一文全解商用密碼應(yīng)用安全性評估和國標(biāo)GB/T 39786

   導(dǎo)讀：本文將從全球經(jīng)濟(jì)和國家安全發(fā)展的背景出發(fā)，從密碼行業(yè)相關(guān)法律政策的出臺、提出商用密碼應(yīng)用安全性評估要求的原因、密評的主要內(nèi)容，包括評估對象、評估要求、評估規(guī)范文件和標(biāo)準(zhǔn)、密評改造流程、密評評估方法等內(nèi)容進(jìn)行全面的答疑。

       隨著全球數(shù)字經(jīng)濟(jì)發(fā)展，網(wǎng)絡(luò)空間逐漸成為戰(zhàn)略威懾和控制的新領(lǐng)域、維護(hù)經(jīng)濟(jì)社會穩(wěn)定的新陣地以及未來各國軍事角逐的新戰(zhàn)場，網(wǎng)絡(luò)安全被納入國家安全重要戰(zhàn)略地位。密碼是保障網(wǎng)絡(luò)安全的核心技術(shù)，是構(gòu)建網(wǎng)絡(luò)信任的基石。我們利用密碼的安全認(rèn)證、加密保護(hù)、信任傳遞等特性，來消除或控制潛在的“安全危機(jī)”，實(shí)現(xiàn)被動(dòng)防御向主動(dòng)免疫的戰(zhàn)略轉(zhuǎn)變。因此，我們要大力發(fā)展密碼工作、密碼事業(yè)。

       早在1996年，我國中央政治局常委會展開專題研究商用密碼，做出在我國大力發(fā)展商用密碼和加強(qiáng)對商用密碼管理的決定。特別從黨的十八大以來，我國商用密碼的管理和應(yīng)用在法制化、規(guī)范化基礎(chǔ)上，逐漸向科學(xué)化、體系化的方向邁進(jìn)，在依法管理、科技創(chuàng)新、產(chǎn)業(yè)發(fā)展、應(yīng)用推廣、檢測認(rèn)證等方面實(shí)現(xiàn)了跨越式的發(fā)展。

       但目前我國還面臨著關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力依舊薄弱、核心技術(shù)仍然受制于人，以及大量信息產(chǎn)品存在著巨大安全隱患的危險(xiǎn)局面，因此大力加強(qiáng)密碼應(yīng)用是迫切需要，也是促進(jìn)密碼創(chuàng)新發(fā)展、發(fā)揮密碼功能特性的必然選擇。而怎樣合規(guī)、正確、有效地使用商用密碼，如何充分發(fā)揮商用密碼在保障網(wǎng)絡(luò)空間安全中的核心技術(shù)和基礎(chǔ)支撐作用，這就涉及到商用密碼應(yīng)用安全性評估（以下簡稱“密評”）的問題，開展密評工作是發(fā)揮密碼作用的必要手段，因此，我國出臺相關(guān)法律和政策要求要在保證商用密碼應(yīng)用大力推進(jìn)和普及的同時(shí)，做好網(wǎng)絡(luò)與信息系統(tǒng)的密評工作，確保商用密碼應(yīng)用的合規(guī)、正確、有效。


       商用密碼應(yīng)用法律法規(guī)政策要求

       一、《中華人民共和國密碼法》

       《中華人民共和國密碼法》（以下簡稱《密碼法》）按照中央確定的密碼管理原則和應(yīng)用政策，規(guī)定了密碼應(yīng)用的主要制度和要求。

       1、強(qiáng)調(diào)國家積極規(guī)范地促進(jìn)密碼應(yīng)用，提升使用密碼保障網(wǎng)絡(luò)與信息安全的水平，保護(hù)公民、法人和其他組織依法使用密碼的權(quán)利。

       2、建立商用密碼監(jiān)測認(rèn)證體系，鼓勵(lì)從業(yè)單位自愿接受商用密碼檢測認(rèn)證。

       3、明確關(guān)鍵信息基礎(chǔ)設(shè)施使用密碼和開展密評的要求，規(guī)定法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施。自行或委托商用密碼檢測機(jī)構(gòu)開展密評。

       4、建立安全審查機(jī)制，規(guī)定對可能影響國家安全的、涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)按照國家安全審查的要求進(jìn)行安全審查。

