建立完善商用密碼應(yīng)用安全性評(píng)估體系,推動(dòng)商用密碼規(guī)范應(yīng)用
編輯:2023-06-09 08:52:45
2020年起實(shí)施的《中華人民共和國(guó)密碼法》(以下簡(jiǎn)稱《密碼法》)明確規(guī)定了商用密碼應(yīng)用安全性評(píng)估(以下簡(jiǎn)稱密評(píng))有關(guān)要求,新修訂的《商用密碼管理?xiàng)l例》(以下簡(jiǎn)稱《條例》)進(jìn)一步細(xì)化了相關(guān)規(guī)定。密評(píng)對(duì)我國(guó)商用密碼應(yīng)用和管理工作具有重要的推動(dòng)和規(guī)范作用,其體系也在不斷發(fā)展和完善過(guò)程中。
一、商用密碼應(yīng)用安全性評(píng)估體系初步建立 2007年,國(guó)家密碼管理局印發(fā)《信息安全等級(jí)保護(hù)商用密碼管理辦法》,成為密評(píng)工作的肇始和開端。2017年,國(guó)家密碼管理局印發(fā)《關(guān)于開展密碼應(yīng)用安全性評(píng)估試點(diǎn)工作的通知》,密評(píng)工作走上了發(fā)展快車道,密評(píng)體系建設(shè)在法律法規(guī)、標(biāo)準(zhǔn)規(guī)范、機(jī)構(gòu)培育等方面取得了長(zhǎng)足的進(jìn)展,科學(xué)性和規(guī)范性不斷提升。 (一)體制機(jī)制與法規(guī)依據(jù)逐步成熟規(guī)范 《密碼法》首次確立了密評(píng)工作的法律地位。《密碼法》第二十七條對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施使用商用密碼和開展密評(píng)提出了明確要求,并在第三十七條對(duì)違反該要求的行為明確了罰則,這從根本上建立起了密評(píng)制度,也是開展密評(píng)工作最基本的法律依據(jù)。隨著《密碼法》的貫徹實(shí)施,密評(píng)工作也得到了越來(lái)越多的關(guān)注和認(rèn)可,成為了密碼應(yīng)用推進(jìn)工作的重要抓手。 新修訂的《條例》對(duì)密評(píng)工作提出了更加具體和細(xì)化的要求。在落實(shí)《密碼法》要求的基礎(chǔ)上,《條例》第三十八條進(jìn)一步明確了關(guān)鍵信息基礎(chǔ)設(shè)施“三同步”、每年定期評(píng)估以及備案管理的具體要求:“……運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),制定商用密碼應(yīng)用方案,配備必要的資金和專業(yè)人員,同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估。……,運(yùn)行后每年至少進(jìn)行一次評(píng)估,評(píng)估情況按照國(guó)家有關(guān)規(guī)定報(bào)送國(guó)家密碼管理部門或者關(guān)鍵信息基礎(chǔ)設(shè)施所在地省、自治區(qū)、直轄市密碼管理部門備案。”對(duì)于與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的銜接,《條例》第四十一條規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求,使用商用密碼保護(hù)網(wǎng)絡(luò)安全。國(guó)家密碼管理部門根據(jù)網(wǎng)絡(luò)的安全保護(hù)等級(jí),確定商用密碼的使用、管理和應(yīng)用安全性評(píng)估要求,制定網(wǎng)絡(luò)安全等級(jí)保護(hù)密碼標(biāo)準(zhǔn)規(guī)范。”這及時(shí)回應(yīng)了社會(huì)對(duì)于等級(jí)保護(hù)對(duì)象開展密碼應(yīng)用與安全性評(píng)估的關(guān)切,為等級(jí)保護(hù)對(duì)象開展密評(píng)提供了基本遵循。 除了《密碼法》和《條例》外,相關(guān)部門規(guī)章和規(guī)范性文件也對(duì)密碼應(yīng)用和密評(píng)作出了明確規(guī)定,包括國(guó)務(wù)院辦公廳印發(fā)的《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》、公安部印發(fā)的《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》、財(cái)政部印發(fā)的《政務(wù)信息系統(tǒng)政府采購(gòu)管理暫行辦法》等,與上述法律法規(guī)一起,共同構(gòu)成了密評(píng)工作的法律依據(jù)和制度支撐。 (二)技術(shù)體系與標(biāo)準(zhǔn)規(guī)范不斷健全完善 2018年初,為指導(dǎo)密評(píng)試點(diǎn)工作開展,國(guó)家密碼管理局發(fā)布了密碼行業(yè)標(biāo)準(zhǔn)GM/T-0054《信息系統(tǒng)密碼應(yīng)用基本要求》。2018年以來(lái),基于GM/T-0054開展的密碼應(yīng)用和安全性評(píng)估工作,充分驗(yàn)證了密評(píng)工作的科學(xué)性和可行性。