密评业务详解：商用密码应用安全性评估指南

密评业务详解：商用密码应用安全性评估指南

商用密码应用安全性评估（简称“密评”）是保障网络和信息系统安全的重要手段。本文将详细介绍密评的目的、主要内容、要求及流程，帮助读者全面了解这一重要安全评估机制。

一、什么是密评？

密评即商用密码应用安全性评估，是指依据国家和行业相关标准规范，对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性和有效性进行评估。以下是关于密评的详细介绍：

密评的目的

• 保障网络安全
  通过评估，确保商用密码在网络和信息系统中的正确应用，有效保护数据的保密性、完整性和可用性，防止数据泄露、篡改和非法访问，从而提升网络和信息系统的整体安全性。

• 符合法规要求
  推动各单位和组织遵守国家关于商用密码应用的法律法规和政策标准，促进商用密码行业的健康发展，维护国家网络空间安全和信息安全。

• 提供安全决策依据
  为网络和信息系统的运营者、管理者等提供关于密码应用安全状况的客观评估结果，帮助他们了解系统的安全水平，做出合理的安全决策，如是否需要改进密码应用措施、投入更多安全资源等。

密评的主要内容

• 合规性评估
  法律法规合规
  检查网络和信息系统使用商用密码是否符合《密码法》等相关法律法规的要求，如是否依法使用经过认证的商用密码产品和服务等。

标准规范合规
依据国家和行业发布的商用密码相关标准，如 GM/T 0054-2018《信息系统密码应用基本要求》等，评估密码应用是否满足相应的技术和管理规范。

• 正确性评估
  密码算法与协议
  检查所使用的密码算法是否正确、有效，是否按照规定的标准和流程进行密钥生成、加密、解密等操作，密码协议的实现是否符合规范，有无漏洞和缺陷。

密码产品与服务
评估商用密码产品的选型是否合适，产品的功能、性能是否满足系统需求，产品的使用和配置是否正确，以及所采用的商用密码服务是否可靠、安全。

• 有效性评估
  安全功能实现
  验证密码应用是否能够有效实现数据加密、身份认证、访问控制、数据完整性保护等安全功能，是否能够抵御相应的安全威胁，保障系统的安全运行。

安全管理措施
审查密码应用的安全管理制度是否健全，包括密钥管理、人员管理、应急处置等方面，评估这些管理措施是否能够有效落实，以保障密码应用的安全性和可靠性。

二、为什么要做密评？

法律法规要求

• 《密码法》规定
  《中华人民共和国密码法》第二十七条明确要求，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。并在第三十七条对违反该要求的行为明确了罚则。

• 《商用密码管理条例》规定
  新修订的《商用密码管理条例》第三十八条进一步明确了关键信息基础设施 “三同步”、每年定期评估以及备案管理的具体要求。国务院办公厅、公安部、财政部等印发的相关文件也对密评作出了规定，共同构成了密评工作的法律依据和制度支撑。

保障网络与信息安全

• 确保数据安全
  随着信息技术的发展，数据成为重要资产，密评能确保商用密码正确、有效应用，防止数据在存储、传输和处理过程中被窃取、篡改或泄露，比如金融机构通过密评保障客户账户信息、交易数据的安全。

• 抵御网络攻击
  网络威胁不断增加，黑客等可能利用密码应用漏洞攻击系统，密评可发现并修复密码应用中的安全隐患，提升系统抵御攻击能力，如政务系统通过密评加强对网络攻击的防范，保障政务数据安全和业务正常运行。

• 保障关键基础设施运行
  关键信息基础设施关乎国家安全、国计民生等，密评确保其密码应用安全，对维持社会稳定、经济发展至关重要，如能源、交通等领域的关键基础设施，通过密评保障密码应用，避免因密码安全问题导致系统瘫痪。

规范商用密码应用

• 促进密码产业发展
  密评推动各行业规范使用商用密码，扩大市场需求，引导密码技术创新和产品服务升级，促进密码产业健康发展，使密码企业不断提升技术和产品质量，提供更安全、高效的密码解决方案。

• 统一应用标准
  密评依据国家和行业标准进行，有助于统一商用密码应用规范，使不同行业、企业的密码应用有章可循，提高密码应用的整体水平和互操作性，比如在跨行业的信息系统互联互通中，密评确保密码应用符合统一标准，实现安全的数据交互。