       5、規(guī)定國家密碼管理部門對采用商用密碼技術(shù)從事電子政務(wù)電子認(rèn)證服務(wù)的機(jī)構(gòu)進(jìn)行認(rèn)定。

       二、《商用密碼管理?xiàng)l例》（修訂草案征求意見稿）

       國家建立商用密碼應(yīng)用促進(jìn)協(xié)調(diào)機(jī)制，加強(qiáng)對商用密碼應(yīng)用的統(tǒng)籌指導(dǎo)。國家機(jī)關(guān)和設(shè)計(jì)商用密碼工作的單位在其職責(zé)范圍內(nèi)負(fù)責(zé)本機(jī)關(guān)、本單位或者本系統(tǒng)的商用密碼應(yīng)用和安全保障工作。

       非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護(hù)第三級以上網(wǎng)絡(luò)、國家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)，其運(yùn)營者應(yīng)當(dāng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)。

       三、2021年8月發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》

       《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡稱“《條例》”）明確了在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作中，依據(jù)密碼管理法律法規(guī)開展有關(guān)密碼管理工作，充分體現(xiàn)了密碼管理在國家網(wǎng)絡(luò)安全大局中的重要地位和作用。

       第四十二條：“運(yùn)營者對保護(hù)工作部門開展的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測工作，以及公安、國家安全、保密行政管理、密碼管理等有關(guān)部門依法開展的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作不予配合的，由有關(guān)主管部門責(zé)令改正；拒不改正的，處5萬元以上50萬元以下罰款，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處1萬元以上10萬元以下罰款；情節(jié)嚴(yán)重的，依法追究相應(yīng)法律責(zé)任?！?br />
       第五十條：“.……關(guān)鍵信息基礎(chǔ)設(shè)施中的密碼使用和管理，還應(yīng)當(dāng)遵守相關(guān)法律、行政法規(guī)的規(guī)定?！?br />
       該《條例》明確了關(guān)鍵信息基礎(chǔ)設(shè)施的密碼應(yīng)用要求，壓實(shí)了網(wǎng)絡(luò)安全運(yùn)營者和主管部門有關(guān)密碼應(yīng)用和密碼安全的主體責(zé)任，為密碼管理部門開展網(wǎng)絡(luò)空間密碼保護(hù)工作，尤其是網(wǎng)路安全檢查和安全審查等工作提供了法律依據(jù)，同時(shí)也為開展密評工作提供了強(qiáng)有力的支撐。

       四、2018年6月《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》

       2018年6月27日，《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》向社會公開征求意見，其中設(shè)置了密碼管理專章，明確了網(wǎng)絡(luò)安全等級保護(hù)密碼管理的主要思路、方式和手段。第五部分第四十七條非涉密網(wǎng)絡(luò)應(yīng)當(dāng)按照國家密碼管理法律法規(guī)和標(biāo)準(zhǔn)的要求，使用密碼技術(shù)、產(chǎn)品和服務(wù)。第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)采用密碼保護(hù)，并使用國家密碼管理部門認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù)。

       第三級以上網(wǎng)絡(luò)運(yùn)營者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運(yùn)營階段，按照密碼應(yīng)用安全性評估辦法和相關(guān)標(biāo)準(zhǔn)，委托密碼應(yīng)用安全性測評機(jī)構(gòu)開展密碼應(yīng)用安全性評估。網(wǎng)絡(luò)通過評估后，方可上線運(yùn)行，并在投入運(yùn)行后，每年至少組織一次評估。密評結(jié)果應(yīng)當(dāng)報(bào)受理備案的公安機(jī)關(guān)和所在地設(shè)區(qū)市的密碼管理部門備案。

       《網(wǎng)絡(luò)安全等級保護(hù)條例》在頒布實(shí)施后將替代現(xiàn)行的《信息安全等級保護(hù)管理辦法》，對我國的網(wǎng)絡(luò)安全等級保護(hù)進(jìn)行規(guī)范和管理。屆時(shí)，國家密碼管理局將與公安部等部門密切配合，依法開展密評工作，并修訂《信息安全等級保護(hù)商用密碼管理辦法》等配套規(guī)章。

