《商用密码应用与安全性评估》第二章 商用密码应用与安全性评估政策法规
前言:为了这篇博文能够合规的发布,删减该章节中法律法规部分
深化商用密码管理改革,强化商用密码自主创新,推进商用密码合规、正确、有效应用,是新时期商用密码发展面临的重要任务
密码是国家重要战略资源,是保障网络和信息安全的核心技术和基础支撑,是保护国家安全的战略性资源
国际网络空间安全形势:
- 网络空间安全纳入国家战略
- 网络攻击在国家对抗中深度应用
- 网络攻击已逐步深入网络底层固件
国内网络空间安全形势:
- 核心技术受制于人的局面没有的到根本改变
- 信息产品存在巨大安全隐患
- 关键信息基础设施安全防护能力仍然薄弱:网络安全投入比重低(仅为1%-2%)、防护方式陈旧
密码在网络空间中的重要作用:
- 密码支撑构建网络空间安全防护综合体
- 密码助力打造网络空间数据共享价值链
- 密码推动形成网络空间安全协同生态圈
- 密码促进激发网络空间安全发展创造力
商用密码主要用于:保护不属于国家密码的信息
SM2、SM9数字签名算法,SM3密码杂凑算法,ZUC、SM4对称加密算法成为ISO/IEC国际标准
注:2018年10月ZUC算法、2021年6月29日SM4算法已补篇的形式纳入ISO/IEC 18033-4
密码应用问题:密码应用不广泛、不规范、不安全
商用密码应用安全性评估是:发挥密码作用的必要手段
开展密评是:应对网络安全严峻形势的迫切需求、系统安全维护的必然要求、相关责任主体的法定职责
密码应用是否合规、正确、有效涉及:密码算法、协议、产品、技术体系、密钥管理、密码应用等六个方面
网络与信息系统安全的前提:密码安全
在保护涉及国家秘密、商业密码、个人隐私等信息的前提下,依法做好商用密码有关信用信息的公开工作
商用密码应用安全性评估体系发展历程:
第一阶段:制度奠基期(2007年11月至2016年8月)。2007年11月27日,国家密码管理局印发11号文件《信息安全等级保护商用密码管理办法》,要求信息安全等级保护商用密码测评工作由国家密码局指定的测评机构承担。2009年12月15日,国家密码管理局印发管理办法实施意见,进一步明确了密码测评有关要求
第二阶段:再次集结期(2016年9月至2017年4月)。国家密码管理局成立起草小组,研究起草《商用密码应用安全性评估管理办法(试行)》。2017年4月22日,正式印发《关于开展密码应用安全性评估试点工作的通知》(国密局(2017)138号文),在七省五行业开展密评试点
第三阶段:体系建设期(2017年5月至2017年9月)。国家密码管理局成立密评领导小组,研究确定了密评总体架构,并组织有关单位起草14项制度文件。2017年9月27日,国家密码管理局印发《商用密码应用安全性测评机构管理办法(试行)》《商用密码应用安全性测评机构能力评审实施细则(试行)》《信息系统密码应用基本要求》(后以密码行业标准GM/T 0054形式发布)和《信息系统密码测评要求(试行)》,密评制度体系初步建立
第四阶段:密评试点开展期(2017年10月至今)。试点开展过程同时也是机构培育过程,包括机构申报遴选、考察认定、发布目录、开展试点测评工作并提升测评机构能力、总结试点经验、完善相关规定。
密评体系(总体框架)分为两层共七个要素:
第一层:支撑层,包括法律法规制度和支撑平台两个要素
第二层:实施层,包括机构、人员、测评、报告、风控五个要素
密评总体框架:法律法规制度、支撑平台、机构、人员、测评、报告、风控
密评的主要内容:商用密码应用合规性、正确性和有效性评估
密评的对象:采用商用密码技术、产品和服务集成建设的网络和信息系统
评估的内容包括密码应用安全的三个方面:合规性、正确性、有效性
商用密码应用合规性评估是指:判断信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的相关要求,使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格
商用密码应该正确性评估是指:判断密码算法、密码协议、密码管理、密码产品和服务使用是否正确,即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现,自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求,密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确
商用密码应用有效性评估是指:判断信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用,是否满足了信息系统的安全需求,是否切实解决了信息系统面临的安全问题
