《商用密碼應(yīng)用安全性評估管理辦法》

2023年11月1日正式施行

《中華人民共和國密碼法》《商用密碼管理條例》中均提到商用密碼應(yīng)用安全性評估，而《商用密碼應(yīng)用安全性評估管理辦法》（以下簡稱《辦法》）的出臺就是細(xì)化商用密碼應(yīng)用安全性評估工作主體、方式程序、備案等方面要求，吸收繼承商用密碼應(yīng)用安全性評估試點經(jīng)驗做法，結(jié)合工作實際，注重合法性、合理性和可操作性，力求做到內(nèi)容完備、邏輯嚴(yán)密。

《辦法》共21條，從總體要求、程序和內(nèi)容要求、實施規(guī)范、監(jiān)督檢查及法律責(zé)任以及其他事項分別進(jìn)行了闡述。《辦法》中明確要求，重要網(wǎng)絡(luò)與信息系統(tǒng)運行前，應(yīng)當(dāng)通過商用密碼應(yīng)用安全性評估，未通過評估的重要網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)當(dāng)進(jìn)行商用密碼改造，直至通過評估后才可投入運行。而運行后的重要網(wǎng)絡(luò)與信息系統(tǒng)也應(yīng)當(dāng)每年至少開展一次商用密碼應(yīng)用安全性評估，未通過評估的系統(tǒng)應(yīng)當(dāng)進(jìn)行改造，并在改造期間采取必要措施保證安全。

商用密碼應(yīng)用安全性評估工作從密碼應(yīng)用技術(shù)和密碼安全管理兩個方面考量。天融信在協(xié)助客戶進(jìn)行商用密碼應(yīng)用安全性評估的實踐中，大部分重要網(wǎng)絡(luò)與信息系統(tǒng)運營者已具備較強(qiáng)的商用密碼應(yīng)用能力，而部分運營者雖然已具備基礎(chǔ)的商用密碼應(yīng)用能力，但在一些細(xì)節(jié)問題上仍存在一定不足，這也是進(jìn)行密碼改造的關(guān)鍵問題。

在此，天融信基于在各行業(yè)中開展商用密碼應(yīng)用安全性評估的實踐積累，梳理了密評工作開展常見典型問題及建議，與業(yè)界同仁共同分享。

★密碼應(yīng)用技術(shù)的問題及建議★

1、物理和環(huán)境安全

存在問題：在項目實踐中，機(jī)房管理通常已部署電子門禁系統(tǒng)，機(jī)房管理人員已具備非接觸卡，實現(xiàn)門禁卡的“一卡一密”。但對于外來人員通常只需填寫《機(jī)房出入登記表》，并沒有給予同等的密碼防護(hù)要求。

改造建議：建議根據(jù)GM/T 0036—2014 《采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用技術(shù)指南》規(guī)范，基于 SM4 算法對人員身份進(jìn)行鑒別，對機(jī)房管理人員和訪客防護(hù)措施并重。

2、網(wǎng)絡(luò)和通信安全

存在問題：在項目實踐過程中，許多客戶的通信傳輸已采用流量加密、隧道加密等技術(shù)，但由于應(yīng)用系統(tǒng)、瀏覽器沿革問題，一些系統(tǒng)并未采用國密證書、算法，不符合《中華人民共和國密碼法》《商用密碼管理條例》《商用密碼應(yīng)用安全性評估管理辦法》等有關(guān)法律法規(guī)和政策文件要求。

改造建議：建議在網(wǎng)絡(luò)接入?yún)^(qū)部署具有商密認(rèn)證證書的SSL VPN安全網(wǎng)關(guān)，實現(xiàn)對通信實體的身份鑒別，保證通信過程中數(shù)據(jù)的完整性和機(jī)密性，保障網(wǎng)絡(luò)邊界訪問控制信息的完整與安全。

3、設(shè)備和計算安全

存在問題：在項目實踐過程中，所有客戶均有堡壘機(jī)登錄日志的留存意識，也將系統(tǒng)訪問控制信息本地化存儲。然而對于留存下的日志、涉及到的訪問控制信息，并沒有采用密碼技術(shù)保證日志記錄的完整性。

改造建議：建議調(diào)用服務(wù)器密碼機(jī)使用 HMAC-SM3 算法保證堡壘機(jī)、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器的日志記錄完整性，調(diào)用簽名驗簽服務(wù)器的 SM2 算法對重要可執(zhí)行程序來源真實性和完整性進(jìn)行驗證。