满足合规与监管需求

• 满足行业监管要求
  许多行业主管部门将密评作为监管重要内容，要求相关企业和机构开展密评，以加强行业网络安全管理，如金融行业监管部门要求金融机构定期进行密评，确保金融业务安全。

• 提升企业合规性
  企业和组织通过密评证明自身在密码应用方面符合法律法规和标准要求，降低法律风险，提升自身信誉和社会形象，在参与市场竞争、项目招投标等活动中更具优势。

提供决策依据

• 了解安全状况
  密评能让运营者全面了解网络和信息系统密码应用的安全状况，包括密码技术、产品和服务的使用效果，以及安全管理措施的落实情况，为安全决策提供准确信息。

• 合理规划安全投入
  依据密评结果，运营者可明确安全短板和需求，合理规划安全资源投入，确定是否需要升级密码产品、加强人员培训或改进安全管理制度，提高安全投入的效益。

三、密评的对象是谁？

密评的对象主要是采用商用密码技术、产品和服务集成建设的网络与信息系统，具体包括以下几类：

• 基础信息网络
  如电信网络、广播电视网、互联网等，这些网络是信息传输和交换的基础平台，承载着大量的重要数据和业务，对其进行密评可保障网络通信的安全和稳定。

• 涉及国计民生和基础信息资源的重要信息系统
  涵盖能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等领域的信息系统。例如金融信息系统涉及大量资金交易和客户敏感信息，能源信息系统关乎国家能源供应和安全，对这些系统进行密评至关重要。

• 重要工业控制系统
  包括核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统。这些系统的安全运行直接关系到国家的工业生产、基础设施稳定以及社会生活的正常运转，密评可防止其遭受网络攻击导致生产事故或基础设施瘫痪。

• 面向社会服务的政务信息系统
  指党政机关和使用财政性资金的事业单位、团体组织使用的面向社会服务的信息系统，如政务审批系统、公共服务平台等，密评有助于保障政务信息的安全，提高政务服务的质量和公信力。

• 关键信息基础设施
  公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，是密评的重点对象。

• 网络安全等级保护第三级及以上的信息系统
  根据信息系统在国家安全、经济建设、社会生活中的重要程度等因素，信息系统安全等级保护分为五级，三级及以上系统受到破坏后会对社会秩序、公共利益甚至国家安全造成严重损害，需要通过密评确保其密码应用安全。

四、密评有什么要求？

合规性要求

• 符合法律法规
  信息系统使用的密码算法、密码产品和服务应符合《中华人民共和国密码法》《商用密码管理条例》等国家密码法律法规。

• 符合标准规范
  遵循相关的国家标准、行业标准和技术指南，如 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》、GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》等。

技术要求

• 物理和环境安全
  要保护密码设备和设施的物理安全，确保其运行环境安全，防止物理攻击、盗窃、破坏等，如对密码设备采取防篡改、防电磁泄露等措施，保障机房的温湿度、电力供应、消防等环境条件。

• 网络和通信安全
  采用安全的网络架构和通信协议，利用密码技术保证数据在传输过程中的保密性和完整性，如使用 VPN 加密通道、SSL/TLS 协议等，防止数据被窃取、篡改或监听。

• 设备和计算安全
  加强密码设备和计算资源的安全管理，包括设备的身份认证、访问控制和安全更新等，如对密码设备进行唯一标识和认证，限制对计算资源的访问权限，及时更新系统补丁和密码算法版本。

• 应用和数据安全
  关注密码在具体应用中的实施和数据保护措施，合理选择加密算法，做好密钥管理，以及数据备份和恢复等工作，如对重要数据采用国密算法进行加密存储，确保密钥的生成、存储、分发、使用、更新和销毁等环节的安全。

管理要求

• 管理制度
  建立和完善密码应用的管理制度和流程，明确各部门和人员在密码应用中的职责分工和操作规范，如制定密码使用管理制度、密钥管理制度、应急处置预案等。

• 人员管理
  对涉及密码应用的人员进行培训和资质管理，确保其具备必要的密码知识和技能，如要求密码管理人员取得相应的密码从业资格证书，定期开展密码安全培训和教育。

