信息化觀察網(wǎng)

本文來自微信公眾號(hào)“網(wǎng)絡(luò)安全和信息化”，作者：中國(guó)軟件評(píng)測(cè)中心（工業(yè)和信息化部軟件與集成電路促進(jìn)中心）蔡方博、榮志剛、李強(qiáng)。

密碼是保障網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，在網(wǎng)絡(luò)安全防護(hù)中具有不可替代的作用。利用密碼在安全認(rèn)證、加密保護(hù)、信任傳遞等方面的重要作用，構(gòu)建網(wǎng)絡(luò)空間安全保障體系、維護(hù)國(guó)家網(wǎng)絡(luò)空間安全，推動(dòng)密碼全面規(guī)范應(yīng)用，構(gòu)建以密碼為基礎(chǔ)的網(wǎng)絡(luò)安全體系，實(shí)現(xiàn)從被動(dòng)防御向主動(dòng)預(yù)防的戰(zhàn)略轉(zhuǎn)變，具有重要意義。

《中華人民共和國(guó)密碼法》（以下簡(jiǎn)稱《密碼法》）于2020年1月1日實(shí)施，該法是規(guī)范密碼應(yīng)用和管理、促進(jìn)密碼事業(yè)發(fā)展，保障網(wǎng)絡(luò)與信息安全，提升密碼管理科學(xué)化、規(guī)范化、法治化的基礎(chǔ)性法律?！睹艽a法》和《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T 39786—2021）等相關(guān)法律法規(guī)的頒布與實(shí)施，逐步推動(dòng)著商用密碼規(guī)范應(yīng)用的落地。

建立完善的商用密碼應(yīng)用安全性評(píng)估體系，是貫徹落實(shí)《密碼法》的法定責(zé)任，是有效應(yīng)對(duì)我國(guó)網(wǎng)絡(luò)安全嚴(yán)峻形勢(shì)的迫切需要，是落實(shí)國(guó)務(wù)院“放管服”改革要求和國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)責(zé)任的重要舉措，是商用密碼管理的一項(xiàng)基礎(chǔ)性、開創(chuàng)性工作。

商用密碼主要用于保護(hù)不屬于國(guó)家秘密的信息，廣泛應(yīng)用于通信、金融、稅控、社保、能源等重要領(lǐng)域，在維護(hù)國(guó)家安全、促進(jìn)經(jīng)濟(jì)發(fā)展、保護(hù)人民利益中，發(fā)揮著不可替代的作用。商用密碼在信息系統(tǒng)中應(yīng)用的安全性評(píng)估簡(jiǎn)稱“密評(píng)”，密評(píng)是對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評(píng)估的活動(dòng)。通過密評(píng)，可以發(fā)現(xiàn)在網(wǎng)絡(luò)和信息系統(tǒng)中密碼使用存在的問題與不足，逐步規(guī)范商用密碼的使用和管理。深化商用密碼管理改革，強(qiáng)化商用密碼合規(guī)、正確、有效的應(yīng)用，是新時(shí)期商用密碼發(fā)展面臨的重要任務(wù)。

商用密碼檢測(cè)范圍及要求

密評(píng)主要涉及國(guó)家安全和社會(huì)公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)（如基礎(chǔ)信息網(wǎng)絡(luò)、重要工業(yè)控制系統(tǒng)、政務(wù)信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)等），使用和管理單位應(yīng)當(dāng)健全密碼保障體系，實(shí)施商用密碼應(yīng)用安全性評(píng)估。

《密碼法》第十八條規(guī)定,單位運(yùn)行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)，一旦遭到破壞、喪失功能，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生和公眾利益的，應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍。一是政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位；二是電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；三是國(guó)防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；四是廣播電臺(tái)、電視臺(tái)、通訊社等新聞單位；五是其他重點(diǎn)單位等。

商用密碼應(yīng)用安全性評(píng)估流程及方法

商用密碼安全性評(píng)估主要包括密碼應(yīng)用方案評(píng)估、評(píng)測(cè)準(zhǔn)備活動(dòng)、編制測(cè)試方案、現(xiàn)場(chǎng)測(cè)評(píng)以及結(jié)果分析與報(bào)告編制五部分組成，具體流程如圖所示。