       五、《電子認(rèn)證服務(wù)密碼管理辦法》

       《電子認(rèn)證服務(wù)密碼管理辦法》主要規(guī)定面向社會公眾提供電子認(rèn)證服務(wù)應(yīng)當(dāng)使用商用密碼，明確了申請電子認(rèn)證服務(wù)使用密碼許可應(yīng)當(dāng)具備的基本條件和程序，對電子認(rèn)證服務(wù)系統(tǒng)的運(yùn)行和技術(shù)改造等做出了規(guī)定。同時(shí)，要求電子認(rèn)證服務(wù)系統(tǒng)要由具有商用密碼產(chǎn)品生產(chǎn)和密碼服務(wù)能力的單位，按照GM/T 0034-2014《基于SM2密碼算法的證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》的要求承建，并通過國家密碼管理局組織的安全性審查。

       六、2017年12月《政務(wù)信息系統(tǒng)政府采購管理暫行辦法》

       第八條規(guī)定：“采購需求應(yīng)當(dāng)落實(shí)國家密碼管理有關(guān)法律法規(guī)、政策和標(biāo)準(zhǔn)規(guī)范地要求，同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評估?！?br />
       第十二條：“采購人應(yīng)當(dāng)按照國家有關(guān)規(guī)定組織政務(wù)信息系統(tǒng)項(xiàng)目驗(yàn)收，根據(jù)項(xiàng)目特點(diǎn)規(guī)定完整的項(xiàng)目驗(yàn)收方案。驗(yàn)收方案應(yīng)當(dāng)包括項(xiàng)目所有功能的實(shí)現(xiàn)情況、密碼應(yīng)用和安全審查情況、信息系統(tǒng)共享情況、維護(hù)服務(wù)等采購文件和采購合同規(guī)定的內(nèi)容，必要時(shí)可以邀請行業(yè)專家、第三方機(jī)構(gòu)或相關(guān)主管部門參與驗(yàn)收?！?br />
       七、2019年12月《國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》

       《國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》對國家政務(wù)信息系統(tǒng)的規(guī)劃、審批、建設(shè)、共享和監(jiān)管做出規(guī)定，其中明確規(guī)定了多項(xiàng)密碼應(yīng)用有關(guān)要求。

       政務(wù)信息化項(xiàng)目建設(shè)單位應(yīng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評估；按要求向發(fā)改委備案的備案文件應(yīng)當(dāng)包括密碼應(yīng)用方案和密碼應(yīng)用安全性評估報(bào)告；

       項(xiàng)目的密碼應(yīng)用和安全審查情況應(yīng)當(dāng)作為項(xiàng)目驗(yàn)收的重要內(nèi)容之一，密評報(bào)告應(yīng)當(dāng)作為提交驗(yàn)收申請的必要材料；

       對于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)；

       國務(wù)院有關(guān)部門對密碼應(yīng)用情況實(shí)施監(jiān)督管理，不符合要求的，視情予以通報(bào)批評、暫緩安排投資計(jì)劃、暫停項(xiàng)目建設(shè)直至終止項(xiàng)目；

       國務(wù)院各部門應(yīng)當(dāng)嚴(yán)格按照要求采用密碼技術(shù)，并定期開展密評工作，確保政務(wù)信息系統(tǒng)運(yùn)行安全和政務(wù)信息資源共享交換的數(shù)據(jù)安全。

       八、公安網(wǎng)1960號文 關(guān)于《貫徹等保和關(guān)保保護(hù)制度指導(dǎo)意見》

       第二部分第六條網(wǎng)絡(luò)運(yùn)營者應(yīng)貫徹落實(shí)《密碼法》等有關(guān)法律法規(guī)規(guī)定和密碼應(yīng)用相關(guān)標(biāo)準(zhǔn)規(guī)范。第三級以上網(wǎng)絡(luò)應(yīng)正確、有效采用密碼技術(shù)進(jìn)行保護(hù)，并使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù)。第三級以上網(wǎng)絡(luò)運(yùn)營者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運(yùn)行階段，按照密評的管理辦法和相關(guān)標(biāo)準(zhǔn)，在網(wǎng)絡(luò)安全等級測評中同步開展密碼應(yīng)用安全性評估。

