商用密碼套用安全性評估,簡稱“密評”,是指按照有關法律法規和標準規範,對網路與信息系統使用商用密碼技術、產品和服務的合規性、正確性、有效性進行檢測分析和評估驗證的活動。
《中華人民共和國密碼法》第二十七條規定,法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委託商用密碼檢測機構開展商用密碼套用安全性評估。
為有效控制安全風險,關鍵信息基礎設施的運營者應當在規劃、建設等必要階段進行評估,系統投入運行後,還應當定期開展評估。
基本介紹
- 中文名:商用密碼套用安全性評估
- 外文名:Commercial Cryptography Application Security Evaluation
- 簡稱:密評
密評意義,密評責任主體及對象,密評主要內容,密評體系發展歷程,密評體系總體架構,密評試點機構,密評相關標準,密評管理辦法,
密評意義
建立完善密評制度,對關鍵信息基礎設施商用密碼套用的合規性、正確性和有效性進行評估,對於有效規範密碼套用,切實保障國家網路和信息安全,具有重要作用。
密評同時也是網路安全等級保護和關鍵信息基礎設施安全保護制度的重要內容和技術手段。關鍵信息基礎設施的運營者作為關鍵信息基礎設施網路安全保護和密碼使用的第一責任人,《中華人民共和國密碼法》要求其履行相應的義務,按照相關法律法規和標準規範對關鍵信息基礎設施密碼套用的合規性、正確性、有效性和運維管理人員基本能力進行評估。
密評責任主體及對象
密評工作的責任主體是涉及國家安全和社會公共利益的重要領域網路和信息系統的建設、使用、管理單位。密評對象包括基礎信息網路、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制系統、面向社會服務的政務信息系統,以及關鍵信息基礎設施、網路安全等級保護第三級及以上的信息系統。
密評主要內容
密評的內容包括密碼套用安全的三個方面:合規性、正確性和有效性。
1.商用密碼套用合規性評估
商用密碼套用合規性評估是指判定信息系統使用的密碼算法、密碼協定、密鑰管理是否符合法律法規的規定和密碼相關國家標準、行業標準的有關要求,使用的密碼產品和密碼服務是否經過國家密碼管理部門核准或由具備資格的機構認證合格。
2.商用密碼套用正確性評估
商用密碼套用正確性評估是指判定密碼算法、密碼協定、密鑰管理、密碼產品和服務使用是否正確,即系統中採用的標準密碼算法、協定和密鑰管理機制是否按照相應的密碼國家和行業標準進行正確的設計和實現,自定義密碼協定、密鑰管理機制的設計和實現是否正確,安全性是否滿足要求,密碼保障系統建設或改造過程中密碼產品和服務的部署和套用是否正確。
3.商用密碼套用有效性評估
商用密碼套用有效性評估是指判定信息系統中實現的密碼保障系統是否在信息系統運行過程中發揮了實際效用,是否滿足了信息系統的安全需求,是否切實解決了信息系統面臨的安全問題。
密評體系發展歷程
密評最早於 2007 年提出,經過十餘年的積累,密評制度體系不斷成熟,其發展經歷了四個階段。
第一階段:制度奠基期(2007 年 11 月至 2016 年 8 月)。2007 年 11 月 27 日,國家密碼管理局印發 11 號檔案《信息安全等級保護商用密碼管理辦法》,要求信息安全等級保護商用密碼測評工作由國家密碼管理局指定的測評機構承擔。2009 年 12 月 15 日,國家密碼管理局印發管理辦法實施意見,進一步明確了與密碼測評有關的要求。
第二階段:再次集結期(2016 年 9 月至 2017 年 4 月)。國家密碼管理局成立起草小組,研究起草《商用密碼套用安全性評估管理辦法(試行)》。2017 年 4 月 22 日,正式印發《關於開展密碼套用安全性評估試點工作的通知》(國密局〔2017〕138 號文),在七省五行業開展密評試點。
第三階段:體系建設期(2017 年 5 月至 2017 年 9 月)。國家密碼管理局成立密評領導小組,研究確定了密評體系總體架構,並組織有關單位起草 14 項制度檔案。經徵求試點地區、部門意見和專家評審,2017 年 9 月 27 日,國家密碼管理局印發《商用密碼套用安全性測評機構管理辦法(試行)》《商用密碼套用安全性測評機構能力評審實施細則(試行)》《信息系統密碼套用基本要求》(後以密碼行業標準 GM/T0054 形式發布)和《信息系統密碼測評要求(試行)》,密評制度體系初步建立。
