本文来自微信公众号“网络安全和信息化”,作者:中国软件评测中心(工业和信息化部软件与集成电路促进中心)蔡方博、荣志刚、李强。
密码是保障网络安全的核心技术和基础支撑,在网络安全防护中具有不可替代的作用。利用密码在安全认证、加密保护、信任传递等方面的重要作用,构建网络空间安全保障体系、维护国家网络空间安全,推动密码全面规范应用,构建以密码为基础的网络安全体系,实现从被动防御向主动预防的战略转变,具有重要意义。
《中华人民共和国密码法》(以下简称《密码法》)于2020年1月1日实施,该法是规范密码应用和管理、促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化的基础性法律。《密码法》和《信息安全技术信息系统密码应用基本要求》(GB/T 39786—2021)等相关法律法规的颁布与实施,逐步推动着商用密码规范应用的落地。
建立完善的商用密码应用安全性评估体系,是贯彻落实《密码法》的法定责任,是有效应对我国网络安全严峻形势的迫切需要,是落实国务院“放管服”改革要求和国家关键信息基础设施安全防护责任的重要举措,是商用密码管理的一项基础性、开创性工作。
商用密码主要用于保护不属于国家秘密的信息,广泛应用于通信、金融、税控、社保、能源等重要领域,在维护国家安全、促进经济发展、保护人民利益中,发挥着不可替代的作用。商用密码在信息系统中应用的安全性评估简称“密评”,密评是对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估的活动。通过密评,可以发现在网络和信息系统中密码使用存在的问题与不足,逐步规范商用密码的使用和管理。深化商用密码管理改革,强化商用密码合规、正确、有效的应用,是新时期商用密码发展面临的重要任务。
商用密码检测范围及要求
密评主要涉及国家安全和社会公共利益的重要领域网络和信息系统的建设(如基础信息网络、重要工业控制系统、政务信息系统、关键信息基础设施、网络安全等级保护第三级及以上信息系统等),使用和管理单位应当健全密码保障体系,实施商用密码应用安全性评估。
《密码法》第十八条规定,单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能,可能严重危害国家安全、国计民生和公众利益的,应当纳入关键信息基础设施保护范围。一是政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;二是电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;三是国防科工、大型装备、化工、食品药品等行业领域科研生产单位;四是广播电台、电视台、通讯社等新闻单位;五是其他重点单位等。
商用密码应用安全性评估流程及方法
商用密码安全性评估主要包括密码应用方案评估、评测准备活动、编制测试方案、现场测评以及结果分析与报告编制五部分组成,具体流程如图所示。
密码应用方案评估阶段,主要完成被测系统密码应用的正确性、合规性、有效性,以及实施计划和应急处置方案的科学性、可行性、完备性等方面的评估工作,评估结果作为实施密评的依据。对于没有通过评估的应用方案,由测评机构提出整改建议,被测系统的在用单位或责任单位对设计方案进行整改,整改完成后向评测机构反馈结果,直至评估通过,测评机构出具评估报告。
测评准备活动阶段,主要了解被测系统的基本架构和详细情况,主要包含项目启动、信息收集和分析、工具和表单准备三个方面。在项目启动阶段,首先准备委托测评协议书、保密协议、被测系统介绍等资料,测评单位根据材料编制项目计划书。在信息收集和分析阶段,主要收集被测信息系统密码总体描述文件、密码应用方案、已有的验收报告等,供测评机构了解和熟悉被测系统,最终完成系统调查表格。在工具和表单准备阶段,主要完成各种与被测信息系统相关的技术资料,如风险告知书、文档交接单、测评工具清单等。
在编制测试方案阶段,主要完成测评指标确定、测评内容确定和测评方案编制三部分工作。在测评指标确定方面,根据被测系统评估报告和信息系统描述材料,确定被测信息系统的安全等级和相应的测评指标。在测评内容确定方面,把测评指标结合到被测系统中,描述具体测评方法,构成可具体实施测评的单元。在测评方案编制方面,首先明确被测信息系统的密码算法、密码技术、密码产品和密码服务相关的标准规范;其次估算现场测评工作量,根据测评项目组成员,编制具体的测评计划,最后形成测评方案,方案通过测评机构评估后,提交给测评委托单位签字认可。
现场测评是根据测评方案的总体要求,分步实施所有测评任务,检验系统存在的密码应用安全性问题,主要包括现场测评准备、结果记录、结果确认和资料归还三个阶段。在现场准备阶段,举行测评现场会议,会上测评机构介绍测评工作方案,确定现场测评需要的各种资源,现场签署测评授权书。在现场测评记录阶段,主要通过访谈、文档审查、现场查看、配置检查和工具测试等方式,检测被测信息系统是否达到了相应等级的安全要求;检测系统中应用的密码算法、密码技术、密码产品和密码服务是否取得国家管理部门的认证,实际部署密码产品与文件说明是否一致性,查看系统安全参数配置的正确性,测评人员根据现场测评结果填写完成测评结果记录表格。在测评结果确认和资料归还方面,首先汇总现场测评的测评记录,对遗漏和需要进一步验证的内容实施补充测评;召开测评现场结束会议,然后测评方与受测方对测评过程中发现的问题进行现场确认;最后测评机构归还测评过程中借阅的所有文档资料,并由测评委托单位文档资料提供者签字确认。
分析与报告编制,标识整个系统密码安全保护现状与相应等级保护要求之间的差距,分析差距可能导致被测信息系统面临的风险,得出测评结论、出具报告。测评结果包括单项测评、单元测评、整体测评等,结合被测信息系统的安全保护等级对测评结果进行风险分析,形成测试结论。根据测试结论编写测评报告,对被测信息系统存在的安全隐患提出改进建议。测评报告初稿编制完成后,测评机构根据委托测评协议书、测评委托单位提交的相关文档等材料,对测评报告初稿进行内部审核。内部审核通过后,由授权签字人进行签发,提交测评委托单位,并送所属省/部密码主管部门备案。
后续工作及展望
商用密码已广泛应用于电信、金融、教育、能源等重要领域,积极开展商用密码应用安全性检测工作是推进商用密码在重要领域深入应用的有效手段。我们必须充分意识到建设商用密码安全评估机制的重要性,力争用规范化的评估流程,确保信息系统商用密码应用的安全科学性和有效性。
为了更好地推进商用密码应用安全性评估工作,未来我们应从以下几方面加强研究:一是加强学习《信息系统密码应用测评过程指南》《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》等评估方法和标准的学习实践;二是提升测评人员的网络协议和密码算法分析能力,提升密评检测的效率;三是提高创新能力,研发工具提升测评准确性和效率;四是完善密评质量管理体系和保密要求,提升商用密码的应用规范,通过“以测促用”,推进我国商用密码应用向更好的方向发展。
来源:《网络安全和信息化》杂志
作者:中国软件评测中心(工业和信息化部软件与集成电路促进中心)蔡方博 荣志刚 李强