       九、國辦發(fā)（2019）57號文國務(wù)院辦公廳關(guān)于印發(fā)國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法的通知

       第九條 除國家發(fā)展改革委審批或者核報(bào)國務(wù)院審批的外，其他有關(guān)部門自行審批新建、改建、擴(kuò)建，以及通過政府購買服務(wù)方式產(chǎn)生的國家政務(wù)信息化項(xiàng)目，應(yīng)當(dāng)按規(guī)定履行審批程序并向國家發(fā)展改革委備案。

       備案文件應(yīng)當(dāng)包括項(xiàng)目名稱、建設(shè)單位、審批部門、績效目標(biāo)及績效指標(biāo)、投資額度、運(yùn)行維護(hù)經(jīng)費(fèi)、經(jīng)費(fèi)渠道、信息資源目錄、信息共享開放、應(yīng)用系統(tǒng)、等級保護(hù)或者分級保護(hù)備案情況、密碼應(yīng)用方案和密碼應(yīng)用安全性評估報(bào)告等內(nèi)容，其中改建、擴(kuò)建項(xiàng)目還需提交前期項(xiàng)目第三方后評價(jià)報(bào)告。

       十、財(cái)庫（2017）210號關(guān)于印發(fā)《政務(wù)信息系統(tǒng)政府采購管理暫行辦法》的通知

       第八條 采購需求應(yīng)當(dāng)落實(shí)國家密碼管理有關(guān)法律法規(guī)、政策和標(biāo)準(zhǔn)規(guī)范的要求，同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行安全評估。


       商用密碼應(yīng)用安全性評估的主要內(nèi)容

       一、評估的主要內(nèi)容

       商用密碼應(yīng)用安全性評估（簡稱“密評”）是指采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)與信息系統(tǒng)中，對其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評估。（摘自《商用密碼應(yīng)用安全性評估管理辦法（試行）》）
因此評估的內(nèi)容包括密碼應(yīng)用安全三個(gè)方面：合規(guī)性、正確性、有效性。

       1、合規(guī)性評估

       判定信息系統(tǒng)使用的密碼算法、密碼協(xié)議、密鑰管理等是否符合法律法規(guī)和國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求，密碼產(chǎn)品和密碼服務(wù)是否經(jīng)過國家密碼管理部門核準(zhǔn)或具備資格的機(jī)構(gòu)認(rèn)證合格。

       2、正確性評估

       判定信息系統(tǒng)的密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)是否正確配置和使用，安全性是否滿足要求，密碼保障系統(tǒng)建設(shè)或改造過程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用是否正確。

       3、有效性評估

       判定信息系統(tǒng)中實(shí)現(xiàn)的密碼保障系統(tǒng)是否在信息系統(tǒng)運(yùn)行過程中發(fā)揮了實(shí)際效用，是否滿足了信息系統(tǒng)的安全需求，是否切實(shí)解決了信息系統(tǒng)面臨的安全問題。


       二、評估的主要對象

       根據(jù)《商用密碼應(yīng)用安全性評估管理辦法（試行）》第三條、第二十條：

       設(shè)計(jì)國家安全和社會公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位應(yīng)當(dāng)健全密碼保障體系，實(shí)施商用密碼應(yīng)用安全性評估。

       重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括：基礎(chǔ)信息網(wǎng)絡(luò)、設(shè)計(jì)國計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會服務(wù)的政務(wù)信息系統(tǒng)、以及關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護(hù)第三級及以上信息系統(tǒng)。

       基礎(chǔ)信息網(wǎng)絡(luò)：電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)；

       重要信息系統(tǒng)：能源、教育、公安、測繪地理信息、社保、交通、衛(wèi)生計(jì)生、金融等設(shè)計(jì)國計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)；

       重要工業(yè)控制系統(tǒng)：核設(shè)施、航天航空、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸、水利樞紐、城市設(shè)施等重要工控系統(tǒng)；

       面向社會服務(wù)的政務(wù)信息系統(tǒng)：黨政機(jī)關(guān)和使用財(cái)政性資金的事業(yè)單位和團(tuán)體組織使用的面向社會服務(wù)的信息系統(tǒng)。