• 建设运行
  在系统建设、运维和升级过程中，遵循密码应用的最佳实践和风险管理原则，如在系统设计阶段充分考虑密码应用需求，在运维过程中对密码设备和系统进行定期巡检和维护。

• 应急处置
  制定应急预案和响应机制，以便在发生密码安全事件时能够及时、有效地进行处置，如建立应急响应团队，定期开展应急演练，确保在密码泄露、系统被攻击等事件发生时能够快速响应和处理。

量化评估规则

• 评分标准
  密评通常采用评分制，其中技术要求占 70 分，管理要求占 30 分。

• 通过标准
  通过密评需要达到 60 分以上且无高风险项。

密码算法和密码技术要求

• 算法合规
  使用的密码算法应符合法律、法规的规定和密码相关标准、行业标准的有关要求，重点关注密码算法的合规性，不得使用未经国家密码管理部门认可的密码算法。

• 技术适配
  密码技术应遵循密码相关国家标准和行业标准，保证自身的安全性、可靠性和与信息系统的互联互通性，确保密码技术能够与信息系统的其他部分有效配合，实现整体安全。

五、密评的流程主要有哪些环节？

密评流程一般主要包括准备阶段、测评阶段、报告编制阶段和整改阶段，具体如下：

准备阶段

1.确定测评目标
明确需要进行密评的信息系统或项目，了解其业务功能、应用场景、安全需求等，确定测评的范围和重点。

2.成立测评团队
由具备专业资质和经验的测评人员组成团队，包括密码专家、信息安全工程师等，明确各成员的职责和分工。

3.收集资料
收集与被测系统相关的资料，如系统设计文档、网络拓扑图、密码应用方案、安全管理制度等，为测评工作提供依据。

4.制定测评方案
根据测评目标和收集的资料，依据相关标准和规范，制定详细的测评方案，包括测评内容、方法、步骤、工具以及时间安排等。

5.签订协议
测评机构与委托方签订测评服务协议，明确双方的权利和义务，包括测评范围、保密要求、费用等事项。

测评阶段

1.访谈
与被测系统的相关人员，如系统管理员、安全管理员、业务操作人员等进行访谈，了解系统的密码应用情况、安全管理措施、人员职责等方面的信息。

2.文档审查
对收集到的系统文档进行审查，检查密码应用相关的设计、策略、制度等是否符合相关标准和规范要求，是否与实际运行情况相符。

3.技术检测
运用专业的测评工具和技术手段，对系统的密码技术应用、密码设备运行、密钥管理等方面进行检测。例如，检测密码算法的使用是否正确、密码设备的安全性是否达标、密钥的生成和存储是否安全等。

4.实地查看
到系统运行现场，查看密码设备的物理部署、运行环境、安全防护措施等实际情况，检查是否存在安全隐患。

5.测试验证
通过模拟攻击、数据篡改等方式，对系统的密码应用安全性进行测试验证，评估系统在面对各种安全威胁时的防护能力。例如，测试系统是否能够有效防止密码破解、数据泄露等攻击。

报告编制阶段

1.结果整理与分析
对测评阶段获取的信息和数据进行整理和分析，总结系统密码应用的符合情况，识别存在的问题和安全风险，确定问题的严重程度和影响范围。

2.编制测评报告
根据结果整理与分析的内容，按照规定的格式和要求编制测评报告。报告应包括测评概况、测评依据、测评内容、测评结果、存在问题及风险分析、整改建议等内容。

3.报告审核与交付
测评报告编制完成后，经过内部审核和审批流程，确保报告的准确性和完整性。然后将测评报告交付给委托方，并对报告内容进行必要的解释和说明。

整改阶段

1.制定整改计划
委托方根据测评报告中提出的问题和整改建议，结合自身实际情况，制定详细的整改计划，明确整改目标、整改措施、责任人和整改期限等。

2.实施整改
按照整改计划，组织相关人员和资源，对系统存在的问题进行整改。在整改过程中，要确保整改措施的有效性和安全性，避免对系统的正常运行造成影响。

3.整改验收
整改完成后，委托方可以邀请测评机构或相关专家对整改情况进行验收。验收通过后，系统的密码应用安全性得到提升，达到密评的要求。