一、概念
密码:《密码法》定义是指对信息进行加密保护、安全认证的技术、产品、服务。分为:核心密码、普通密码、商用密码。
商用密码:《密码法》定义是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。
密评:商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中, 对其密码应用的合规性、正确性和有效性进行评估。通过以评促改、以评促用,逐步规范网络运营者的密码使用和管理行为,最终确保密码使用的正确、合规、有效。
国内监管部门:国家密码管理局(机要BM局)及检测中心
图1 密评与等保关系图
图2 国家商用密码算法种类
图3 密评典型流程
二、密评主要内容
主要依据
- 《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》
② 《信息系统密码应用高风险判定指引》
- 《商用密码应用安全性评估量化评估规则》
④ 具体行业的其他相关标准或团标
系统密评定级:共分5个等级,1级最低,5级最高
技术要求层面:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全
管理要求层面:管理制度、人员管理、建设运行、应急处置
安全功能层面:机密性、完整性、真实性、不可否认性(抗抵赖性)
密评执行方式:人员访谈、文档审查、实地查看、配置检查、工具测试
密评判定原则:
①共有16条高风险项(三级),若系统存在其中任意1条,则判定本次密评不通过。(一票否决项)
②打分制,满分100分;0-59分:不符合;60-99:基本符合;100分:符合。(60分:通过)
③非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,需使用经检测认证合格的商用密码产品、服务。(商密证书)
三、商用密码应用安全性测评机构资质材料
商用密码应用安全性测评机构(简称密评机构)资质建设相关指导性材料包括:
1、《商用密码应用安全性测评机构能力要求》
2、《商用密码应用安全性测评机构能力评审实施细则(试行)》
3、《商用密码应用安全性测评机构管理办法(试行)》
4、《商用密码应用安全性评估管理办法(试行)》
相关政策法规和规范性文件层次关系如下,其中《密码法》是上位法,2023年4月14日审议通过《商用密码管理条例(修订草案)》。
图4 法律法规层次图
四、密评机构能力自检表
密评机构能力自检表如下:
| 类别 | 要求项 | 自检情况(Y/N) |
| 基本情况 | (1)在中华人民共和国境内注册,由国家投资、法人投资或公民投资成立的企事业单位 | |
| (2)产权关系明晰,注册资金 500 万元以上 | ||
| (3)成立年限在 2 年以上,从事信息系统安全相关工作 1 年以上,无违法记录 | ||
| 人员情况 | (1)配备测评技术负责人与质量负责人各1人,应熟悉信息系统密码应用安全性测评业务,从事商用密码或质量管理相关工作5年以上 | |
| (2)测评人员应为签订正式合同的员工,具有本科及以上学历和密码相关经验,且通过“密码应用安全性测评人员考核”的测评人员不少于10人 | ||
| (3)测评人员的审核以通过培训考核的测评人员名单为依据 | ||
| 测评实验室 | (1)工作场所不小于200平米,配有必要的防污染、防火、控制进入等安全措施 | |
| (2)对相关区域进行隔离(包括空间隔离、电磁场隔离等),采取措施消除影响 | ||
| 仪器设备 | (1)具备符合相关要求的机房及必要的软硬件设备,以满足技术培训、测评验证和模拟测试的需要(如密码相关标准符合性分析工具、网络数据分析工具、网络协议分析仪),对于国家密码管理部门认可的专用测评工具,或测评结构自己研发的测评工具应保证是最新版本或进行验证、校准 | |
| (2)具备完备的设备和工具管理制度 | ||
| (3)仪器设备具有完整的操作、维护规程,仪器设备使用说明书、校准报告、使用记录、定期维修核查制度和记录、存放地点及管理人等规范完整 | ||
| 测评实施能力 | (1)具有把握国家密码政策,理解和掌握相关技术标准,熟悉测评方法、流程和工作规范等方面知识及能力的测评人员,测评人员应能够依据测评结果做出专业判断及出具测评报告等 | |
