专家解读|马原:建立完善商用密码应用安全性评估体系
推动商用密码规范应用
中国科学院信息工程研究所副研究员 马原
2020年起实施的《中华人民共和国密码法》(以下简称《密码法》)明确规定了商用密码应用安全性评估(以下简称密评)有关要求,新修订的《商用密码管理条例》(以下简称《条例》)进一步细化了相关规定。密评对我国商用密码应用和管理工作具有重要的推动和规范作用,其体系也在不断发展和完善过程中。
一、商用密码应用安全性评估体系初步建立
2007年,国家密码管理局印发《信息安全等级保护商用密码管理办法》,成为密评工作的肇始和开端。2017年,国家密码管理局印发《关于开展密码应用安全性评估试点工作的通知》,密评工作走上了发展快车道,密评体系建设在法律法规、标准规范、机构培育等方面取得了长足的进展,科学性和规范性不断提升。
(一)体制机制与法规依据逐步成熟规范
《密码法》首次确立了密评工作的法律地位。《密码法》第二十七条对关键信息基础设施使用商用密码和开展密评提出了明确要求,并在第三十七条对违反该要求的行为明确了罚则,这从根本上建立起了密评制度,也是开展密评工作最基本的法律依据。随着《密码法》的贯彻实施,密评工作也得到了越来越多的关注和认可,成为了密码应用推进工作的重要抓手。
新修订的《条例》对密评工作提出了更加具体和细化的要求。在落实《密码法》要求的基础上,《条例》第三十八条进一步明确了关键信息基础设施“三同步”、每年定期评估以及备案管理的具体要求:“……运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。……,运行后每年至少进行一次评估,评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。”对于与网络安全等级保护制度的衔接,《条例》第四十一条规定:“网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。”这及时回应了社会对于等级保护对象开展密码应用与安全性评估的关切,为等级保护对象开展密评提供了基本遵循。
除了《密码法》和《条例》外,相关部门规章和规范性文件也对密码应用和密评作出了明确规定,包括国务院办公厅印发的《国家政务信息化项目建设管理办法》、公安部印发的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》、财政部印发的《政务信息系统政府采购管理暂行办法》等,与上述法律法规一起,共同构成了密评工作的法律依据和制度支撑。
(二)技术体系与标准规范不断健全完善
2018年初,为指导密评试点工作开展,国家密码管理局发布了密码行业标准GM/T-0054《信息系统密码应用基本要求》。2018年以来,基于GM/T-0054开展的密码应用和安全性评估工作,充分验证了密评工作的科学性和可行性。该标准也在2021年上升为国家标准GB/T-39786《信息安全技术 信息系统密码应用基本要求》,结合密评工作实践对内容进行了优化,更为科学合理。
为了配合GB/T-39786的实施,更好地指导和规范密评活动,中国密码学会密评联委会组织制定了《信息系统密码应用测评要求》《信息系统密码应用测评过程指南》《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板》等5项指导性文件,其中前2项已正式发布为密码行业标准GM/T-0115和GM/T-0116。
相比于原有的符合性判定“一票否决”的规则,新的密评标准框架丰富了密评结果的出具过程,提出了“量化评估+风险判定”的综合判定思路。量化评估是为了“保量”,即商用密码应用应当达到一定的程度,便于纵向和横向的比较;风险判定是为了“保质”,即守住信息系统的安全底线。此外,为了规范密评实施和判定活动,中国密码学会密评联委会还组织编制了《商用密码应用安全性评估FAQ》,以问答形式解释了密评过程中常见问题,并确立了定期更新机制,不断应对技术发展和应用情况的变化,以持续保持密评标准体系的活力。
