首页 - 铜陵新闻 - 如何正确“过度评价”?

如何正确“过度评价”?

发布时间:2022-05-03  分类:铜陵新闻  作者:seo  浏览:5727

2022年,“秘密测评”(即“商用密码应用安全测评”)成为各行业的热词。

在《密码法》的要求下,在《信息安全技术信息系统密码应用基本要求》国家标准(GB/T 39786-2021)的指导下,各地、各行业积极严谨地开展密级测评,将是推动密码应用的良好开端。各行业纷纷出台相关标准和要求,将涉密测评工作提上日程。关键信息基础设施、政府信息系统、保险等三级以上信息系统的建设必须“过于保密”。

面对各种各样的产品,各种不同的观点,暗评应该怎么做?应该遵循哪些技术标准?有哪些重点?有哪些误区?下面带你一探究竟。

这些“误区”要辨别

误区一:业务系统零改造,没有信息系统的整合可以通过密评。

现状:部分厂商提出业务系统零改造、密评方案,部分密码服务厂商抓住客户信息系统改造难、成本高的痛点,打出“信息系统无需集成即可通过密评”的宣传口号。

事实上,专家解读:的信息系统秘密评估主要旨在促进密码应用的合规性、正确性和有效性。密码应用中常见的安全问题包括:密码技术被抛弃(如完全不用的密码),密码技术被误用(如简化密码协议的使用导致安全漏洞),密码技术被误用(如用固定值代替随机数作为初始向量)。这一切都指向“用”,即信息系统要正确调用密码产品和密码服务。不分析信息系统的实际情况和重要的数据安全需求,再对信息系统进行适当的改造“使用”密码,很难充分保证信息系统的安全性,也很难通过密级评估。

误区二:忽略应用层,只靠物理层和网络层通过密评。

现状:有厂商向客户提出“应用层不打分,其他层打分就能通过考试”的说法。

根据专家解读:《商用密码应用安全性评估量化评估规则》第六部分的总体结论,总体量化评价结果为100%,应用和数据安全占30分。只有达到评分阈值且不存在高风险项目时,才能判定被测信息系统基本符合GB/T39786-2021相应等级要求。现在的执行门槛是60分,也就是说如果应用层和数据层完全不打分,那就只剩下10分的机动空间了;更重要的是,应用和数据安全涉及五个高风险项目。如果完全不考虑,很容易遭遇高风险的“一票否决”。

误区三:秘密评估就是对密码产品的评估。

现状:有机构问“如果系统中没有密码技术或密码产品,是不需要密评,还是可以直接通过密评?”

专家解读:密评是对应用端业务系统的测评,看密码是否被合规、正确、有效的应用,而不是对密码产品的检测。根据相关法律法规,关键信息基础设施、政务信息系统、三级以上信息系统需要同步规划、建设、运行密码保护系统,并定期进行密级评估。这个要求与当前是否使用密码无关。如果上述业务系统根本不使用密码,那么“高危项目”肯定存在于密评中,所以肯定过不了密评。

误区4:定义评估对象的范围是模糊的。

现状:的一些组织怀疑宝鼎级的范围是否与秘密评估的范围一致。做密码测评的时候,是不是所有系统测试都要通过密测?如何划定评价对象的范围?

目前,专家解读:秘密评估没有独立评分,但它取决于平等评分。因此,原则上评价范围应与保定市等级范围一致。如果保定级系统中有多个应用或子系统,则在秘密评估时会对每个应用或子系统进行评估,最终分数的确定需要综合考虑相应级别所有应用或子系统的密码应用。详见GM/T 0115 《信息系统密码应用测评要求》。

误区5:购买一些加密设备并部署它们将满足秘密评估的要求。

现状:的密评工作必须在没有密码设备建设的情况下进行,购买密码设备的数量和金额必须是各行业关注的焦点之一。一些密码设备制造商根据自己的产品推广,宣传

称“采购一些密码设备、一类产品即可通过密码应用测评” 。

专家解读:密评工作的目标是“以评促用”,脱离信息系统的当前状况去谈产品的配用是不科学的。对于已建的信息系统,首先开展差距分析,梳理保护对象、应用场景及防护现状,总结当前差距形成密码应用需求,根据密码应用需求设计密码应用措施,才能谈得上需要什么样的产品来实现这些措施。

误区六:包过密评?

