“商用密码应用安全性评估”,是对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估的活动。当前,全国范围内对重要信息系统的密评活动也正在有序开展过程中,促进了密码应用的合规性、正确性和有效性。
“密评”工作的整体思路是“三同步一评估”,项目建设单位应当同步规划、同步建设、同步运行密码保障系统,每一个阶段都需要开展密评,在调研咨询过程中,我们也发现关于密评存在一些认知误区。
问题一
问:信息系统里没有使用密码技术,可以不做密评吗?
答:密评的目的是围绕信息系统应该保护的重要数据等来测试密码应用的合规性、正确性和有效性,“信息系统是否需要进行密评,不在于是否使用了密码技术,而取决于系统内需保护对象的重要程度。”根据《密码法》《商用密码管理条例》等法律法规以及地方和行业的要求,应对重要信息系统开展密评。
问题二
问:没有使用商用密码或国产密码,在密评中会导致“一票否决”吗?
答:决定密评结果的两个因素:一个是“质”,也即不能存在高风险项;一个是“量”,也即量化评估的分数要超过阈值。只要严格对标《高风险判定指引》与《量化评估规则》,确保量化评估分数大于等于阈值,且风险分析为“无高风险”,即可通过密评。
问题三
问:不使用认证合格的密码产品会导致“一票否决”吗?
答:“在实际的密评试点过程中,确实会遇到某些业务场景暂时未能找到现成的、认证合格的密码产品,只能转而使用其他产品做支撑的现象。”密评时对此的原则是“有用则用、能用则用”,同时注重“风险评估”。
问题四
问:等保和密评要求的部分条款相同,是否能够复用?
从顶层设计的角度来看,密评与等保工作是相互衔接、相互补充的关系。“密评的部分条款虽然与等保的内容相同,但在具体测评要求上有所不同。”密评的测评实施覆盖从底层密钥到上层业务应用的全部方面,目的是切实打牢密码的基础性作用。
问题五
问:等保定级的范围和密评范围是否一致?
答:密评当前没有独立的定级,而是依赖等保定级的。因而在划定测评范围的时候,原则上应与等保定级的范围一致。如果等保定级系统里有多个应用或多个子系统,密评时会针对每个应用或子系统都做测评,最终分数判定需综合考虑所有应用或子系统在相应层次的密码应用情况。
问题六
问:只用对新机房进行密码应用改造?
答:密评的目的是围绕信息系统应该保护的重要数据等来测试密码应用的合规性、正确性和有效性,“信息系统是否需要进行密评,不在于是否使用了密码技术,而取决于系统内需保护对象的重要程度。”根据《密码法》《商用密码管理条例》等法律法规以及地方和行业的要求,应对重要信息系统开展密评。
问题七
问:只做靠物理和网络层?
答:根据《商用密码应用安全性评估量化评估规则》第6部分整体结论判定,整体量化评估结果是百分制,应用和数据安全占30分。只有达到分数阈值、且没有高风险项,才能判定被测信息系统基本符合GB/T39786-2021相应等级要求。
问题八
问:业务系统零改造,信息系统免集成,即可通过密评?
答:信息系统开展密评工作主要目的在于推动密码应用的合规性、正确性、有效性。信息系统要正确调用密码产品、密码服务。不针对信息系统实际情况、重要数据安全需求等加以分析,密码用不好是难以全面保障信息系统安全,也难以通过密评。
问题九
问:采购一些密码设备并部署上,就满足了密评要求?
答:密评工作的目标是“以评促用”,对于已建的信息系统,首先开展差距分析,梳理保护对象、应用场景及防护现状,总结当前差距形成密码应用需求,根据密码应用需求设计密码应用措施,才能谈得上需要什么样的产品来实现这些措施。
问题十
问:包过密评?
答:能否通过密评,是由正规测评机构给出结论为标志的。密码测评机构绝不会在尚未了解任何情况之前就去判定“符合”;只有在充分了解用户业务、梳理密码应用需求之后,才能明确有哪些GB/T 39786规定的密码应用要求未得到满足。
总 结
面对各式各样的产品和众说纷纭的方案,要正确认识密码应用与密评工作,在密评工作的推动下守牢网络与信息安全的底线,针对密评工作的实施推进环节。
首先,确定密评的系统边界,一般遵照等保定级边界即可;
第二,确定系统保护的对象,也即密评对象,一般包括机房、网络通道、设备、重要数据、重要用户身份等。“保护对象的覆盖应尽可能全面,避免盲区。”
第三,关键指标的密码应用要尽可能合规、正确、有效。重点关注《基本要求》中“应”的指标,尽可能选用二级密码模块,重视应用层的密码应用;
最后,高风险项是“一票否决项”,坚决不能有。应格外注意应用存储加密等无缓解措施的条款;梳理密钥体系,避免密钥泄露、篡改等问题。