(三)机构规模与能力水平持续壮大提升
密评机构不仅是密评工作实施开展的主体,还是密码应用推进工作的宣传队,因此其专业水平十分重要。2017年底,第一批密评试点机构遴选工作正式开始,经培育考核,确定了首批密评试点机构。2019年底,第二批密评试点机构的遴选正式启动,吸取第一批密评试点机构能力考核的经验,结合密评试点阶段实际密评工作的要求,第二批密评试点机构的能力考核进一步完善,在原有的人员能力笔试考核和机构条件现场考核基础上,将密评报告评估和密评实战能力考核纳入能力考核范围。这其中,实战能力考核是充分克服了新冠疫情的不利影响,积极探索解决密评实战能力如何考核的难题,取得了很好的成效,也获得了参与考核机构的积极反馈。实战能力考核贴近实际,不再是“纸上谈兵”,一方面覆盖了原本理论考试无法涉及的内容,对机构实战能力进行了有效评价,另一方面也对密评工作的开展起到了有效的引导和教育作用,将密评机构原先对算法、产品进行简单核查的僵化思路,逐步转变为充分采集证据、深入分析数据、客观给出结果的科学化、合理化路径。
2020年7月,国家密码管理局公布了第一批24家密评试点机构目录,并于2021年6月进行目录更新,其中可面向全国开展密评业务的机构共48家,另外25家可面向本省本行业开展密评业务,形成了阶梯式的密评机构层次架构。密评试点机构规模不断扩大、能力逐步提升,为密评工作规模化、规范化发展提供了重要支撑。
二、贯彻落实《条例》,进一步完善密评体系
《条例》关于密评的规定,既是对关键信息基础设施运营者密评主体责任的明确,也对密评体系建设提出了更高要求,指引着密评体系建设不断发展完善。
(一)持续拓展密评工作深度广度,不断增强重要领域密码应用水平
在法律法规层面,可以预见的是,随着《条例》发布,配套的规章制度也会陆续出台,进一步细化对密评机构管理和对密评工作管理等要求。在这些法律法规的具体要求下,密评机构和人员的管理将进一步规范,开展密评的信息系统范围和数量将进一步扩大。下一步,在前期金融、政务等领域开展密码应用和密评工作的良好基础上,要进一步深入扩展到其他重要领域和行业,推动密码应用和密评要求在重要领域和行业落地生根,持续增强密码应用的广度和深度。
(二)持续推进标准文件更新出台,不断为密评体系注入生命力
GB/T-39786针对信息系统提出了通用性的密码应用基本要求,但无法适配于所有类型信息系统和应用场景。近些年,国家密码管理局以密码行业标准形式发布了针对具体应用场景的密码应用技术要求和指南,包括电子保单、网上银行、远程移动支付、电子招投标、区块链等。随着密码应用范围的不断扩大,亟需新一批的指导性文件用于指导具体场景的密码应用建设和安全性评估工作,并适情开展文件的标准化。另外,目前密评体系文件中形成标准的还不多,还需进一步推进已经在制标过程中的《信息系统密码应用方案设计指南》和《信息系统密码应用实施指南》等应用指导类文件加快成熟,以更好指导密码应用与安全性评估工作。
(三)持续加强技术手段建设,不断提升密评机构能力水平
在密评实施过程中,目前的工具和手段还不能较好支撑对专门领域(如5G、工业互联网)中的密码协议和密码应用情况进行有效检查,在对信息系统重要数据的深入自动分析及密码应用漏洞的探测方面也存在较大欠缺。因此,未来需要围绕密评实践过程中的各个技术验证点,进一步加强密评业务开展的技术手段建设。一方面,基于密码产品/服务等相关标准完善现有典型密评工具,同时研制并集成密评新工具,如自动化分析工具、密码应用渗透测试工具,形成可联动、可动态配置、自动化、一体化的密评工具平台;另一方面,加强密码应用典型风险库和应对知识库建设,为密评人员的知识培训、实战考核和能力验证提供基础保障。此外,还需加强密码应用攻防平台建设,整合密码应用风险库以及对应的典型案例库、恶意攻击行为库等知识库,结合一体化密评工具平台,形成涵盖环境仿真、密评人员培训演练、密评机构能力验证为一体的密评核心基础设施,全面提升我国密评工作质量水平和实战能力,切实维护重要网络与信息系统安全。