該標(biāo)準(zhǔn)也在2021年上升為國(guó)家標(biāo)準(zhǔn)GB/T-39786《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》,結(jié)合密評(píng)工作實(shí)踐對(duì)內(nèi)容進(jìn)行了優(yōu)化,更為科學(xué)合理。 為了配合GB/T-39786的實(shí)施,更好地指導(dǎo)和規(guī)范密評(píng)活動(dòng),中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)組織制定了《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南》《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板》等5項(xiàng)指導(dǎo)性文件,其中前2項(xiàng)已正式發(fā)布為密碼行業(yè)標(biāo)準(zhǔn)GM/T-0115和GM/T-0116。 相比于原有的符合性判定“一票否決”的規(guī)則,新的密評(píng)標(biāo)準(zhǔn)框架豐富了密評(píng)結(jié)果的出具過(guò)程,提出了“量化評(píng)估+風(fēng)險(xiǎn)判定”的綜合判定思路。量化評(píng)估是為了“保量”,即商用密碼應(yīng)用應(yīng)當(dāng)達(dá)到一定的程度,便于縱向和橫向的比較;風(fēng)險(xiǎn)判定是為了“保質(zhì)”,即守住信息系統(tǒng)的安全底線。此外,為了規(guī)范密評(píng)實(shí)施和判定活動(dòng),中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)還組織編制了《商用密碼應(yīng)用安全性評(píng)估FAQ》,以問答形式解釋了密評(píng)過(guò)程中常見問題,并確立了定期更新機(jī)制,不斷應(yīng)對(duì)技術(shù)發(fā)展和應(yīng)用情況的變化,以持續(xù)保持密評(píng)標(biāo)準(zhǔn)體系的活力。 (三)機(jī)構(gòu)規(guī)模與能力水平持續(xù)壯大提升 密評(píng)機(jī)構(gòu)不僅是密評(píng)工作實(shí)施開展的主體,還是密碼應(yīng)用推進(jìn)工作的宣傳隊(duì),因此其專業(yè)水平十分重要。2017年底,第一批密評(píng)試點(diǎn)機(jī)構(gòu)遴選工作正式開始,經(jīng)培育考核,確定了首批密評(píng)試點(diǎn)機(jī)構(gòu)。2019年底,第二批密評(píng)試點(diǎn)機(jī)構(gòu)的遴選正式啟動(dòng),吸取第一批密評(píng)試點(diǎn)機(jī)構(gòu)能力考核的經(jīng)驗(yàn),結(jié)合密評(píng)試點(diǎn)階段實(shí)際密評(píng)工作的要求,第二批密評(píng)試點(diǎn)機(jī)構(gòu)的能力考核進(jìn)一步完善,在原有的人員能力筆試考核和機(jī)構(gòu)條件現(xiàn)場(chǎng)考核基礎(chǔ)上,將密評(píng)報(bào)告評(píng)估和密評(píng)實(shí)戰(zhàn)能力考核納入能力考核范圍。這其中,實(shí)戰(zhàn)能力考核是充分克服了新冠疫情的不利影響,積極探索解決密評(píng)實(shí)戰(zhàn)能力如何考核的難題,取得了很好的成效,也獲得了參與考核機(jī)構(gòu)的積極反饋。實(shí)戰(zhàn)能力考核貼近實(shí)際,不再是“紙上談兵”,一方面覆蓋了原本理論考試無(wú)法涉及的內(nèi)容,對(duì)機(jī)構(gòu)實(shí)戰(zhàn)能力進(jìn)行了有效評(píng)價(jià),另一方面也對(duì)密評(píng)工作的開展起到了有效的引導(dǎo)和教育作用,將密評(píng)機(jī)構(gòu)原先對(duì)算法、產(chǎn)品進(jìn)行簡(jiǎn)單核查的僵化思路,逐步轉(zhuǎn)變?yōu)槌浞植杉C據(jù)、深入分析數(shù)據(jù)、客觀給出結(jié)果的科學(xué)化、合理化路徑。 2020年7月,國(guó)家密碼管理局公布了第一批24家密評(píng)試點(diǎn)機(jī)構(gòu)目錄,并于2021年6月進(jìn)行目錄更新,其中可面向全國(guó)開展密評(píng)業(yè)務(wù)的機(jī)構(gòu)共48家,另外25家可面向本省本行業(yè)開展密評(píng)業(yè)務(wù),形成了階梯式的密評(píng)機(jī)構(gòu)層次架構(gòu)。密評(píng)試點(diǎn)機(jī)構(gòu)規(guī)模不斷擴(kuò)大、能力逐步提升,為密評(píng)工作規(guī)模化、規(guī)范化發(fā)展提供了重要支撐。 二、貫徹落實(shí)《條例》,進(jìn)一步完善密評(píng)體系 《條例》關(guān)于密評(píng)的規(guī)定,既是對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者密評(píng)主體責(zé)任的明確,也對(duì)密評(píng)體系建設(shè)提出了更高要求,指引著密評(píng)體系建設(shè)不斷發(fā)展完善。 (一)持續(xù)拓展密評(píng)工作深度廣度,不斷增強(qiáng)重要領(lǐng)域密碼應(yīng)用水平 在法律法規(guī)層面,可以預(yù)見的是,隨著《條例》發(fā)布,配套的規(guī)章制度也會(huì)陸續(xù)出臺(tái),進(jìn)一步細(xì)化對(duì)密評(píng)機(jī)構(gòu)管理和對(duì)密評(píng)工作管理等要求。在這些法律法規(guī)的具體要求下,密評(píng)機(jī)構(gòu)和人員的管理將進(jìn)一步規(guī)范,開展密評(píng)的信息系統(tǒng)范圍和數(shù)量將進(jìn)一步擴(kuò)大。下一步,在前期金融、政務(wù)等領(lǐng)域開展密碼應(yīng)用和密評(píng)工作的良好基礎(chǔ)上,要進(jìn)一步深入擴(kuò)展到其他重要領(lǐng)域和行業(yè),推動(dòng)密碼應(yīng)用和密評(píng)要求在重要領(lǐng)域和行業(yè)落地生根,持續(xù)增強(qiáng)密碼應(yīng)用的廣度和深度。 (二)持續(xù)推進(jìn)標(biāo)準(zhǔn)文件更新出臺(tái),不斷為密評(píng)體系注入生命力 GB/T-39786針對(duì)信息系統(tǒng)提出了通用性的密碼應(yīng)用基本要求,但無(wú)法適配于所有類型信息系統(tǒng)和應(yīng)用場(chǎng)景。近些年,國(guó)家密碼管理局以密碼行業(yè)標(biāo)準(zhǔn)形式發(fā)布了針對(duì)具體應(yīng)用場(chǎng)景的密碼應(yīng)用技術(shù)要求和指南,包括電子保單、網(wǎng)上銀行、遠(yuǎn)程移動(dòng)支付、電子招投標(biāo)、區(qū)塊鏈等。隨著密碼應(yīng)用范圍的不斷擴(kuò)大,亟需新一批的指導(dǎo)性文件用于指導(dǎo)具體場(chǎng)景的密碼應(yīng)用建設(shè)和安全性評(píng)估工作,并適情開展文件的標(biāo)準(zhǔn)化。另外,目前密評(píng)體系文件中形成標(biāo)準(zhǔn)的還不多,還需進(jìn)一步推進(jìn)已經(jīng)在制標(biāo)過(guò)程中的《信息系統(tǒng)密碼應(yīng)用方案設(shè)計(jì)指南》和《信息系統(tǒng)密碼應(yīng)用實(shí)施指南》等應(yīng)用指導(dǎo)類文件加快成熟,以更好指導(dǎo)密碼應(yīng)用與安全性評(píng)估工作。 (三)持續(xù)加強(qiáng)技術(shù)手段建設(shè),不斷提升密評(píng)機(jī)構(gòu)能力水平 在密評(píng)實(shí)施過(guò)程中,目前的工具和手段還不能較好支撐對(duì)專門領(lǐng)域(如5G、工業(yè)互聯(lián)網(wǎng))中的密碼協(xié)議和密碼應(yīng)用情況進(jìn)行有效檢查,在對(duì)信息系統(tǒng)重要數(shù)據(jù)的深入自動(dòng)分析及密碼應(yīng)用漏洞的探測(cè)方面也存在較大欠缺。因此,未來(lái)需要圍繞密評(píng)實(shí)踐過(guò)程中的各個(gè)技術(shù)驗(yàn)證點(diǎn),進(jìn)一步加強(qiáng)密評(píng)業(yè)務(wù)開展的技術(shù)手段建設(shè)。一方面,基于密碼產(chǎn)品/服務(wù)等相關(guān)標(biāo)準(zhǔn)完善現(xiàn)有典型密評(píng)工具,同時(shí)研制并集成密評(píng)新工具,如自動(dòng)化分析工具、密碼應(yīng)用滲透測(cè)試工具,形成可聯(lián)動(dòng)、可動(dòng)態(tài)配置、自動(dòng)化、一體化的密評(píng)工具平臺(tái);另一方面,加強(qiáng)密碼應(yīng)用典型風(fēng)險(xiǎn)庫(kù)和應(yīng)對(duì)知識(shí)庫(kù)建設(shè),為密評(píng)人員的知識(shí)培訓(xùn)、實(shí)戰(zhàn)考核和能力驗(yàn)證提供基礎(chǔ)保障。此外,還需加強(qiáng)密碼應(yīng)用攻防平臺(tái)建設(shè),整合密碼應(yīng)用風(fēng)險(xiǎn)庫(kù)以及對(duì)應(yīng)的典型案例庫(kù)、惡意攻擊行為庫(kù)等知識(shí)庫(kù),結(jié)合一體化密評(píng)工具平臺(tái),形成涵蓋環(huán)境仿真、密評(píng)人員培訓(xùn)演練、密評(píng)機(jī)構(gòu)能力驗(yàn)證為一體的密評(píng)核心基礎(chǔ)設(shè)施,全面提升我國(guó)密評(píng)工作質(zhì)量水平和實(shí)戰(zhàn)能力,切實(shí)維護(hù)重要網(wǎng)絡(luò)與信息系統(tǒng)安全。
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號(hào)文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號(hào)清控創(chuàng)新基地A座4層