       密評的政策法規(guī)和規(guī)范性文件

       為了規(guī)范密評工作，國密局制定印發(fā)了《商用密碼應(yīng)用安全性評估管理辦法（試行）》、《商用密碼應(yīng)用安全性測評機(jī)構(gòu)管理辦法（試行）》、《商用密碼應(yīng)用安全性測評機(jī)構(gòu)能力評審實(shí)施細(xì)則（試行）》等相關(guān)管理文件；同時(shí)還組織編制了《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》標(biāo)準(zhǔn)、《信息系統(tǒng)密碼應(yīng)用基本要求》標(biāo)準(zhǔn)，以及《信息系統(tǒng)密碼測評要求（試行）》、《商用密碼應(yīng)用安全性評估測試過程指南（試行）》、《商用密碼應(yīng)用安全性評估測評作業(yè)指導(dǎo)書（試行）》、《商用密碼應(yīng)用安全性評估測評工具使用需求說明（試行）》等指導(dǎo)性文件，主要用于指導(dǎo)測評機(jī)構(gòu)規(guī)范有序開展評估工作。

       一、管理文件

       1、《商用密碼應(yīng)用安全性評估管理辦法（試行）》

       明確國家和?。ú浚┟艽a管理部門在密評中的指導(dǎo)、監(jiān)督和檢查職責(zé)；明確重要信息系統(tǒng)的建設(shè)、使用、管理單位在評估工作中的主體責(zé)任；依法培育測評機(jī)構(gòu)，規(guī)范評估行為，以評促改、以評促用，形成規(guī)范有序的密碼應(yīng)用安全性評估審查機(jī)制，并與網(wǎng)絡(luò)安全等級保護(hù)等已有的制作做好銜接。

       2、《商用密碼應(yīng)用安全性測評機(jī)構(gòu)管理辦法（試行）》

       確定在試點(diǎn)期間的主要原則，為規(guī)范培育商用密碼應(yīng)用安全性測評機(jī)構(gòu)，適用于對測評機(jī)構(gòu)、測評人員及其測評活動(dòng)的管理與規(guī)范。內(nèi)容包含：明確測評機(jī)構(gòu)的監(jiān)管主體和基本條件、申請測評機(jī)構(gòu)應(yīng)提交的材料和申請流程、測評機(jī)構(gòu)的責(zé)任和義務(wù)，以及法律責(zé)任等。

       3、《商用密碼應(yīng)用安全性測評機(jī)構(gòu)能力評審實(shí)施細(xì)則（試行）》

       通過對申請機(jī)構(gòu)的組織管理能力、測評實(shí)施能力、設(shè)施和設(shè)備安全與保障能力、質(zhì)量管理能力、風(fēng)險(xiǎn)防范能力等進(jìn)行公平、公正、獨(dú)立、客觀的能力評審，為規(guī)范測評機(jī)構(gòu)的建設(shè)和管理、提高測評機(jī)構(gòu)能力提供支撐。另外《商用密碼應(yīng)用安全性測評機(jī)構(gòu)能力評審實(shí)施細(xì)則（試行）》的附件《商用密碼應(yīng)用安全性測評機(jī)構(gòu)能力要求》，對測評機(jī)構(gòu)能力提出了具體要求。主要包括基本情況、人員結(jié)構(gòu)、測評實(shí)驗(yàn)室條件、儀器設(shè)備條件、測評實(shí)施能力、質(zhì)量管理能力和風(fēng)險(xiǎn)控制能力等方面的要求。


       二、指導(dǎo)性文件

       1、《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》

       2021年3月，國家正式發(fā)布國家標(biāo)準(zhǔn)GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》，將于2021年10月1日起實(shí)施。該標(biāo)準(zhǔn)在現(xiàn)行的行業(yè)標(biāo)準(zhǔn)GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》的基礎(chǔ)上進(jìn)行修改完善，并上升為國家標(biāo)準(zhǔn)，進(jìn)一步突出了其在商用密碼應(yīng)用標(biāo)準(zhǔn)體系中的基礎(chǔ)性地位。該標(biāo)準(zhǔn)從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全等四個(gè)方面提出了密碼應(yīng)用技術(shù)要求,以及管理制度、人員管理、建設(shè)運(yùn)行、應(yīng)急處置等密碼應(yīng)用管理要求。與GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》相比,該標(biāo)準(zhǔn)結(jié)合近年來商用密碼應(yīng)用與安全性評估工作實(shí)踐對部分內(nèi)容進(jìn)行了優(yōu)化,按照信息系統(tǒng)安全等級分別提出了相應(yīng)的密碼應(yīng)用要求。