国家密码管理局制发《商用密码应用安全性评估管理办法(试行)》的目标:明确国家和省(部)密码管理部门在密码应用安全性评估中的指导、监督和检查职责;明确重要信息系统的建设、使用、管理单位在测评工作中的主体责任;依法培育测评机构,规范评估行为,以评促改、以评促用,形成规范有序的密码应用安全性评估审查机制,并与网络安全等级等已有制度做好衔接
规划阶段的产品主要内容:对密码应用方案进行审查
建设和运行阶段的密评主要内容:对照密码应用方案对系统的安全性开展评估
测评机构完成密评工作后,应在30个工作日内将评估结果报国家密码管理部门备案
责任单位完成规划、建设、运行、应急评估,应在30个工作日内将评估结果报主管部门及所有地区(部门)密码应用部门备案
网络安全等级保护第三级及以上信息系统,评估结果应同时报在地区公安部门备案
《商用密码应用安全性评估管理办法》密评对象范围包括:基础信息网络、设计国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统、关键信息基础设施、网络安全等级保护第三级及以上信息系统
测评机构遴选的基本原则:依法合规、公正公开、客观独立
测评机构的监管主体:国家密码管理局根据各省部密码管理部门的推荐,负责测评机构的受理、能力评审和监督检查等
测评机构的基本条件:
- 中华人民共和国境内注册,由国家投资、法人投资或公民投资成立的企事业单位;要求产权关系明晰,注册资金500万元以上;
- 成立年限在2年以上,从事信息系统安全相关工作1年以上,无违法记录;
- 具备与从事系统测评相适应的独立、集中、可控的工作环境,测评工作场地应不小于200平米
- 具备必要的检测设施、设备,商用的设施设备应满足实施测评工作的要求
- 具备完善的人员结构,包括幻夜技术人员和管理人员,通过“密码应用安全性评估人员考核”的人数不少于10人
- 具备完备的安全保密管理、项目管理、质量管理、人员管理、培训教育、客户管理和投诉处理等规章制度
具体要求如下:
- 安全保密管理规定应当设计测评活动的安全进行、客户和国家密码的保守、客户所有权信息的保护、专用测评工具的安全保管等问题
- 项目管理规定应当涉及测评项目实施的全生命周期,从项目立项到结束,以保证测评结果的公正性和准确性
- 质量管理规定应当涉及影响测评质量“人机料法环”(人员、机器、原料、方法、环境)的各个方面
- 人员管理规定应当涉及关键管理人员和测评人员的考核、授权和上岗等要求
- 培训教育管理规定应当涉及培训计划的制定、培训过程的记录、培训结果的评估等内容,以保证人员具有合格和持续的测评能力
- 客户管理规定应当涉及客户需求的满足、客户满意度的调查、客户意见的采纳和反馈等内容
- 投诉处理管理规定应当描述对客户投诉的处理过程,以及处理结果对测评机构质量管理体系的改进作用,其中投诉包括客户的直接投诉和由密码管理部门转达的客户投诉
- 排他要求:本单位及直接控股的母公司或子公司不得从事商品密码产品生产、销售、集成以及运营等可能影响结果公正性的活动(测评工具类除外)
- 法律法规要求的其他条件
测评机构的设施环境以及人员是保证测评质量的重要基础
申请测评机构应提交的材料:
- 《商用密码应用安全性测评机构申请表》
- 从事与商用密码相关工作情况的说明
- 开展测评工作所需的软硬件及其他服务保障设施配置情况
- 管理制度建设情况(需要提供相关制度的文本文件)
- 申请单位及其测评人员基本情况(需要提供人员的基本信息)
- 申请单位认为有必要提交的其他材料
主要负责人包括:测评机构的质量负责人,以及负责密码应用安全性评估领域的技术负责人
测评机构下列事项发生变更时,应在10个工作日内向国家密码管理局报告:
- 测评机构名称、地址、主要负责人发生变更的
- 测评机构法人、股权结构发生变更的
- 其他重大事项发生变更的
测评机构的法律责任:
- 未按照有关标准规范开展测评或未按规定出具测评报告的
- 严重妨碍被测评测评系统正常运行,危害被测评信息系统安全的
- 未妥善保管、非授权占有或使用密码应用安全性评估相关资料及数据文件的
- 分包或转包测评项目,以及有其他扰乱测评市场秩序行为的
- 限定被测评单位购买、使用指定信息安全和密码相关产品的
- 产品人员未通过培训考核,但从事密码应用安全性评估工作的
- 未按本办法规定提交材料、报告情况或弄虚作假的
- 其他违法密码应用安全性评估工作有关规定的行为
测评机构由下列情形之一的,国家密码管理局应取消起商用密码应用安全性测评机构试点资格:
- 因单位股权、人员等情况发生变动,不符合商用密码应用安全性评估机构基本要求条件的
- 故意泄露被测评单位工作秘密、重要信息系统数据信息的
- 故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未如实出具测评报告的
- 自愿退出测评机构目录的
测评人员有下列行为之一的,责令测评机构督促其限期修改;情节严重的,责令测评机构暂停其参与 测评工作;情形特别严重的,从密码应用安全性测评人员名单中移除,并对其所在测评机构进行通报:
- 未经允许擅自使用或泄露、出售密码应用安全性评估工作中收集的数据信息、资料或测评报告
- 测评行为失误或不当,影响重要领域网络与信息系统安全或造成运营使用单位利益损失的
- 其他违法密码应用安全性评估工作有关规定的行为
商用密码应用安全性测评机构申请单位能力评审原则:公平、公正、独立、客观
人员要求:
- 测评机构应配置测评技术负责人与质量负责人各1人,应熟悉信息系统密码应用安全性测评业务,从事商用密码或质量管理相关工作5年以上
- 测评人员应为签订正式合同的员工,具有本科及以上学历和密码相关经验,且通过“密码应用安全性测评人员考核”的测评人员不少于10人
- 测评人员的审核以通过培训考核的测评人员名单为依据
测评实验室环境条件是正确进行测评工作的重要保证,是确保测评结果准确性和有效性的重要因素
密码工作人员离岗离职实行脱密期管理
密码工作人员上岗应当:
- 经过密码教育培训
- 掌握密码知识技能
- 签订保密承诺书
- 严格遵循密码管理规章制度
仪器设备条件要求:
- 测评机构应具备符合相关要求的机房及必要的软硬件设备
- 测评机构应具有完备的设备和工具管理制度
- 仪器设备具有完整的操作、维护规程,仪器设备使用说明书、校准报告、使用记录、定期维护核准核查制度和记录、存放地点和保管人等信息规范完整
测评实施能力要求:
- 测评机构应具有把握国家密码政策,理解和掌握相关技术标准,熟悉测评方法、流程和工作规范等方面知识及能力的测评人员。
- 测评机构应具备密码应用安全性技术测评实施能力
- 测评机构应具备密码应用安全性管理测评实施能力
- 测评机构应具备系统整体测评能力
- 测评机构宜具备搭建密码应用模拟系统的能力
- 依据测评工作流程,有计划有步骤地开展测评工作,并保证测评活动的每个环节都得到有效控制,主要包括四个阶段:a)测评准备阶段 b)方案编制阶段 c)现场测评阶段 d)报告编制阶段
质量管理能力要求五要素:
- 建立质量管理体系,指定相应的质量目标,指定质量主管,明确其管理职责
- 感觉国家有关密码规定指定保密管理制度,明确保密范围、保密职责及有关罚则等内容,定期对工作人员进行保密教育,防止泄露国家秘密、商业秘密、敏感信息和个人隐私等事件,签订《保密责任书》,规定其应当履行的安全保护义务和承担的法律责任
- 依据相关技术标准制定测评项目管理程序,主要包括从工作的组织形式、工作职责,测评各阶段的工作内容和管理要求
- 保证管理体系的有效运行,持续改进自身的测评质量和管理水平,发现问题及时反馈并采取纠正措施,确保其有效性
- 指定投诉及争议处理制度,严格遵守制度并应记录采取的措施
测评过程可能给被测系统带来的风险:
- 由于自身能力或资源不足造成的风险
- 测评验证活动可能对被测系统正常运行造成影响的风险
- 测评设备和工具接入可能对被测系统正常运行造成影响的风险
- 测评活动残留数据的保护和清理
- 测评过程中可能发生的被测系统重要信息(如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等)泄露的风险
国家密码管理部门依据有关规定,对测评机构进行监督检查,检查内容主要包括两方面:
- 对测评机构出具的测评结果的客观、公允和真实性进行评判
- 对测评机构开展评估工作的客观、规范和独立性进行检查
商用密码领域的行业协会等组织按照法律、行政法规极其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
密码行业标准化委员会负责密码技术、产品、系统、管理等方面的标准化工作
商用密码行业自律的主要内容包括:
- 规范商用密码市场秩序
- 大力推动行业诚信建设
- 制定并组织实施行业职业道德准则
- 协调会员关系
各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位
国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。
密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。