| (2)具备密码应用安全性技术测评实施能力,包括身份鉴别、访问控制、数据安全、密钥管理、安全审计等方面作业指导书开发、使用、维护机获取相关结果的专业能力 | ||
| (3)具备密码应用安全性管理测评实施能力,包括人员、制度、实施、应急等方面测评指导书的开发、使用、维护及获取相关结果的专业判断 | ||
| (4)具备系统整体测评能力,能根据单位测评的结果记录部分、结果汇总部分和问题分析部分、进行综合分析、给出测评结论 | ||
| (5)具备搭建密码应用模拟系统的能力,以展示技术测评实施能力、管理测评实施能力和详细测评工作流程(证明密评能力的重要手段) | ||
| (6)依据测评工作流程,有计划有步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制(四个阶段:测评准备阶段、方案编制阶段、现场测评阶段和报告编制阶段) | ||
| 质量管理能力 | (1)建立质量管理体系,制定相应的质量目标,指定质量主管,并明确其管理职责 | |
| (2)根据国家有关保密规定制定保密管理制度,明确保密范围、保密职责及有关罚则等内容,定期对工作人员进行保密教育,防止发生泄露国家秘密、商业秘密、敏感信息和个人隐私的事件,测评人员应签订《保密责任书》,规定其应当履行的安全保密义务和承担的法律责任 | ||
| (3)制定测评项目管理程序,主要应包括测评工作的组织形式、工作职责、测评各阶段的工作内容和管理要求等 | ||
| (4)保证管理系统的有效运行,持续改进自身的测评质量和管理水平,发现问题及时反馈并采取纠正措施,确保其有效性 | ||
| (5)制定投诉及争议处理制度,严格遵守制度并记录采取的措施 | ||
| 风险控制能力 | (1)充分估计测评过程可能给被测系统带来的风险(测评活动、测评设备和工具接入、测评活动残留数据的保护和清理、重要信息泄露) | |
| (2)针对以上风险制定规避和控制措施 | ||
五、密评机构能力评审程序
由国家秘密管理局组成评审专家组,组织专家评审,评审程序分为三个阶段。
| 阶段 | 评审内容 |
| 材料核查 | 专家组对申请单位提交的材料进行审查。申请材料包括: (1)《商用密码应用安全性测评机构申请表》 (2)从事与商用密码相关工作情况的说明 (3)开展测评工作所需软硬件及其他服务保障设施配备情况 (4)管理制度建设情况(需要提供相关制度的文本文件) (5)申请单位及其测评人员基本情况(需要提供人员的基本信息) (6)申请单位认为有必要提交的其他材料 (7)《商用密码应用安全性测评机构能力评估申请表》 |
| 现场评审 | 专家组前往申请单位,采取查看、问询、模拟考试、问卷考试等形式,对照《商用密码应用安全新评估测评机构能力要求》对机构进行评审(即上面密评机构能力自检表中的7项),并对照《商业密码应用安全性测评结构能力评审专家评分表》逐项打分。 |
| 综合评议 | 专家组组长召开会议,综合材料审查和现场评审情况进行研讨和评议。汇总专家评审情况,填写《商用密码应用安全性测评机构能力评审汇总表》,提交国家密码管理局。另增加实际测评能力仿真评价环节,确保申请机构有实战经验,而且能力特别突出。 |
六、密评机构申请流程
| 步骤 | 具体工作 |
| (1)机构提交申请材料 | 申请测评机构应提交的材料包括 (1)《商用密码应用安全性测评机构申请表》 (2)从事与商用密码相关工作情况的说明 (3)开展测评工作所需软硬件及其他服务保障设施配备情况 (4)管理制度建设情况(需要提供相关制度的文本文件) (5)申请单位及其测评人员基本情况(需要提供人员的基本信息) (6)申请单位认为有必要提交的其他材料 |
| (2)材料初审 | 国际密码管理局设立申请材料初审工作组,对申请材料进行初审,出具初审结论。初审结论按程序报批后,告知申请单位。 |
| (3)测评人员培训考核 | 通过初审的申请单位,应在60个工作日内参加培训、考核和能力评审。 |
| (4)机构能力评审 | 国家密码管理局设立测评机构能力评审专家组,负责申请单位的能力评审工作,具体就是开展材料审核、现场评审和综合评议。 |
| (5)确定机构名单 | 国家密码管理局组织召开综合评定会,研究形成综合评定结论,确定测评机构名单,并印发试点地区和部门 |
七、开展密评流程
图5:密评业务流程
7.1密评业务检测依据
