随着全球数字经济发展,网络空间逐渐成为战略威慑和控制的新领域、维护经济社会稳定的新阵地以及未来各国军事角逐的新战场,网络安全被纳入国家安全重要战略地位。密码是保障网络安全的核心技术,是构建网络信任的基石。我们利用密码的安全认证、加密保护、信任传递等特性,来消除或控制潜在的“安全危机”,实现被动防御向主动免疫的战略转变。因此,我们要大力发展密码工作、密码事业。
《中华人民共和国密码法》(以下简称《密码法》)按照中央确定的密码管理原则和应用政策,规定了密码应用的主要制度和要求。
2021年3月,国家正式发布国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,将于2021年10月1日起实施。该标准在现行的行业标准GM/T0054-2018《信息系统密码应用基本要求》的基础上进行修改完善,并上升为国家标准,进一步突出了其在商用密码应用标准体系中的基础性地位。该标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求,以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。与GM/T0054-2018《信息系统密码应用基本要求》相比,该标准结合近年来商用密码应用与安全性评估工作实践对部分内容进行了优化,按照信息系统安全等级分别提出了相应的密码应用要求。
2、《信息系统密码应用测评要求》
依据《中华人民共和国密码法》等法律法规,中国密码学会密评联委会组织编制了《信息系统密码应用测评要求》等5项指导性文件,用于指导、规范信息系统密码应用在规划、建设、运行环节的商用密码应用安全性评估工作。
文件规定了信息系统不同等级密码应用的测评要求,从密码算法和密码技术合规性、密钥管理安全性方面,提出了第一级到第五级的密码应用通用测评要求;从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个技术层面提出了第一级到第四级密码应用技术的测评要求;从管理制度、人员管理、建设运行和应急处置等四个管理方面提出了第一级到第四级密码应用管理的测评要求。
3、《商用密码应用安全性评估测试过程指南(试行)》
本指南详细描述了商用密码应用安全性评估的主要活动和任务,包括测评准备活动、方案编制活动、现场测评活动、分析和报告编制活动,适用于规范商用密码应用安全性测评机构在商用密码应用安全性评估工作中的测评过程。密评实施要点分析密评工作主要有两个重点内容:一是信息系统规划阶段对密码应用方案的评审/评估;二是建设完成后对信息系统开展的实际测评。下面我们将根据最新的标准文件GB/T39786-2021《信息安全技术信息系统密码应用基本要求》的要点进行逐一分析。一、密评标准体系
密评标准体系
二、密码应用改造目标及流程首先是针对信息系统规划阶段对密码应用方案的评审和评估,这其中涉及到的重要环节就是密码应用方案设计。密码应用方案设计是信息系统密码应用的起点,直接决定信息系统的密码应用是否合规、正确、有效地部署实施,是开展密评工作不可或缺的参考文件。
依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,对信息系统的规划、建设、运行三个阶段制定密码方案,采用商用密码算法、技术、产品和服务集成建设,确保信息系系统密码应用的合规、正确和有效,使参与评估的信息系统顺利通过密评。
总体的要求还是从密码算法、密码技术、密码产品和密码服务等方面进行规范,总体要求解读如下:
4、密码服务,条款要求信息系统中使用的密码服务应通过国家密码管理部门许可。条款的目的是规范密码服务的使用,要求使用国家密码管理部门许可(或商用密码认证机构认证合格)的密码服务。现阶段,密码服务许可的范围还集中在较为成熟的电子认证服务行业。国家密码管理局为通过安全性审查的第三方电子认证服务提供商颁发电子认证服务使用密码许可证,对电子政务电子认证服务机构进行认定;商用密码认证机构将为认证合格的其他密码服务颁发相应的认证证书。综合以上的总体要求分析,以下是依据GB/T39786-2021国标文件里针对第一级到第四级的密码应用基本要求汇总:
注:上表中“可”代表可以、允许;“宜”代表推荐、建议;“应”代表应该、只准许。详细要求请见GB/T39786-2021源文件。四、密码测评要求与方法
贯穿整个《信息系统密码应用基本要求》标准的主线,在进行密评时,测评人员需要对密码算法、密码技术、密码产品和密码服务进行检查。在进行具体核查之前,测评人员首先需要确认,在信息系统中,应当使用密码保护的资产是否采用了密码技术进行保护。这里的“应”,应该在默认情况下按照GB/T39786-2021条款要求进行判定;如有不适项,信息系统责任方应当在密码应用方案中对每条不适用项及不适用原因进行论证。密码应用方案应在测评活动开展前首先通过评估,开展测评时,测评人员可以参考通过评估的密码应用方案,对密码算法、密码技术、密码产品和密码服务进行核查。若信息系统确无密码应用方案,则需要测评人员对所有不适用项及具体情况进行逐条核查、评估,详细论证被测信息系统具体的安全需求、不适用的具体原因,以及是否采用了可满足要求的其他替代性措施来达到等效控制。