翼城旭日辉煌网络科技工作室

2022年(nián)，“密評”（即“商用(yòng)密碼應用(yòng)安全性評估”）成了各行(háng / xíng)業關注的熱詞。

在《密碼法》的要(yào / yāo)求下(xià)，在國标《信息安全技術信息系統密碼應用(yòng)基本要(yào / yāo)求》（GB/T 39786-2021）的指導下(xià)，各地各行(háng / xíng)業積極、嚴謹地開展密評工作，将是推動密碼應用(yòng)的良好開端。各行(háng / xíng)業紛紛出台了相關标準、要(yào / yāo)求，将密評工作提上日程，關鍵信息基礎設施、政務信息系統、等保三級以上信息系統建設，都要(yào / yāo)“過(guò)密評”。

面對(duì)各式各樣的産品和衆說紛纭的方案，究竟密評該如(rú)何過(guò)？應該遵照哪些技術标準？關注哪些要(yào / yāo)點？有哪些誤區？我們帶你(nǐ)一探究竟。

這些“誤區”要(yào / yāo)辨别

誤區一：業務系統零改造，信息系統免集成，即可(kě)通過(guò)密評

現狀：有些廠家(jiā)提出業務系統零改造過(guò)密評的方案，還有些密碼服務廠商抓住了客戶信息系統改造難度大、成本高的痛點，打出“信息系統免集成，即可(kě)通過(guò)密評”的宣傳口号。

專家(jiā)解讀：事(shì)實上信息系統開展密評工作主要(yào / yāo)目的在于(yú)推動密碼應用(yòng)的合規性、正确性、有效性。在常見的密碼應用(yòng)中的安全性問題包括：密碼技術被棄用(yòng)（例如(rú)完全未用(yòng)密碼）、密碼技術被亂用(yòng)（例如(rú)簡化使用(yòng)密碼協議導緻出現安全漏洞）、密碼技術被誤用(yòng)（例如(rú)使用(yòng)固定值而(ér)非随機數作爲初始向量）。這一切都指向“用(yòng)”，即信息系統要(yào / yāo)正确調用(yòng)密碼産品、密碼服務。不針對(duì)信息系統實際情況、重要(yào / yāo)數據安全需求等加以分析，進而(ér)适當改造信息系統以“用(yòng)”密碼，是難以全面保障信息系統安全，也難以通過(guò)密評。

誤區二：忽略應用(yòng)層，隻靠物理、網絡層也能(néng)過(guò)密評

現狀：部分廠商向客戶提出“應用(yòng)層不拿分，靠其(qí)他幾層拿分也能(néng)及格”的說辭。

專家(jiā)解讀：根據《商用(yòng)密碼應用(yòng)安全性評估量化評估規則》第6部分整體結論判定，整體量化評估結果是百分制，應用(yòng)和數據安全占30分。隻有達到分數阈值、且沒有高風險項，才能(néng)判定被測信息系統基本符合GB/T39786-2021相應等級要(yào / yāo)求。目前執行(háng / xíng)的阈值是60分，這意味着(zhe／zhuó／zhāo／zháo)如(rú)果應用(yòng)和數據層完全不拿分，就(jiù)隻剩下(xià)10分的機動空間；更重要(yào / yāo)的是，應用(yòng)和數據安全涉及5項高風險項，如(rú)果完全不加以考慮，很容易碰到高風險“一票否決”。

誤區三：密評是針對(duì)密碼産品的測評

現狀：一些機構疑問：“如(rú)果系統中沒有應用(yòng)密碼技術或密碼産品，是不是就(jiù)不需要(yào / yāo)過(guò)密評，或者可(kě)以直接通過(guò)密評？”

專家(jiā)解讀：密評是針對(duì)應用(yòng)方業務系統的測評，看密碼是否得(dé / de / děi)到合規、正确、有效的應用(yòng)，而(ér)非針對(duì)密碼産品的檢測。按照相關法律法規規定，關鍵信息基礎設施、政務信息系統、等保三級以上信息系統需要(yào / yāo)同步規劃、同步建設、同步運營密碼保障系統，定期進行(háng / xíng)密評，這項要(yào / yāo)求與其(qí)當前是否使用(yòng)密碼無關。如(rú)果上述業務系統完全未用(yòng)到密碼，那(nà)麽在密評中“高風險項”是肯定存在的，因而(ér)肯定無法通過(guò)密評。