现状:密评工作对于各行业来说属于新业务、新要求,在缺乏有效参考经验的情况下,一些销售人员为了争取商业机会,打出“包过密评”包票。

专家解读:这样的宣传虽然可能给了用户通过“密评”的信心,但能否通过密评,是由正规测评机构给出结论为标志的。密码测评机构绝不会在尚未了解任何情况之前就去判定“符合”;同样的,协助用户做密码应用的厂商,也只有在充分了解用户业务、梳理密码应用需求之后,才能明确有哪些GB/T 39786规定的密码应用要求未得到满足,此前的“包票”都只能是噱头。即便明确了需求,是否能够设计出既满足了密码应用需求、又不对业务造成太大影响的技术措施,仍是要具体问题具体分析。科学的说法,是专业密码厂商会竭尽所能帮助用户通过“密评”,但在未充分了解情况之前的“包票”,都是过于夸张的。

误区七:已建设的CA认证产品和密评关系认知不明

现状:一些机构疑惑现有的CA电子签名、数据保护等和密评是什么关系?

专家解读:基于公钥密码的电子签名,是当前主流的密码应用技术之一。行业现阶段为无纸化业务而开展的电子签名、数据保护等工作,同样属于密码技术应用,能够解决重要数据的真实性、完整性和不可否认性,为合规密码应用建设打下了良好基础。但如前所述,并非一类密码应用技术就可解决所有问题,因此也不能有“用了电子签名就一定能过密评”的认识。

误区八:只用对新机房进行密码应用改造

现状:随着信息化发展,部分机构在原有机房难以支撑信息化应用的情况下,采用了多机房并行的情况。针对此类情况,机构认为只对新机房开展密码应用改造,就可以完成密评工作。

专家解读:GB/T 39786规定的物理环境安全要求,是所有物理环境都需要满足的。因此如果多机房,每个机房都要根据完整的测评单元开展评估工作,综合的物理环境安全得分值是取加权平均,而非只有一个机房合规就能得到全部的分数。对于高风险项,如果任何一个机房存在高风险,则是“一票否决”。

这些“要点”要掌握

01

密评工作的参与方及职责

· 责任单位:

网络运营者即网络和信息系统的责任单位(包括建设、使用、管理单位),是密评的被测评单位,应当认真履行好密码安全主体责任,明确密码安全负责人,制定完善的密码管理制度,按照要求开展商用密码应用安全性评估、备案和整改,配合密码管理部门和有关部门的安全检查。

· 测评机构

测评机构是密评的执行单位,应当按照有关法律法规和标准要求科学、公正地开展评估。从事密评工作的测评人员应当通过国家密码管理部门(或其授权的机构)组织的考核,遵守国家有关法律法规,按照相关标准,为用户提供安全、客观、公正的评估服务,保证评估的质量和效果。

· 密码管理部门:

国家密码管理部门负责指导、监督和检查全国的密评工作;省(部)密码管理部门负责指导、监督和检查本地区、本部门、本行业(系统)的密评工作。国家密码管理部门依据有关规定,组织对测评机构工作开展情况进行监督检查。

02

遵循的技术标准

《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)是贯彻落实《中华人民共和国密码法》,指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准。中国密码学会密评联委会发布并持续更新依照GB/T 39786-2021开展密评的系列指导文件,目前包括5项:

01

GM/T 0115-2021《信息系统密码应用测评要求》

02

GM/T 0116-2021《信息系统密码应用测评过程指南》

03

《信息系统密码应用高风险判定指引》

04

《商用密码应用安全性评估量化评估规则》

05

《商用密码应用安全性评估报告模板(2021版)》

另外,2021年新增发布了《商用密码应用安全性评估FAQ》,对于密评工作中的常见问题进行了解答。

03

密评的基本要求和程序设计

· 范围要求:

法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统并定期进行密评。

· 机构性质:

密评机构应当经国家密码管理局认定,依法取得商用密码检测机构资质,且资质认定业务范围载明“商用密码应用安全性评估”。目前密评工作仍处于“试点”阶段,因此当前公布的是密评“试点”机构名录。不久的将来随着《商用密码管理条例》《密码检测机构管理办法》等制度文件的正式颁布,密评机构认定工作将走向常态化。

· 实施要求:包含方案测评、系统测评、运营者支持配合义务、结果备案等。

· 信息系统密码应用基本要求:如图所示

04

选择密码产品的依据

开展密码应用建设应根据责任单位实际情况具体问题具体分析,基于GB/T 39786-2021规定的四个技术层面、四个管理层面,根据实际安全需求编制密码应用方案,并针对性选择密码产品实现方案中所述的密码应用措施。安全是核心目标,在合规的方案指导下使用密码技术和密码产品,才能保障核心目标不偏离。

05

密评工作关注的重点

(1)遵循“三同步,一评估”原则

项目建设单位应当同步规划、同步建设、同步运行密码保障系统并定期进行评估,其中同步规划的核心是密码应用方案编制。密码应用方案编制是至关重要的环节,好的方案会为后续的建设指明方向、铺平道路;如果方案未做好,后期的项目建设将面临诸多困难和反复。典型的“方案未做好”是没有对业务进行仔细梳理、对密码应用需求的详细分析,而是直接生搬硬套密码应用措施和产品,导致建设时出现无法落地实施的状况。

(2)把握“以评促用”的指导思想

只有正确、合规、有效地使用密码技术,才能更好地保护网络安全和数据安全——密码用得对不对,需要前期的同步规划、同步建设、同步运行密码保障系统,然后靠测评来证明。

(3)对“应”“宜”“可”的把握

根据GM/T 0115《信息系统密码应用测评要求》:

对于“应”的条款,密评人员应按照第5章和第6章相应的测评指标要求进行测评和结果判定;若根据信息系统的密码应用方案和方案评审意见,判定信息系统确无与某项或某些项测评指标相关的密码应用需求,则相应测评指标为“不适用”。

对于“宜”的条款,密评人员根据信息系统的密码应用方案和方案评审意见决定是否纳入标准符合性测评范围;若信息系统没有通过评估的密码应用方案或密码应用方案未做明确说明,则“宜”的条款默认纳入标准符合性测评范围。若纳入测评范围,则密评人员应按照第6章相应的测评指标要求进行测评和结果判定。否则,密评人员应根据信息系统的密码应用方案和方案评审意见,在测评中进一步核实密码应用方案中所描述的风险控制措施使用条件在实际的信息系统中是否被满足,且信息系统的实施情况与所描述的风险控制措施是否一致,若满足使用条件,该测评指标为“不适用”,并在密码应用安全性评估报告中体现核实过程和结果;若不满足使用条件,则应按照第6章相应的测评指标要求进行测评和结果判定。

对于“可”的条款,由信息系统责任单位自行决定是否纳入标准符合性测评范围。若纳入测评范围,则密评人员应按照第6章相应的测评指标要求进行测评和结果判定;否则,该测评指标 为“不适用”。

(4)尊重客观规律

根据差距分析,进行分阶段规划,稳步推进密码建设。原则上优先解决高风险,再考虑解决中低风险;先解决重要业务线,再补充其他;先保护好基础设施,再考虑构建在其上的应用。

声明:除发布的文章无法追溯到作者并获得授权外,我们均会注明作者和文章来源。如涉及版权问题请及时联系我们,我们会在第一时间删改,谢谢!文章来源:等级保护测评

标签: gb  电子签名  信息系统密码应用测评要求  信息安全  密码技术 

快捷导航
最新发布
标签列表