       2、《信息系統(tǒng)密碼應(yīng)用測評要求》

       依據(jù)《中華人民共和國密碼法》等法律法規(guī)，中國密碼學(xué)會密評聯(lián)委會組織編制了《信息系統(tǒng)密碼應(yīng)用測評要求》等5項(xiàng)指導(dǎo)性文件，用于指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用在規(guī)劃、建設(shè)、運(yùn)行環(huán)節(jié)的商用密碼應(yīng)用安全性評估工作。

       文件規(guī)定了信息系統(tǒng)不同等級密碼應(yīng)用的測評要求，從密碼算法和密碼技術(shù)合規(guī)性、密鑰管理安全性方面，提出了第一級到第五級的密碼應(yīng)用通用測評要求；從信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全等四個(gè)技術(shù)層面提出了第一級到第四級密碼應(yīng)用技術(shù)的測評要求；從管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置等四個(gè)管理方面提出了第一級到第四級密碼應(yīng)用管理的測評要求。

       3、《商用密碼應(yīng)用安全性評估測試過程指南（試行）》

       本指南詳細(xì)描述了商用密碼應(yīng)用安全性評估的主要活動(dòng)和任務(wù)，包括測評準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場測評活動(dòng)、分析和報(bào)告編制活動(dòng)，適用于規(guī)范商用密碼應(yīng)用安全性測評機(jī)構(gòu)在商用密碼應(yīng)用安全性評估工作中的測評過程。


       密評實(shí)施要點(diǎn)分析

       密評工作主要有兩個(gè)重點(diǎn)內(nèi)容：一是信息系統(tǒng)規(guī)劃階段對密碼應(yīng)用方案的評審/評估；二是建設(shè)完成后對信息系統(tǒng)開展的實(shí)際測評。下面我們將根據(jù)最新的標(biāo)準(zhǔn)文件GB/T39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》的要點(diǎn)進(jìn)行逐一分析。

       一、密評標(biāo)準(zhǔn)體系

密評標(biāo)準(zhǔn)體系

       二、密碼應(yīng)用改造目標(biāo)及流程

       首先是針對信息系統(tǒng)規(guī)劃階段對密碼應(yīng)用方案的評審和評估，這其中涉及到的重要環(huán)節(jié)就是密碼應(yīng)用方案設(shè)計(jì)。密碼應(yīng)用方案設(shè)計(jì)是信息系統(tǒng)密碼應(yīng)用的起點(diǎn)，直接決定信息系統(tǒng)的密碼應(yīng)用是否合規(guī)、正確、有效地部署實(shí)施，是開展密評工作不可或缺的參考文件。

       依據(jù)GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》，對信息系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行三個(gè)階段制定密碼方案，采用商用密碼算法、技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)，確保信息系系統(tǒng)密碼應(yīng)用的合規(guī)、正確和有效，使參與評估的信息系統(tǒng)順利通過密評。

       具體階段分工：

       ①系統(tǒng)定級階段：

       執(zhí)行單位：信息系統(tǒng)建設(shè)方

       主要目標(biāo)：確定信息系統(tǒng)的安全保護(hù)等級目標(biāo)，保證規(guī)劃、建設(shè)、運(yùn)行階段按照安全指標(biāo)落地。

       （注：信息系統(tǒng)所應(yīng)遵循的密碼應(yīng)用等級，目前是參照等保定級的。信息系統(tǒng)根據(jù)GB/T 22240—2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》完成定級備案后，其密碼應(yīng)用等級也相應(yīng)確定，即等保定級為第一級的對應(yīng)第一級密碼應(yīng)用基本要求，等保定級為第二級的對應(yīng)第二級密碼應(yīng)用基本要求，以此類推。）