誤區四：劃定測評對(duì)象範圍模糊

現狀：一些機構疑惑等保定級的範圍和密評範圍是否一緻，在做密碼測評的時候是要(yào / yāo)所(suǒ)有的系統測試通過(guò)才算通過(guò)密評嗎？如(rú)何劃定測評對(duì)象範圍？

專家(jiā)解讀：密評當前沒有獨立的定級，而(ér)是依賴等保定級的。因而(ér)在劃定測評範圍的時候，原則上應與等保定級的範圍一緻。如(rú)果等保定級系統裏(lǐ)有多個應用(yòng)或多個子系統，密評時會(huì)針對(duì)每個應用(yòng)或子系統都做測評，最終分數判定需綜合考慮所(suǒ)有應用(yòng)或子系統在相應層次的密碼應用(yòng)情況。詳情可(kě)參照GM/T 0115《信息系統密碼應用(yòng)測評要(yào / yāo)求》。

誤區五：采購一些密碼設備并部署上，就(jiù)滿足了密評要(yào / yāo)求

現狀：開展密評工作必然離不開密碼設備的建設工作，密碼設備的采購數量、采購金額必然是各行(háng / xíng)業關注的重點之一。部分密碼設備廠商基于(yú)自(zì)身産品推廣，宣稱“采購一些密碼設備、一類産品即可(kě)通過(guò)密碼應用(yòng)測評” 。

專家(jiā)解讀：密評工作的目标是“以評促用(yòng)”，脫離信息系統的當前狀況去(qù)談産品的配用(yòng)是不科學的。對(duì)于(yú)已建的信息系統，首先開展差距分析，梳理保護對(duì)象、應用(yòng)場景及防護現狀，總結當前差距形成密碼應用(yòng)需求，根據密碼應用(yòng)需求設計密碼應用(yòng)措施，才能(néng)談得(dé / de / děi)上需要(yào / yāo)什麽樣的産品來實現這些措施。

誤區六：包過(guò)密評？

現狀：密評工作對(duì)于(yú)各行(háng / xíng)業來說屬于(yú)新業務、新要(yào / yāo)求，在缺乏有效參考經驗的情況下(xià)，一些銷售人員爲了争取商業機會(huì)，打出“包過(guò)密評”包票。

專家(jiā)解讀：這樣的宣傳雖然可(kě)能(néng)給了用(yòng)戶通過(guò)“密評”的信心，但能(néng)否通過(guò)密評，是由正規測評機構給出結論爲标志的。密碼測評機構絕不會(huì)在尚未了解任何情況之前就(jiù)去(qù)判定“符合”；同樣的，協助用(yòng)戶做密碼應用(yòng)的廠商，也隻有在充分了解用(yòng)戶業務、梳理密碼應用(yòng)需求之後(hòu)，才能(néng)明确有哪些GB/T 39786規定的密碼應用(yòng)要(yào / yāo)求未得(dé / de / děi)到滿足，此前的“包票”都隻能(néng)是噱頭。即便明确了需求，是否能(néng)夠設計出既滿足了密碼應用(yòng)需求、又不對(duì)業務造成太大影響的技術措施，仍是要(yào / yāo)具體問題具體分析。科學的說法，是專業密碼廠商會(huì)竭盡所(suǒ)能(néng)幫助用(yòng)戶通過(guò)“密評”，但在未充分了解情況之前的“包票”，都是過(guò)于(yú)誇張的。

誤區七：已建設的CA認證産品和密評關系認知不明

現狀：一些機構疑惑現有的CA電子簽名、數據保護等和密評是什麽關系？

專家(jiā)解讀：基于(yú)公鑰密碼的電子簽名，是當前主流的密碼應用(yòng)技術之一。行(háng / xíng)業現階段爲無紙化業務而(ér)開展的電子簽名、數據保護等工作，同樣屬于(yú)密碼技術應用(yòng)，能(néng)夠解決重要(yào / yāo)數據的真實性、完整性和不可(kě)否認性，爲合規密碼應用(yòng)建設打下(xià)了良好基礎。但如(rú)前所(suǒ)述，并非一類密碼應用(yòng)技術就(jiù)可(kě)解決所(suǒ)有問題，因此也不能(néng)有“用(yòng)了電子簽名就(jiù)一定能(néng)過(guò)密評”的認識。

