2021年12月17日，中国密码学会更新发布了《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板（2021版）》《商用密码应用安全性评估FAQ》等 4项密码应用与安全性评估指导性文件。

其中的《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板（2021版）》等3项密码应用与安全性评估指导性文件是依据《中华人民共和国密码法》等法律法规对原有指导性文件的修订

其中的《商用密码应用安全性评估FAQ》为新增的密码应用与安全性评估指导性文件。

原有的《信息系统密码应用测评要求》《信息系统密码应用测评过程指南》等2项文件废止，分别由GM/T 0115-2021、GM/T 0116-2021密码行业标准替代。

本文重点针对《商用密码应用安全性评估FAQ》（以下简称FAQ）进行解读。

针对商用密码应用安全性评估（以下简称密评），最开始执行的是GM/T 0054标准，要求相对较高，在密评试点过程中通过率极低，从而导致落地执行难度比较大。因此在后续升级为GB/T 39786过程中，对标准要求进行了修订，使得密评工作在2021年得到了极大的推进。但是由于大家对于新标准的理解不一，执行过程中的人员能力不同，使得密评报告的质量参差不齐。

在上述背景下，《FAQ》文件的发布，对于密评工作有序健康的推进具有重大作用。

首先，对于密码应用的方案编制工作，具有清晰的指导作用。

其次，对于密码应用的建设实施工作，具有明确的参考价值。

最后，对于密码应用的安全测评工作，起到规范统一的作用。

《FAQ》文件中共列了5个问题，下面分别进行解读。

1、信息系统密码应用基本要求的等级

如果完成等保定级，密码应用等级与等保级别一致。

如果未进行等保定级，则至少为三级。

2、应、宜、可测评指标把握

应、宜、可测评指标把握，主要是宜指标的把握。

没有密码应用方案或方案中未对“宜”指标做明确说明，则纳入测评指标。

有密码应用方案且通过评审，对“宜”指标明确不适应，并有风险控制措施，测评时判定是否不适应。

3、经认证合格的密码产品中的密钥安全符合性判定 

密码产品的安全级别是否满足信息系统的等级要求。

密码产品产生的密钥如果在外部进行管理时需要进行测评。如对数据做“一文一密”加密时，就需要大量的对称密钥，如果密码产品是服务器密码机产品，那密码产品产生的密钥就需要保存在外部的数据库中，测评过程就需要对该部分的密钥管理功能进行测评。但是如果采用的是具有密钥管理功能的密码产品（如海泰数据加解密服务平台），由于密钥管理都是在密码产品内部进行，则满足密钥安全性符合性判定。

密码产品是否正确进行部署和使用，管理制度是否能够保证密码产品正确进行部署和使用。

总结就是，选用相应安全级别的具有密钥管理功能的密码产品，并且正确进行部署和使用，以及具有相应的管理制度，才能满足密钥安全符合性判定。

4、物理和环境安全层面的测评对象识别和确定

测评对象为被测信息系统所在的物理机房，具体为物理机房的电子门禁系统和视频监控系统。

信息系统在不同物理机房，则都要进行测评并现场取证。

信息系统不在本单位，如运营商机房、云服务提供商机房、其他单位或部门管辖的机房，如果机房通过密评则复用相关结论，如果机房未通过密评则现场取证，条件不允许的，由机房的运维方提供相关说明文件和证据以支撑测评结论。

总结就是，信息系统不管部署在哪儿，还是部署在几个地方，都要进行测评并现场取证，如果不是本单位的机房，则由相应机房的运维方提供说明文件和证据。

5、网络和通信安全层面的测评对象识别与确定

测评对象主要是针对跨网络访问的通信信道，包括网络和通信两部分。网络层面从网络类型分为互联网、政务外网、企业专网等。通讯层面从通讯主体确定，典型的如客户端与服务端，服务端与服务端，常见的客户端包括PC机的浏览器和移动智能终端的APP，服务端包括B/S和C/S服务系统等。

通过一个场景示例，明确了网络和通讯层面涉及8个测评对象，同时明确了涉及的密码产品包括：国密浏览器、非国密浏览器、SSL VPN和IPSec VPN等。

上一篇：国家保密局局长李兆宗：切实肩负起新时代保密工作的职责使命 下一篇：人民日报| 密码，让百姓生活更安全——《中华人民共和国密码法》颁布两周年工作情况综述

返回列表