引 言
本文是笔者在学习商用密码应用安全性评估(以下简称为“密评”)过程中的心得体会,通过一个三级政务系统密评咨询项目的全生命周期及密评报告,带你了解相关政策、工作流程、测评方法、报告解读。希望通过密评流程与要点的梳理,能让有需要进行密评工作的人员在日常信息系统的规划、建设、运营过程有一个重点工作指引。
01 “3保3评”是什么?
目前我国的网络安全领域有“3保3评”,相关理解如下:
分保(涉密信息系统分级保护)
指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护。
等保(网络安全等级保护)
指国家通过制定统一的安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护。
关保(关键信息基础设施保护)
针对面向公众提供网络信息服务或支撑性重要行业运行的信息系统、工业控制系统等关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
密评(商用密码应用安全评估)
是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
数评(数据安全风险评估)
对数据和数据处理活动的安全风险和违法违规问题进行检测评估的过程。
风评(信息系统风险评估)
对信息系统及由其处理、传输和存储的信息保密性、完整性和可用性等安全属性进行风险分析、识别和评价的过程。
02 为什么做密评?
密评是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。开展密评是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。
《中华人民共和国密码法》第二十七条:法律、行政法规和国家有关规定要求使用密码进行保护的关键信息基础设施,其运营者应当使用密码进行保护,自行或者委托密码检测机构开展密码应用安全性评估。
《商用密码应用安全性评估管理办法(试行)》第三条:涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。第十条:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
如前文介绍的“3保3评”,密评和其他网络安全合规保护工作的关系如下图所示:
综上所述,密评是针对非密信息系统开展等级保护工作的加强,也是关键信息基础设施保护工作的基础,过程中需要和风险评估、渗透测试、攻防演练、应急响应、数据安全专项评估、安全培训、安全运营等工作融合,是网络安全合规保护的基础工作之一。
03 政策与监管
《国家政务信息化项目建设管理办法》规定,第十五条:项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。第二十五条:项目建设单位提交验收申请报告时应当附上密码应用安全性评估报告等材料。
以浙江省为例,2022年浙江省大数据发展管理局与浙江省密码管理局分别发文,对密评工作进行了相关要求。
2022年1月,浙江省大数据发展管理局下发《关于浙江省电子政务外网安全评估指标体系(试行)的通知》。通知规定浙江省电子政务外网安全评估指标体系,其中明确了省级单位、地市级单位与区县级单位的密码应用要求,给出了等保三级及以上政务信息系统密评率(已开展密评信息系数/应开展密评信息系统总数)的具体指标。
2022年3月,浙江省密码管理局发《关于深入开展密码应用安全性评估工作的通知》。通知要求2022年新建等保三级及以上的政务信息系统要求按三同步原则开展密评工作,在排除相关高风险项干拢的前提下,系统总体密评分数达60分以上。并将密评工作结果作项目验收依据与年度工作考核指标。
04 密评工作流程
密评工作的流程包括:相关单位组织编制密码应用方案、针对方案进行评审、委托密评机构开展测评工作、密评机构将出具密码应用安全性评估报告、密评结果上报密码管理部门审核。流程图如下所示:
具体的密评测评实施流程主要包括测评准备、方案编制、现场测评、测评结论分析、密码测评报告编制。每个环节细化的子流程如下图所示:
05 方案评审
方案评审指对信息系统规划阶段的密码应用方案的评审:对于新建/改造信息系统,密码应用建设方案/改造方案,一般由责任单位组织商用密码从业单位编写, 方案包括:《密码应用解决方案》、《实施方案》和《应急处置方案》。
评审方案的一个重要输出是对新建/改造信息系统中密码应用基本要求进行明确,即明确不适用项及适用的测评指标项的应、宜、可要求。这也是后续密评测评过程中的重要参照依据。
责任单位依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等标准,编写包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置等八个方面的密码应用建设方案/改造方案后,应委托测评机构对方案进行评审或组织相关专家进行方案评审。
开展方案编写过程中及方案评审前可参考团标《信息系统密码应用方案评估规范》与《信息系统密码应用方案评估过程指南》进行自查自评对方案进行完善。
目前笔者常碰到的不适用项测评指标主要有:网络和通信安全中的安全接入认证、设备和计算安全中的重要信息资源安全标记完整性、应用和数据安全中的重要信息资源安全标记及不可否认性这4个指标。除此之外类似非自有的机房环境、云服务平台与密码服务平台等不符合项,可参照《浙江省政务信息系统密码应用与安全性评估实施指引》作为相关高风险项干扰进行排除。
06 密评测评要点
在三级信息系统密评中,GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》规定技术要求共22项、管理要求共19项,如下图所示:
密评总分100分,达60分且无高风险项为通过。
技术要求占70分,其中应用和数据安全是密改与密评中的重中之重,共占30分值,具体测评单元8项,高风险项5项。技术要求应(即必须做到的)的条款为:网络和通信的身份鉴别、重要数据通信机密性;设备和计算的身份鉴别、远程管理通道这全性;应用和数据安全的身份鉴别、重要数据传输、重要数据的存储。
管理要求占30分,管理要求19项全是应的要求条款。
以三级信息系统为例,密评测评指标要求、分值、指标权重、是否为高风险指引等信息如下表所示:
表1:技术层面
表2:管理层面
综上所述,我们需要在等保三级的政务信息系统的设计、建设、运营过程中重点关注上表中标绿色的高风险指引项、应的指标项。密评全流程涉及重多技术与管理的细节,相关单位在条件允许的情况下可以采购相关密评咨询服务,借助专业的力量协助进行方案设计、方案评审、系统建设、系统测评与整改、日常安全运营等工作。
参考资料
可参考的国标、行标、政策文件有:
1.《信息安全技术 信息系统密码应用基本要求》
2.《信息系统密码应用测评要求》
3.《信息系统密码应用测评过程指南》
4.《信息系统密码应用高风险判定指引》
5.《商用密码应用安全性评估量化评估规则》
6.《商用密码应用安全性评估 FAQ》
7.《信息系统密码应用方案评估规范》
8.《信息系统密码应用方案评估过程指南》
如有需要上述标准规范,可关注本公众号后在后台留言索取。
本文内容仅供参考与学习,更多商用密码应用知识,欢迎关注“中尔安全实验室”,与我们共同探讨。