密碼應(yīng)用方案評(píng)估階段，主要完成被測(cè)系統(tǒng)密碼應(yīng)用的正確性、合規(guī)性、有效性，以及實(shí)施計(jì)劃和應(yīng)急處置方案的科學(xué)性、可行性、完備性等方面的評(píng)估工作，評(píng)估結(jié)果作為實(shí)施密評(píng)的依據(jù)。對(duì)于沒有通過評(píng)估的應(yīng)用方案，由測(cè)評(píng)機(jī)構(gòu)提出整改建議，被測(cè)系統(tǒng)的在用單位或責(zé)任單位對(duì)設(shè)計(jì)方案進(jìn)行整改，整改完成后向評(píng)測(cè)機(jī)構(gòu)反饋結(jié)果，直至評(píng)估通過，測(cè)評(píng)機(jī)構(gòu)出具評(píng)估報(bào)告。

測(cè)評(píng)準(zhǔn)備活動(dòng)階段，主要了解被測(cè)系統(tǒng)的基本架構(gòu)和詳細(xì)情況，主要包含項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備三個(gè)方面。在項(xiàng)目啟動(dòng)階段，首先準(zhǔn)備委托測(cè)評(píng)協(xié)議書、保密協(xié)議、被測(cè)系統(tǒng)介紹等資料，測(cè)評(píng)單位根據(jù)材料編制項(xiàng)目計(jì)劃書。在信息收集和分析階段，主要收集被測(cè)信息系統(tǒng)密碼總體描述文件、密碼應(yīng)用方案、已有的驗(yàn)收?qǐng)?bào)告等，供測(cè)評(píng)機(jī)構(gòu)了解和熟悉被測(cè)系統(tǒng)，最終完成系統(tǒng)調(diào)查表格。在工具和表單準(zhǔn)備階段，主要完成各種與被測(cè)信息系統(tǒng)相關(guān)的技術(shù)資料，如風(fēng)險(xiǎn)告知書、文檔交接單、測(cè)評(píng)工具清單等。

在編制測(cè)試方案階段，主要完成測(cè)評(píng)指標(biāo)確定、測(cè)評(píng)內(nèi)容確定和測(cè)評(píng)方案編制三部分工作。在測(cè)評(píng)指標(biāo)確定方面，根據(jù)被測(cè)系統(tǒng)評(píng)估報(bào)告和信息系統(tǒng)描述材料，確定被測(cè)信息系統(tǒng)的安全等級(jí)和相應(yīng)的測(cè)評(píng)指標(biāo)。在測(cè)評(píng)內(nèi)容確定方面，把測(cè)評(píng)指標(biāo)結(jié)合到被測(cè)系統(tǒng)中，描述具體測(cè)評(píng)方法，構(gòu)成可具體實(shí)施測(cè)評(píng)的單元。在測(cè)評(píng)方案編制方面，首先明確被測(cè)信息系統(tǒng)的密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)的標(biāo)準(zhǔn)規(guī)范；其次估算現(xiàn)場(chǎng)測(cè)評(píng)工作量，根據(jù)測(cè)評(píng)項(xiàng)目組成員，編制具體的測(cè)評(píng)計(jì)劃，最后形成測(cè)評(píng)方案，方案通過測(cè)評(píng)機(jī)構(gòu)評(píng)估后，提交給測(cè)評(píng)委托單位簽字認(rèn)可。

現(xiàn)場(chǎng)測(cè)評(píng)是根據(jù)測(cè)評(píng)方案的總體要求，分步實(shí)施所有測(cè)評(píng)任務(wù)，檢驗(yàn)系統(tǒng)存在的密碼應(yīng)用安全性問題，主要包括現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、結(jié)果記錄、結(jié)果確認(rèn)和資料歸還三個(gè)階段。在現(xiàn)場(chǎng)準(zhǔn)備階段，舉行測(cè)評(píng)現(xiàn)場(chǎng)會(huì)議，會(huì)上測(cè)評(píng)機(jī)構(gòu)介紹測(cè)評(píng)工作方案，確定現(xiàn)場(chǎng)測(cè)評(píng)需要的各種資源，現(xiàn)場(chǎng)簽署測(cè)評(píng)授權(quán)書。在現(xiàn)場(chǎng)測(cè)評(píng)記錄階段，主要通過訪談、文檔審查、現(xiàn)場(chǎng)查看、配置檢查和工具測(cè)試等方式，檢測(cè)被測(cè)信息系統(tǒng)是否達(dá)到了相應(yīng)等級(jí)的安全要求；檢測(cè)系統(tǒng)中應(yīng)用的密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)是否取得國(guó)家管理部門的認(rèn)證，實(shí)際部署密碼產(chǎn)品與文件說明是否一致性，查看系統(tǒng)安全參數(shù)配置的正確性，測(cè)評(píng)人員根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果填寫完成測(cè)評(píng)結(jié)果記錄表格。在測(cè)評(píng)結(jié)果確認(rèn)和資料歸還方面，首先匯總現(xiàn)場(chǎng)測(cè)評(píng)的測(cè)評(píng)記錄，對(duì)遺漏和需要進(jìn)一步驗(yàn)證的內(nèi)容實(shí)施補(bǔ)充測(cè)評(píng)；召開測(cè)評(píng)現(xiàn)場(chǎng)結(jié)束會(huì)議，然后測(cè)評(píng)方與受測(cè)方對(duì)測(cè)評(píng)過程中發(fā)現(xiàn)的問題進(jìn)行現(xiàn)場(chǎng)確認(rèn)；最后測(cè)評(píng)機(jī)構(gòu)歸還測(cè)評(píng)過程中借閱的所有文檔資料，并由測(cè)評(píng)委托單位文檔資料提供者簽字確認(rèn)。