4、應(yīng)用和數(shù)據(jù)安全

存在問題：在項目實踐過程中，應(yīng)用和數(shù)據(jù)安全領(lǐng)域通常是與密評工作差距較大的部分，也是客戶需要進(jìn)行密評改造工作的重點。在應(yīng)用和數(shù)據(jù)安全領(lǐng)域中，問題主要體現(xiàn)在登錄系統(tǒng)用戶的身份真實性驗證環(huán)節(jié)未采用密碼技術(shù)、信息系統(tǒng)應(yīng)用的訪問控制信息的完整性有所欠缺、重要數(shù)據(jù)傳輸和存儲的完整性與機(jī)密性有待提升、業(yè)務(wù)數(shù)據(jù)操作的不可否認(rèn)性難以保證等。

改造建議：建議為客戶配備USBKey或協(xié)同簽名系統(tǒng)，對登錄用戶展開身份鑒別，保證應(yīng)用系統(tǒng)用戶身份的真實性；調(diào)用密碼設(shè)備或密碼服務(wù)平臺提供的加解密服務(wù)、簽名驗簽服務(wù)實現(xiàn)重要數(shù)據(jù)的機(jī)密性和完整性保護(hù)；對關(guān)鍵數(shù)據(jù)操作進(jìn)行數(shù)字簽名，保障業(yè)務(wù)數(shù)據(jù)操作的不可否認(rèn)性。

★密碼安全管理的問題及建議★

1、管理制度

存在問題：在項目實踐過程中，客戶在實際環(huán)境中雖然具備部分密碼應(yīng)用管理相關(guān)制度，但是缺乏細(xì)化的規(guī)則、密碼應(yīng)用方案、操作流程、執(zhí)行記錄等。

改造建議：應(yīng)依據(jù)客戶實際環(huán)境進(jìn)行管理體系的整體規(guī)劃建設(shè)，制定密碼應(yīng)用安全管理制度和操作規(guī)程。在制定管理制度過程中，需把控多方的管理制度、設(shè)計密碼應(yīng)用方案、審計規(guī)劃、操作規(guī)程及執(zhí)行情況等。

2、人員管理

存在問題：在項目實踐過程中，許多客戶的密碼應(yīng)用崗是兼職人員負(fù)責(zé)，由于崗位人員的相關(guān)考核、培訓(xùn)不足，因而無法指導(dǎo)密評體系建設(shè)。

改造建議：應(yīng)建立明確崗位職責(zé)的密碼應(yīng)用崗位管理制度，并加強(qiáng)安全意識培訓(xùn)、定期進(jìn)行人員考核等。

3、應(yīng)急處置

存在問題：在項目實踐過程中，客戶缺乏密碼應(yīng)用的應(yīng)急策略，因而不具備事件處置的應(yīng)急手段。

改造建議：應(yīng)建立密碼應(yīng)用應(yīng)急機(jī)制，包括制定應(yīng)急策略、準(zhǔn)備應(yīng)急資源、完善應(yīng)急處置流程以及事件處置上報流程等。

商用密碼應(yīng)用安全性評估是加強(qiáng)和規(guī)范商用密碼應(yīng)用的重要抓手?！掇k法》細(xì)化落實“三同步一評估”要求，體現(xiàn)商用密碼應(yīng)用安全性評估系統(tǒng)性原則，明確商用密碼應(yīng)用安全性評估實施依據(jù)，為未來密評工作的開展指出了更清晰的路徑。

天融信推出滿足合規(guī)要求的密碼產(chǎn)品、完善的商用密碼應(yīng)用安全解決方案以及專業(yè)的全流程商用密碼應(yīng)用安全性評估咨詢服務(wù)，為客戶提供商用密碼應(yīng)用安全建設(shè)的同時，協(xié)助客戶開展自評估等相關(guān)工作。目前天融信在政府、交通、運營商等行業(yè)均已具備項目落地成功案例，幫助客戶成功通過商用密碼應(yīng)用安全性評估，獲得客戶的一致好評。

未來，天融信將充分發(fā)揮自身技術(shù)實力與服務(wù)優(yōu)勢，積極投身到商用密碼應(yīng)用安全建設(shè)中去，為各行業(yè)客戶的商用密碼應(yīng)用安全保駕護(hù)航。