查看原文
其他

【原创】四项密码指导性文件更新之解读(一)||《商用密码应用安全性评估FAQ》解读

Frank 密码头条 2022-09-24

2021年12月17日,中国密码学会更新发布了《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板(2021版)》《商用密码应用安全性评估FAQ》等 4项密码应用与安全性评估指导性文件。


其中的《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板(2021版)》等3项密码应用与安全性评估指导性文件是依据《中华人民共和国密码法》等法律法规对原有指导性文件的修订。


其中的《商用密码应用安全性评估FAQ》为新增的密码应用与安全性评估指导性文件。


原有的《信息系统密码应用测评要求》《信息系统密码应用测评过程指南》等2项文件废止,分别由GM/T 0115-2021、GM/T 0116-2021密码行业标准替代。

本文重点针对《商用密码应用安全性评估FAQ》(以下简称FAQ)进行解读。


针对商用密码应用安全性评估(以下简称密评),最开始执行的是GM/T 0054标准,要求相对较高,在密评试点过程中通过率极低,从而导致落地执行难度比较大。因此在后续升级为GB/T 39786过程中,对标准要求进行了修订,使得密评工作在2021年得到了极大的推进。但是由于大家对于新标准的理解不一,执行过程中的人员能力不同,使得密评报告的质量参差不齐



《FAQ》文件解读



在上述背景下,《FAQ》文件的发布,对于密评工作有序健康的推进具有重大作用。

首先,对于密码应用的方案编制工作,具有清晰的指导作用。

其次,对于密码应用的建设实施工作,具有明确的参考价值。


最后,对于密码应用的安全测评工作,起到规范统一的作用。


《FAQ》文件中共列了22个问题,下面分别进行解读。


01
信息系统密码应用基本要求的等级

如果完成等保定级,密码应用等级与等保级别一致。


如果未进行等保定级,则至少为三级。

02
应、宜、可测评指标把握

应、宜、可测评指标把握,主要是宜指标的把握。


没有密码应用方案或方案中未对“宜”指标做明确说明,则纳入测评指标。


有密码应用方案且通过评审,对“宜”指标明确不适应,并有风险控制措施,测评时判定是否不适应。

03
经认证合格的密码产品中的密钥安全符合性判定 

密码产品的安全级别是否满足信息系统的等级要求。


密码产品产生的密钥如果在外部进行管理时需要进行测评。如对数据做“一文一密”加密时,就需要大量的对称密钥,如果密码产品是服务器密码机产品,那密码产品产生的密钥就需要保存在外部的数据库中,测评过程就需要对该部分的密钥管理功能进行测评。但是如果采用的是具有密钥管理功能的密码产品(如海泰数据加解密服务平台),由于密钥管理都是在密码产品内部进行,则满足密钥安全性符合性判定。


密码产品是否正确进行部署和使用,管理制度是否能够保证密码产品正确进行部署和使用。


总结就是,选用相应安全级别的具有密钥管理功能的密码产品,并且正确进行部署和使用,以及具有相应的管理制度,才能满足密钥安全符合性判定。

04
物理和环境安全层面的测评对象识别和确定 

测评对象为被测信息系统所在的物理机房,具体为物理机房的电子门禁系统和视频监控系统。


信息系统在不同物理机房,则都要进行测评并现场取证。


信息系统不在本单位,如运营商机房、云服务提供商机房、其他单位或部门管辖的机房,如果机房通过密评则复用相关结论,如果机房未通过密评则现场取证,条件不允许的,由机房的运维方提供相关说明文件和证据以支撑测评结论。


总结就是,信息系统不管部署在哪儿,还是部署在几个地方,都要进行测评并现场取证,如果不是本单位的机房,则由相应机房的运维方提供说明文件和证据。


05
网络和通信安全层面的测评对象识别与确定 

测评对象主要是针对跨网络访问的通信信道,包括网络和通信两部分。网络层面从网络类型分为互联网、政务外网、企业专网等。通讯层面从通讯主体确定,典型的如客户端与服务端,服务端与服务端,常见的客户端包括PC机的浏览器和移动智能终端的APP,服务端包括B/S和C/S服务系统等。


通过一个场景示例,明确了网络和通讯层面涉及8个测评对象,同时明确了涉及的密码产品包括:国密浏览器、非国密浏览器、SSL VPN和IPSec VPN等。


未完待续


END



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存