分析與報(bào)告編制，標(biāo)識(shí)整個(gè)系統(tǒng)密碼安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)保護(hù)要求之間的差距，分析差距可能導(dǎo)致被測(cè)信息系統(tǒng)面臨的風(fēng)險(xiǎn)，得出測(cè)評(píng)結(jié)論、出具報(bào)告。測(cè)評(píng)結(jié)果包括單項(xiàng)測(cè)評(píng)、單元測(cè)評(píng)、整體測(cè)評(píng)等，結(jié)合被測(cè)信息系統(tǒng)的安全保護(hù)等級(jí)對(duì)測(cè)評(píng)結(jié)果進(jìn)行風(fēng)險(xiǎn)分析，形成測(cè)試結(jié)論。根據(jù)測(cè)試結(jié)論編寫測(cè)評(píng)報(bào)告，對(duì)被測(cè)信息系統(tǒng)存在的安全隱患提出改進(jìn)建議。測(cè)評(píng)報(bào)告初稿編制完成后，測(cè)評(píng)機(jī)構(gòu)根據(jù)委托測(cè)評(píng)協(xié)議書、測(cè)評(píng)委托單位提交的相關(guān)文檔等材料，對(duì)測(cè)評(píng)報(bào)告初稿進(jìn)行內(nèi)部審核。內(nèi)部審核通過后，由授權(quán)簽字人進(jìn)行簽發(fā)，提交測(cè)評(píng)委托單位，并送所屬?。棵艽a主管部門備案。

后續(xù)工作及展望

商用密碼已廣泛應(yīng)用于電信、金融、教育、能源等重要領(lǐng)域，積極開展商用密碼應(yīng)用安全性檢測(cè)工作是推進(jìn)商用密碼在重要領(lǐng)域深入應(yīng)用的有效手段。我們必須充分意識(shí)到建設(shè)商用密碼安全評(píng)估機(jī)制的重要性，力爭(zhēng)用規(guī)范化的評(píng)估流程，確保信息系統(tǒng)商用密碼應(yīng)用的安全科學(xué)性和有效性。

為了更好地推進(jìn)商用密碼應(yīng)用安全性評(píng)估工作，未來我們應(yīng)從以下幾方面加強(qiáng)研究：一是加強(qiáng)學(xué)習(xí)《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過程指南》《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》等評(píng)估方法和標(biāo)準(zhǔn)的學(xué)習(xí)實(shí)踐；二是提升測(cè)評(píng)人員的網(wǎng)絡(luò)協(xié)議和密碼算法分析能力，提升密評(píng)檢測(cè)的效率；三是提高創(chuàng)新能力，研發(fā)工具提升測(cè)評(píng)準(zhǔn)確性和效率；四是完善密評(píng)質(zhì)量管理體系和保密要求，提升商用密碼的應(yīng)用規(guī)范，通過“以測(cè)促用”，推進(jìn)我國(guó)商用密碼應(yīng)用向更好的方向發(fā)展。

來源：《網(wǎng)絡(luò)安全和信息化》雜志

作者：中國(guó)軟件評(píng)測(cè)中心（工業(yè)和信息化部軟件與集成電路促進(jìn)中心）蔡方博 榮志剛 李強(qiáng)