誤區八：隻用(yòng)對(duì)新機房進行(háng / xíng)密碼應用(yòng)改造

現狀：随着(zhe／zhuó／zhāo／zháo)信息化發(fā／fà)展，部分機構在原有機房難以支撐信息化應用(yòng)的情況下(xià)，采用(yòng)了多機房并行(háng / xíng)的情況。針對(duì)此類情況，機構認爲隻對(duì)新機房開展密碼應用(yòng)改造，就(jiù)可(kě)以完成密評工作。

專家(jiā)解讀：GB/T 39786規定的物理環境安全要(yào / yāo)求，是所(suǒ)有物理環境都需要(yào / yāo)滿足的。因此如(rú)果多機房，每個機房都要(yào / yāo)根據完整的測評單元開展評估工作，綜合的物理環境安全得(dé / de / děi)分值是取加權平均，而(ér)非隻有一個機房合規就(jiù)能(néng)得(dé / de / děi)到全部的分數。對(duì)于(yú)高風險項，如(rú)果任何一個機房存在高風險，則是“一票否決”。

這些“要(yào / yāo)點”要(yào / yāo)掌握

密評工作的參與方及職責

責任單位：
網絡運營者即網絡和信息系統的責任單位（包括建設、使用(yòng)、管理單位），是密評的被測評單位，應當認真履行(háng / xíng)好密碼安全主體責任，明确密碼安全負責人，制定完善的密碼管理制度，按照要(yào / yāo)求開展商用(yòng)密碼應用(yòng)安全性評估、備案和整改，配合密碼管理部門和有關部門的安全檢查。
測評機構：
測評機構是密評的執行(háng / xíng)單位，應當按照有關法律法規和标準要(yào / yāo)求科學、公正地開展評估。從事(shì)密評工作的測評人員應當通過(guò)國家(jiā)密碼管理部門（或其(qí)授權的機構）組織的考核，遵守國家(jiā)有關法律法規，按照相關标準，爲用(yòng)戶提供安全、客觀、公正的評估服務，保證評估的質量和效果。
密碼管理部門
國家(jiā)密碼管理部門負責指導、監督和檢查全國的密評工作；省（部）密碼管理部門負責指導、監督和檢查本地區、本部門、本行(háng / xíng)業（系統）的密評工作。國家(jiā)密碼管理部門依據有關規定，組織對(duì)測評機構工作開展情況進行(háng / xíng)監督檢查。

遵循的技術标準

《信息安全技術信息系統密碼應用(yòng)基本要(yào / yāo)求》（GB/T 39786-2021）是貫徹落實《中華人民共和國密碼法》，指導我國商用(yòng)密碼應用(yòng)與安全性評估工作開展的綱領性、框架性标準。中國密碼學會(huì)密評聯委會(huì)發(fā／fà)布并持續更新依照GB/T 39786-2021開展密評的系列指導文件，目前包括5項：

GM/T 0115-2021《信息系統密碼應用(yòng)測評要(yào / yāo)求》

GM/T 0116-2021《信息系統密碼應用(yòng)測評過(guò)程指南》

《信息系統密碼應用(yòng)高風險判定指引》

《商用(yòng)密碼應用(yòng)安全性評估量化評估規則》

《商用(yòng)密碼應用(yòng)安全性評估報告模闆（2021版）》

另外，2021年(nián)新增發(fā／fà)布了《商用(yòng)密碼應用(yòng)安全性評估FAQ》，對(duì)于(yú)密評工作中的常見問題進行(háng / xíng)了解答。

密評的基本要(yào / yāo)求和程序設計

範圍要(yào / yāo)求：
法律、行(háng / xíng)政法規和國家(jiā)有關規定要(yào / yāo)求使用(yòng)商用(yòng)密碼進行(háng / xíng)保護的網絡與信息系統，其(qí)運營者應當使用(yòng)商用(yòng)密碼進行(háng / xíng)保護，制定商用(yòng)密碼應用(yòng)方案，配備必要(yào / yāo)的資金和專業人員，同步規劃、同步建設、同步運行(háng / xíng)商用(yòng)密碼保障系統并定期進行(háng / xíng)密評。
機構性質：
密評機構應當經國家(jiā)密碼管理局認定，依法取得(dé / de / děi)商用(yòng)密碼檢測機構資質，且資質認定業務範圍載明“商用(yòng)密碼應用(yòng)安全性評估”。目前密評工作仍處于(yú)“試點”階段，因此當前公布的是密評“試點”機構名錄。不久的将來随着(zhe／zhuó／zhāo／zháo)《商用(yòng)密碼管理條例》《密碼檢測機構管理辦法》等制度文件的正式頒布，密評機構認定工作将走向常态化。
實施要(yào / yāo)求：
包含方案測評、系統測評、運營者支持配合義務、結果備案等。
信息系統密碼應用(yòng)基本要(yào / yāo)求：如(rú)圖所(suǒ)示