       ②應(yīng)用調(diào)研階段：

       執(zhí)行單位：密碼應(yīng)用集成商

       主要目標(biāo)：掌握各個(gè)信息系統(tǒng)的密碼應(yīng)用的現(xiàn)狀

       ③方案設(shè)計(jì)階段：

       執(zhí)行單位：密碼應(yīng)用集成商

       主要目標(biāo)：針對已調(diào)研的信息系統(tǒng)編寫密碼應(yīng)用方案、實(shí)施方案和應(yīng)急處置方案。

       ④方案評審階段

       執(zhí)行單位：密碼測評機(jī)構(gòu)

       主要目標(biāo)：密碼專家或密評機(jī)構(gòu)對密碼方案進(jìn)行評審，密碼應(yīng)用集成商支持評審過程。

       ⑤實(shí)施改造階段

       執(zhí)行單位：密碼應(yīng)用集成商

       主要目標(biāo)：根據(jù)密碼應(yīng)用實(shí)施方案，完成密碼應(yīng)用集成實(shí)施工作。

       ⑥合規(guī)測評階段

       執(zhí)行單位：密碼測評機(jī)構(gòu)

       主要目標(biāo)：評估密碼應(yīng)用的合規(guī)性、正確性和有效性

       ⑦上線應(yīng)用階段：

       執(zhí)行單位：信息系統(tǒng)建設(shè)方

       主要目標(biāo)：密評報(bào)告向主管部門備案（三級以上系統(tǒng)需向公安部備案），隨后系統(tǒng)上線正式使用。


       三、密碼應(yīng)用的基本要求

       從密碼應(yīng)用的管理要求和技術(shù)要求來看，國標(biāo)GB/T 39786相對于現(xiàn)行行標(biāo)GM/T 0054，總體來講針對技術(shù)要求更加規(guī)范和合規(guī)，如相關(guān)密鑰生存周期管理的環(huán)節(jié)和建議說明做出更全面、細(xì)致的規(guī)定；另外是相關(guān)標(biāo)準(zhǔn)的行業(yè)適應(yīng)性和安全性更強(qiáng)，主要表現(xiàn)在一些標(biāo)準(zhǔn)要求有所放寬，而針對密碼服務(wù)、密鑰管理等指標(biāo)的標(biāo)準(zhǔn)要求有所增強(qiáng)。

       總體的要求還是從密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)等方面進(jìn)行規(guī)范，總體要求解讀如下：

       1、密碼算法，條款要求信息系統(tǒng)中使用的密碼算法應(yīng)當(dāng)符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求。

       條款的目的是規(guī)范密碼算法的選用，要求信息系統(tǒng)應(yīng)使用國家密碼管理部門或相關(guān)行業(yè)認(rèn)可的算法標(biāo)準(zhǔn)。一是保證算法本身的安全性，二是為信息系統(tǒng)的互聯(lián)互通提供便利。一般來說，以國家標(biāo)準(zhǔn)或國家密碼行業(yè)標(biāo)準(zhǔn)形式公開發(fā)布的密碼算法，包括ZUC、SM2、SM3、SM4、SM9等算法；還有為特定行業(yè)、特定需求設(shè)計(jì)的專用算法及未公開的通用算法以及由于國際互聯(lián)互通等需要而兼容的其他算法，像銀行為了滿足國際互聯(lián)互通等需求而采用符合安全強(qiáng)度要求RSA算法等這三種情況，都是符合滿足該條款的要求的。

       2、密碼技術(shù)，條款要求信息系統(tǒng)中使用的密碼技術(shù)應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。

       目的是為了規(guī)范密碼技術(shù)的使用，要求使用的密碼技術(shù)應(yīng)符合國家或者行業(yè)標(biāo)準(zhǔn)規(guī)定。密碼技術(shù)指實(shí)現(xiàn)密碼的加密保護(hù)和安全認(rèn)證等功能的技術(shù)，包括密碼算法、密鑰管理和密碼協(xié)議等。密碼技術(shù)相關(guān)的國家和行業(yè)標(biāo)準(zhǔn)規(guī)定了它在面產(chǎn)品中或不同應(yīng)用場景下的使用方法，信息系統(tǒng)應(yīng)當(dāng)依據(jù)相關(guān)要求實(shí)現(xiàn)所需的安全功能。例如，在GM/T0036-2014電子門禁系統(tǒng)標(biāo)準(zhǔn)中，規(guī)定了采用基于SM4等算法的密鑰分散技術(shù)實(shí)現(xiàn)密鑰分發(fā)；在GM/T 0022-2014IPSec VPN標(biāo)準(zhǔn)中，規(guī)定了采用SM4等對稱密碼算法、SM2等公鑰密碼算法和SM3等密碼雜湊算法進(jìn)行保密性保護(hù)、身份鑒別和完整性保護(hù)的方法。