《信息安全登记保护商用密码管理办法》
《信息安全登记保护商用密码技术实践要求》
《信息系统安全等级保护基本要求》
检测范围:
信息安全等级为三级及以上信息系统中的商用密码系统
7.2检测程序
- 填写文档
申请单位可填写《信息安全等级保护商用密码系统安全测评申请书》,填写相关信息
2、提交申请
申请表加盖公章,纸质版提交,电子版递交测评中心
提交收到的密码管理局的信息安全登记保护商用密码产品备案表的确认回执单
3、受理申请
测评中心对申请单位提交的有关材料进行审核后,对符合测评条件的予以受理,并协商有关测评的费用,发放测评受理单或签订相关委托测试协议
7.3现场检测阶段
测评中心安排检测小组对现场商用密码信息系统进行调研,明确商用密码产品实际使用情况和系统相关信息
测评中心按照信息安全等级保护商用密码技术实施要求等技术规范要求以及实验室质量体系管理的要求和申请单位及相关集成单位协商制定测试方案,测试计划,并实施测试任务等。
7.4报告与结论阶段
测评中心检测小组对现场采集的检测结果数据进行分析,形成有关商密系统的安全测评意见,并告知申请单位。
测评中心最后向申请单位出具安全测评报告,并将有关测评情况和安全测评结论上报密码管理局。
八、涉及产品
以下是根据您提供的序号、涉及产品及接口改造和功能作用生成的表格:
| 序号 | 涉及产品及接口改造 | 功能作用 |
| 1 | 手机盾系统 | 通过手机盾系统,实现对手机移动端访问业务系统的用户身份鉴别和数字证书申请 |
| 2 | 国密USB key+数字证书 | 通过USBkey+数字证书,对运维人员/办公人员登录进行身份鉴别 |
| 3 | SSL/IPSec VPN二合一网关 | 安全运维、业务应用安全访问:建立安全传输通道,保证通信过程机密性 |
| 4 | IPSec VPN网关 | 与远程分支机构互联建立安全传输通道 |
| 5 | SSL VPN安全网关 | 网内业务应用安全访问,建立安全传输通道 |
| 6 | 服务器密码机 | 能够独立或并行为多个应用实体提供密码运算、密钥管理等功能;供第三方系统接口调用,进行数据加解密 |
| 7 | 签名验签服务器 | 能够为多个应用实体提供基于PKI体系和数字证书的数字签名、验证签名等运算功能,供第三方系统调用 |
| 8 | 数据库加密机 | 业务系统重要数据(如数据库中的敏感信息)加密存储:机密性和完整性保护 |
| 9 | 日志审计系统(日志服务器开发改造) | 调用服务器密码机API接口,对日志审计系统/日志服务器存储的日志信息进行完整性保护 |
| 10 | 业务系统开发改造 | 调用服务器密码机API接口,对业务系统的访问控制信息进行完整性保护;调用签名验签服务器API接口,对业务系统登录账号进行用户身份鉴别 |
其他产品
1、国密浏览器
国密浏览器与SSL VPN客户端作用相同,均用于建立B/S业务模式下的国密安全传输通道,二者可相互替代(在B/S业务模式下);区别在于:通过SSL VPN客户端,不仅可以访问B/S业务,还可以适配C/S业务。
2、时间戳服务器
基于PKI(公钥密码基础设施)技术的时间戳系统,对外提供精确可信的时间戳服务。主要功能为:
①签发时间戳:用户将需要加盖时间戳的数据,经过消息摘要后发送至时间戳服务器,由时间戳服务器返回的、包含可信时间元素的信息包给客户端,完成时间戳的签发。
②验证时间戳:根据文件、二进制数据、摘要值、时间戳请求验证时间戳签名。
九、常见问题
9.1、用密码应用安全性评估是什么?
商用密码应用安全性评估是指在采用商用密码技术产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估的过程。其目的是通过评估,确保网络和信息系统中密码的使用符合相关的法律法规要求,同时提高密码的安全性,减少潜在的安全风险。
商用密码应用安全性评估将对密码技术产品和服务进行核查,验证其是否满足密码应用的相关要求。同时,评估还将涉及到密码管理策略、密码算法与协议的合规性和正确性,以及网络和设备部署、应用和数据安全等方面的评估。
通过商用密码应用安全性评估,可以及时发现并纠正密码应用中的不合规现象,提高密码的安全性和可信度,确保信息系统的安全运行。同时,评估还可以规范网络运营者的密码使用和管理行为,为整个网络空间的安全提供保障。
9.2、为什么要做密评?