選擇密碼産品的依據

開展密碼應用(yòng)建設應根據責任單位實際情況具體問題具體分析，基于(yú)GB/T 39786-2021規定的四個技術層面、四個管理層面，根據實際安全需求編制密碼應用(yòng)方案，并針對(duì)性選擇密碼産品實現方案中所(suǒ)述的密碼應用(yòng)措施。安全是核心目标，在合規的方案指導下(xià)使用(yòng)密碼技術和密碼産品，才能(néng)保障核心目标不偏離。

密評工作關注的重點

（1）遵循“三同步，一評估”原則

項目建設單位應當同步規劃、同步建設、同步運行(háng / xíng)密碼保障系統并定期進行(háng / xíng)評估，其(qí)中同步規劃的核心是密碼應用(yòng)方案編制。密碼應用(yòng)方案編制是至關重要(yào / yāo)的環節，好的方案會(huì)爲後(hòu)續的建設指明方向、鋪平道路；如(rú)果方案未做好，後(hòu)期的項目建設将面臨諸多困難和反複。典型的“方案未做好”是沒有對(duì)業務進行(háng / xíng)仔細梳理、對(duì)密碼應用(yòng)需求的詳細分析，而(ér)是直接生(shēng)搬硬套密碼應用(yòng)措施和産品，導緻建設時出現無法落地實施的狀況。

（2）把握“以評促用(yòng)”的指導思想

隻有正确、合規、有效地使用(yòng)密碼技術，才能(néng)更好地保護網絡安全和數據安全——密碼用(yòng)得(dé / de / děi)對(duì)不對(duì)，需要(yào / yāo)前期的同步規劃、同步建設、同步運行(háng / xíng)密碼保障系統，然後(hòu)靠測評來證明。

（3）對(duì)“應”“宜”“可(kě)”的把握

根據GM/T 0115《信息系統密碼應用(yòng)測評要(yào / yāo)求》：

對(duì)于(yú)“應”的條款，密評人員應按照第5章和第6章相應的測評指标要(yào / yāo)求進行(háng / xíng)測評和結果判定；若根據信息系統的密碼應用(yòng)方案和方案評審意見，判定信息系統确無與某項或某些項測評指标相關的密碼應用(yòng)需求，則相應測評指标爲“不适用(yòng)”。

對(duì)于(yú)“宜”的條款，密評人員根據信息系統的密碼應用(yòng)方案和方案評審意見決定是否納入标準符合性測評範圍；若信息系統沒有通過(guò)評估的密碼應用(yòng)方案或密碼應用(yòng)方案未做明确說明，則“宜”的條款默認納入标準符合性測評範圍。若納入測評範圍，則密評人員應按照第6章相應的測評指标要(yào / yāo)求進行(háng / xíng)測評和結果判定。否則，密評人員應根據信息系統的密碼應用(yòng)方案和方案評審意見，在測評中進一步核實密碼應用(yòng)方案中所(suǒ)描述的風險控制措施使用(yòng)條件在實際的信息系統中是否被滿足，且信息系統的實施情況與所(suǒ)描述的風險控制措施是否一緻，若滿足使用(yòng)條件，該測評指标爲“不适用(yòng)”，并在密碼應用(yòng)安全性評估報告中體現核實過(guò)程和結果；若不滿足使用(yòng)條件，則應按照第6章相應的測評指标要(yào / yāo)求進行(háng / xíng)測評和結果判定。

對(duì)于(yú)“可(kě)”的條款，由信息系統責任單位自(zì)行(háng / xíng)決定是否納入标準符合性測評範圍。若納入測評範圍，則密評人員應按照第6章相應的測評指标要(yào / yāo)求進行(háng / xíng)測評和結果判定；否則，該測評指标爲“不适用(yòng)”。

（4）尊重客觀規律

根據差距分析，進行(háng / xíng)分階段規劃，穩步推進密碼建設。原則上優先解決高風險，再考慮解決中低風險；先解決重要(yào / yāo)業務線，再補充其(qí)他；先保護好基礎設施，再考慮構建在其(qí)上的應用(yòng)。

文章來源：等級保護測評

如(rú)何正确“過(guò)密評”？