宜 应 应 重要应用程序的加载和卸载 — — 应 应 抗抵赖 — — — 应 密码模块实现 — 宜 宜 应 工业和信息化部电子第五研究所 （中国赛宝实验室） 不同安全保护等级信息系统商用密码应用安全性评估指标 3.2 系统评 估 (2) 密钥管理 生成 应 应 应 应 存储 应 应 应 应 使用 应 应 应 应 分发 — 应 应 应 导入与导出 — 应 应 应 备份与恢复 — 应 应 应 归档 — — 应 应 销毁 — — 应 应 (3) 安全管理 制度 制定密码安全管理制度 可 宜 应 应 定期修订安全管理制度 可 宜 应 应 明确管理制度发布流程 — 宜 应 应 制度执行过程记录留存 — — 应 应 人员 了解并遵守密码相关法律法规 应 应 应 应 正确使用密码相关产品 应 应 应 应 建立岗位责任及人员培训制度 — 应 应 应 建立关键岗位人员保密制度和调离制度 — 应 应 应 设置密码管理和技术岗位并定期考核 — — 应 应 背景调查 — — 应 实施 规划 可 宜 应 应 建设 可 宜 应 应 工业和信息化部电子第五研究所 （中国赛宝实验室） 目录 密评简介 1 2 政策法规 3 密评内容 4 密评实施 5 机构简介 应 用 安 全 性 评 估 商 用 密 码 工业和信息化部电子第五研究所 （中国赛宝实验室） 4.1 密评依 据  GM/T 0054-2018 信息系统密码应用基本要求  信息系统密码测评要求（试行）  商用密码应用安全性评估测评过程指南（试行）  相关国家及行业标准、规范、指南  通过评审的密码应用解决方案 GM/T 0054-2018 信息系统密码应用基本要求 工业和信息化部电子第五研究所 （中国赛宝实验室） 4.2 密评方 法 人员访谈 文档审查 工具测试 配置检查 实地查看 工业和信息化部电子第五研究所 （中国赛宝实验室） 4.3 密评流 程 规划 建设 运行 应急 制定密码 应用方案 方案评估 建设实施 系统评估 定期评估 （关键信息基础设 施、等保三级以上 系统，每年一次） 发生密码相关重 大安全事件、重 大调整或特殊情 况及时组织评估 网络 运营者 密评机构 密码管 理部门 指导监督检查 指导监督检查 指导监督检查 指导监督检查 系统评估 系统评估 新建系统 工业和信息化部电子第五研究所 （中国赛宝实验室） 4.3 密评流 程 差距 评估 改造 实施 运行 应急 组织评估 改造实施 网络 运营者 密评机构 密码 管理部门 已建系统 改造 规划 制定密码 应用方案 方案评估 指导监督检查 指导监督检查 指导监督检查 指导监督检查 指导监督检查 系统评估 系统评估 系统评估 定期评估 （关键信息基础设 施等保三级以上系 统，每年一次） 发生密码相关重 大安全事件、重 大调整或特殊情 况及时组织评估 系统评估 工业和信息化部电子第五研究所 （中国赛宝实验室） 目录 密评简介 1 2 政策法规 3 密评内容 4 密评实施 5 机构简介 应 用 安 全 性 评 估 商 用 密 码 工业和信息化部电子第五研究所 （中国赛宝实验室） 5.1 评估资 质  2018 年 2 月，工业和信息化部电子第五研究所（中国赛宝实验室）通过国家密码管 理 局考核与评审，获得全国首批商用密码应用安全性测评机构资质；  全国首批 10 家商用密码应用安全性测评机构之一。 工业和信息化部电子第五研究所 （中国赛宝实验室） 5.2 服务