做密评的目的是遵循国家相关法律法规的要求和规定,确保网络和信息系统中的密码应用符合安全要求,保护关键信息的安全性和完整性。以下是为什么要做密评的一些重要原因:
1. 法律法规要求:国家相关法律法规明确要求使用密码来保护关键信息基础设施。网络安全法、密码法等法律法规规定了关键信息基础设施的保护要求,要求网络安全运营者使用密码对关键信息进行保护,并进行密评来保证密码应用的安全性。
2. 安全保护需求:密码在网络和信息系统中起着保护数据安全和保障信息传输的重要作用。通过进行密评,可以评估密码技术产品和服务的合规性、正确性和有效性,及时发现和纠正密码应用中的安全漏洞和风险,提高密码应用的安全性。
3. 风险管理:密码是保护关键信息的重要手段,但不恰当的密码应用可能导致数据泄露、信息受损等安全风险。进行密评可以评估密码的强度和安全性,帮助网络运营者识别潜在的风险,并采取相应的安全措施和管理控制,降低密码应用带来的风险。
4. 规范密码使用管理:密评可以逐步规范网络运营者的密码使用和管理行为。通过评估密码的合规性和有效性,加强对密码使用的监管,促使网络运营者按照规范的流程和要求进行密码的使用和管理,提高密码的安全性和可信度。
综上所述,密评的进行能够确保密码应用的安全性,符合法律法规的要求,降低安全风险,保护关键信息的安全和完整性,为网络和信息系统的安全运行提供保障。
9.3、密码在网络和信息系统中的作用是什么?
密码在网络和信息系统中发挥着多种重要作用,包括以下几个方面:
1. 保护数据安全:密码用于加密敏感数据,使其在传输和存储过程中难以被未授权的人员访问和窃取。通过使用密码,可以确保敏感信息的机密性和完整性,防止数据泄露和篡改。
2. 身份验证和访问控制:密码被用于验证用户的身份,并控制用户对系统和资源的访问权限。通过正确提供密码,用户可以获得相应的访问权限,从而确保只有授权用户能够进行系统的操作和使用。
3. 网络通信安全:密码技术在网络通信中的应用可以保护通信过程的机密性和完整性。通过使用加密算法和协议,可以防止第三方对通信数据进行窃听和篡改,确保通信的安全性。
4. 用户账户安全:密码被用于保护用户的账户和个人信息。通过设置强密码,用户可以防止他人非法访问自己的账户,确保个人隐私和财产安全。
5. 数字签名和认证:密码技术被用于创建和验证数字签名,实现对数据的认证和防篡改。数字签名可以确保接收到的数据是完整和真实的,具有非可抵赖性,有利于在网络通信中实现安全交互和合作。
总的来说,密码在网络和信息系统中扮演着保护数据安全、身份验证、访问控制、通信安全、账户安全以及数字签名等重要角色,是保障信息安全的核心技术之一。
9.4、国密算法发展背景?
随着金融安全上升到国家安全高度,近年来国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强行业安全可控的要求。摆脱对国外技术和产品的过度依赖,建设行业网络安全环境,增强我国行业信息系统的“安全可控”能力显得尤为必要和迫切。
密码算法是保障信息安全的核心技术,尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA-1、RSA等国际通用的密码算法体系及相关标准,为从根本上摆脱对国外密码技术和产品的过度依赖。2010年底,国家密码管理局公布了我国自主研制的“椭圆曲线公钥密码算法”(SM2算法)。为保障重要经济系统密码应用安全,国家密码管理局于2011年发布了《关于做好公钥密码算法升级工作的通知》,要求“自2011年3月1日期,在建和拟建公钥密码基础设施电子认证系统和密钥管理系统应使用SM2算法。自2011年7月1日起,投入运行并使用公钥密码的信息系统,应使用SM2算法。”
9.5、国密算法
安全的本质是算法和安全系统
保证安全最根本的方法是基础软件和基础硬件都是自己控制,目前我国无法短期国产化的情况下,数据加密是最好的方式。如果加密算法以及实现都是外国提供的,安全性从何说起,所以我国国家密码局发布了自主可控的国密算法
国密算法:为了保障商用密码的安全性,国家商用密码管理办公室制定了一系列密码标准,包括SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法(ZUC)那等等。
其中SM1、SM4、SM7、祖冲之密码(ZUC)是对称算法;SM2、SM9是非对称算法;SM3是哈希算法。
目前SM1、SM7算法不公开,调用该算法时,需要通过加密芯片的接口进行调用
9.6、国密算法的现状
虽然在SSL VPN、数字证书认证系统、密钥管理系统、金融数据加密机、签名验签服务器、智能密码钥匙、智能IC卡、PCI密码卡等产品上改造完毕,但是目前的信息系统整体架构中还有操作系统、数据库、中间件、浏览器、网络设备、负载均衡设备、芯片等软硬件,由于复杂的原因无法完全把密码模块升级为国产密码模块,导致整个信息系统还存在安全薄弱环节。
附件1:密码应用安全性评估备案表
附件2:商用密码应用安全性评估报告模板
本篇文章材料来自于网络整理,如有问题,请联系我。
(结束)