       3、密碼產(chǎn)品，條款要求信息系統(tǒng)中使用的密碼產(chǎn)品與密碼模塊應(yīng)通過國家密碼管理部門核準(zhǔn)。

       條款的目的是規(guī)范密碼產(chǎn)品和密碼模塊的使用。按照商用密碼產(chǎn)品檢測的趨勢，密碼產(chǎn)品（除密碼系統(tǒng)外），不僅要在功能上滿足相關(guān)產(chǎn)品標(biāo)準(zhǔn)，還要在自身安全性（安全防護(hù)能力）上滿足特定安全等級的要求。在原理上，信息系統(tǒng)的安全等級與選用的密碼產(chǎn)品的安全等級并沒有嚴(yán)格對應(yīng)的關(guān)系，密碼模塊等級的選用，應(yīng)當(dāng)綜合考慮密碼模塊的安全性及被保護(hù)系統(tǒng)和被保護(hù)資產(chǎn)的價(jià)值等各方面因素。

       4、密碼服務(wù)，條款要求信息系統(tǒng)中使用的密碼服務(wù)應(yīng)通過國家密碼管理部門許可。

       條款的目的是規(guī)范密碼服務(wù)的使用，要求使用國家密碼管理部門許可（或商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證合格）的密碼服務(wù)?，F(xiàn)階段，密碼服務(wù)許可的范圍還集中在較為成熟的電子認(rèn)證服務(wù)行業(yè)。國家密碼管理局為通過安全性審查的第三方電子認(rèn)證服務(wù)提供商頒發(fā)電子認(rèn)證服務(wù)使用密碼許可證，對電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)進(jìn)行認(rèn)定；商用密碼認(rèn)證機(jī)構(gòu)將為認(rèn)證合格的其他密碼服務(wù)頒發(fā)相應(yīng)的認(rèn)證證書。

       綜合以上的總體要求分析，以下是依據(jù)GB/T 39786-2021國標(biāo)文件里針對第一級到第四級的密碼應(yīng)用基本要求匯總：

       注：上表中“可”代表可以、允許；“宜”代表推薦、建議；“應(yīng)”代表應(yīng)該、只準(zhǔn)許。詳細(xì)要求請見GB/T 39786-2021源文件。


       四、密碼測評要求與方法

       貫穿整個(gè)《信息系統(tǒng)密碼應(yīng)用基本要求》標(biāo)準(zhǔn)的主線，在進(jìn)行密評時(shí)，測評人員需要對密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)進(jìn)行檢查。在進(jìn)行具體核查之前，測評人員首先需要確認(rèn)，在信息系統(tǒng)中，應(yīng)當(dāng)使用密碼保護(hù)的資產(chǎn)是否采用了密碼技術(shù)進(jìn)行保護(hù)。這里的“應(yīng)”，應(yīng)該在默認(rèn)情況下按照GB/T 39786-2021條款要求進(jìn)行判定；如有不適項(xiàng)，信息系統(tǒng)責(zé)任方應(yīng)當(dāng)在密碼應(yīng)用方案中對每條不適用項(xiàng)及不適用原因進(jìn)行論證。密碼應(yīng)用方案應(yīng)在測評活動(dòng)開展前首先通過評估，開展測評時(shí)，測評人員可以參考通過評估的密碼應(yīng)用方案，對密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)進(jìn)行核查。若信息系統(tǒng)確無密碼應(yīng)用方案，則需要測評人員對所有不適用項(xiàng)及具體情況進(jìn)行逐條核查、評估，詳細(xì)論證被測信息系統(tǒng)具體的安全需求、不適用的具體原因，以及是否采用了可滿足要求的其他替代性措施來達(dá)到等效控制。

       參考文獻(xiàn)：《商用密碼應(yīng)用與安全性評估》霍煒

       （來源：國密應(yīng)用研究院公眾號）