第四階段:密評試點開展期(2017 年 10 月-今)。試點開展過程同時也是機構培育過程,包括機構申報遴選、考察認定、發布目錄、開展試點測評工作並提升測評機構能力、總結試點經驗、完善相關規定等。在測評機構的培育認定上,堅持“總量控制、科學布局、擇優選取、培育輔導、行政許可”的總體思路。2019 年上半年對第一批密評試點做了評審總結,對參與試點的 27 家機構進行能力再評審,擇優選出 16 家擴大試點,對另 11 家機構給予 6 個月能力提升整改期。2019 年 10 月,開始啟動第二批密評試點工作。2020 年 7 月,密評試點機構數量繼續擴大,經過能力評審、驗證及整改,增至 24 家。2021 年 6 月,國家密碼管理局依據《密碼法》以及商用密碼套用安全性評估有關管理規定,《商用密碼套用安全性評估試點機構目錄》更新發布,密評試點機構增至 48 家。
按照《密碼法》有關規定,商用密碼套用安全性測評機構將作為商用密碼檢測機構,納入依法管理軌道,由國家市場監管總局和國家密碼管理局依據有關法律法規和標準、技術規範的規定實施評價許可。未來,機構許可擬按照統一管理、分工協作、共同實施的機制,制定資質認定規則,發布和調整資質認定目錄,並組織開展資質認定監督。在許可程式之“技術評審管理”環節,擬強化對機構測評能力的專業審查,切實把住機構實際能力的關口。考慮到測評機構整體能力偏低和密評人才供給極度短缺的現狀,擬組織對申請機構進行培育輔導,切實提升機構測評能力。商用密碼套用安全性測評管理規章制度正在修訂。在測評機構的培育認定上,堅持“總量控制、科學布局、擇優選取、培育輔導、行政許可”的總體思路。
密評體系總體架構
密評體系借鑑了信息安全等級保護工作十多年的實施經驗,並考慮影響密評試點實施的關鍵要素,分為兩層共七大要素。
密評體系總體架構圖
1.第一層
體系的底層是支撐層,包括法律法規制度和支撐平台兩個要素。
(2)支撐平台要素包括四類數據平台和發布宣傳平台,即測評對象備案資料庫(系統定級、基本情況、建設實施情況等)、密碼套用情況資料庫、測評機構基礎資料庫、測評專家知識庫(測評知識、方法和實際經驗等)和發布宣傳平台(如監督舉報、查處發布、獎懲)等。
2.第二層
體系的上層是實施層,包括機構、人員、測評、報告、風控五要素。
(1)機構要素:包括測評機構管理辦法、技術能力要求、證書管理等。
(2)人員要素:包括培訓體系(教材、大綱、題庫等)、考核考試、測評師管理、人員審核等。
(3)測評要素:包括技術體系(測評理論、技術、方法、標準規範等)、管理規範、實施過程、測評類型等。
(4)報告要素:包括報告格式、內部審核的簽發管理要求、備案要求、抽查機制等。
(5)風控要素:包括準入和管理兩個層面,從人員、管理制度、測評措施等方面防範可能給被測系統帶來的風險。
密評體系有些要素已基本具備(如機構要素中的測評機構管理辦法、技術能力要求,測評要素中的套用標準、測評標準、測評過程指南等),有些要素還待完善。在密評工作開展過程中,既要嚴格遵守已有規定,又要不斷完善充實制度體系。
密評試點機構
2020年7月29日,國家密碼管理局公告(第40號)發布,公布了《商用密碼套用安全性評估試點機構目錄》,共24家。
2021年6月11日,國家密碼管理局公告(第42號)發布,更新了《商用密碼套用安全性評估試點機構目錄》,共48家。
密評相關標準
1.密評基礎性國家標準
國家標準GB/T 39786-2021《信息安全技術 信息系統密碼套用基本要求》於2021年10月1日起實施。這是貫徹落實《中華人民共和國密碼法》,指導商用密碼套用與安全性評估工作的一項基礎性標準。
2018年,國家密碼管理局發布實施了密碼行業標準GM/T 0054-2018《信息系統密碼套用基本要求》,此次經修改完善並上升為國家標準,進一步突出了其在商用密碼套用標準體系中的基礎性地位。
該標準從物理和環境安全、網路和通信安全、設備和計算安全、套用和數據安全等四個方面提出了密碼套用技術要求,以及管理制度、人員管理、建設運行、應急處置等密碼套用管理要求。與GM/T 0054-2018《信息系統密碼套用基本要求》相比,該標準結合近年來商用密碼套用與安全性評估工作實踐對部分內容進行了最佳化,按照信息系統安全等級分別提出了相應的密碼套用要求。
2.密碼測評國家標準
國家標準GB/T 43206-2023 《信息安全技術 信息系統密碼套用測評要求》於2023年9月7日發布,自2024年4月1日起實施,適用於指導、規範信息系統商用密碼套用安全性評估工作中的測評活動。
密評管理辦法
2023年9月26日,國家密碼管理局令第3號發布。《商用密碼套用安全性評估管理辦法》已經2023年9月11日國家密碼管理局局務會議審議通過,現予公布,自2023年11月1日起施行。該《辦法》是國家密碼管理局根據《中華人民共和國密碼法》、《商用密碼管理條例》等法律法規研究制定,為了統籌細化商用密碼套用安全性評估對象範圍、責任主體、工作原則、程式內容、實施規範等規定,依法規範商用密碼套用安全性評估工作。
