前言
2022年1月,国务院印发《“十四五”数字经济发展规划》(以下简称“规划”),明确了“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标、重点任务和保障措施。规划指出,数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。
业务伴生风险。数据要素是数字经济深化发展的核心引擎,数据对提高生产效率的乘数作用不断凸显,成为最具时代特征的生产要素,数据的爆发增长、海量集聚蕴藏了巨大价值,数据的开发利用为经济社会发展提供了强大动力。安全是发展的前提,传统业务需求侧重于“希望发生什么”,而安全需求侧重于“不希望发生什么”,从而“确保发生什么”。因此,凡是有数据开发利用的场景,总会伴生着数据安全风险,都会产生数据安全需求。
风险驱动密码。数字时代呼唤安全创新,密码是国之重器,是数字技术发展的安全基因,是保障网络与数据安全的核心技术,也是推动我国数字经济高质量发展、构建网络强国的基础支撑。从实战需求看,日趋严峻的网络与数据安全威胁使得数字经济迫切需要密码技术这个“压舱石”,以有效抵御外部黑客攻击、防止内部人员泄露。从合规需求看,以密码应用安全性评估为抓手落实《密码法》,并结合《网络安全法》《数据安全法》《个人信息保护法》等法律法规,也在持续拉动密码应用新需求。实战与合规叠加的需求成为安全产业发展的关键动力,推动新密码市场加速形成。
密码融入业务。密码作为直接作用于数据的安全技术,只有融入数据处理流程才能有效防范业务风险。从技术路线上,传统“外挂式”密码产品采用开发改造应用的模式门槛高、周期长、风险大,用户面临“难用、难管”等挑战。“面向切面安全”等新模式提出“内嵌式”密码技术创新,将安全与业务在技术上解耦、但又在能力上融合交织,提供轻量级改造应用的实施模式,有效防护企业应用与数据,让密码“好用、好管”。
本白皮书以“用密”为主线展开介绍密码技术、产品、服务、集成、合规等密码相关知识,希望为需求和供给两侧从业者提供密码应用参考手册。作为重点部分,从业务视角归纳了20种密码应用模式,尝试在保密性、完整性、真实性、不可否认性等的基础上,从数据开发利用场景提炼更直观的密码使用方案。进一步的,对全面开展中的密评工作,梳理了典型的密评改造技术方案,为密评工作者提供参考。
由于编者水平有限,时间仓促,白皮书中不妥和错漏之处在所难免,敬请各位读者批评指正和提出宝贵意见。在此也欢迎业界专家和同仁拨冗参与本白皮书下一版本改进完善,共同为密码技术应用推广贡献力量!
本白皮书编写过程中获得了腾讯云鼎实验室等众多专家和机构的指导与帮助,在此特别致谢。
(关注账号,私信小编,即可下载完整版《2021密码应用技术白皮书》PDF高清文件)
本文约5万字,预计阅读时间 30 分钟。
注1:欢迎业界同仁反馈改进、共同完善、交流合作,信息反馈请发送邮件至:
[email protected]。
注2:文章仅展示部分内容,请关注后下载完整17万字白皮书原文。
声明:北京炼石网络技术有限公司对本技术报告内容及相关产品信息拥有受法律保护的著作权,未经授权许可,任何人不得将报告的全部或部分内容以转让、出售等方式用于商业目的使用。转载、摘编使用本报告文字或者观点的应注明来源。报告中所载的材料和信息,包括但不限于文本、图片、数据、观点、建议等各种形式,不能替代律师出具的法律意见。违反上述声明者,本公司将追究其相关法律责任。报告撰写过程中,为便于技术说明和涵义解释,引用了一系列的参考文献,内容如有侵权,请联系本公司修改或删除。
目录
一. 数字经济伴生安全风险
1.1. 数字经济定位为主要经济形态
1.2. 数据资源已成为关键生产要素
1.3. 数据处理伴生着安全威胁风险
1.3.1. 数据收集风险
1.3.2. 数据存储风险
1.3.3. 数据使用风险
1.3.4. 数据加工风险
1.3.5. 数据传输风险
1.3.6. 数据提供风险
1.3.7. 数据公开风险
二. 密码产业护航数字经济
2.1. 数字经济呼唤创新密码应用
2.1.1. 密码技术是数字安全压舱石
2.1.2. 实战合规是密码建设指南针
2.1.3. 密码创新是数字安全领头雁
2.2. 密码产业进入黄金发展时代
2.2.1. 顶层战略引导数字经济安全建设
2.2.2. 国家法律加速密码应用推广普及
2.2.3. 行业地区出台密码技术应用要求
2.3. 密码技术筑牢数字安全屏障
2.3.1. 密码技术进步促进应用融合
2.3.2. 信息技术升级促进产品演进
2.3.3. 攻防演练对抗促进实战发展
2.3.4. 数据要素市场促进密码创新
2.4. 业务视角归纳密码应用模式
(一) 身份鉴别及密钥管理
2.4.1. PKI信任体系
2.4.2. IBC信任体系
2.4.3. 预共享密钥的身份鉴别
2.4.4. 基于数字签名的身份鉴别
(二) 数据传输(通信安全)
2.4.5. 离线通信消息加密
2.4.6. 代理重加密受控分发消息
2.4.7. 在线通信消息加密
2.4.8. 可感知窃听的专线通信
(三) 数据存储(数据资产安全)
2.4.9. 应用内数据加密
2.4.10. 数据库存储加密
2.4.11. 文件存储加密
(四) 数据使用(数据共享与安全兼得)
2.4.12. 基于差分隐私的数据匿名化
2.4.13. 基于属性加密的访问控制
2.4.14. 锚点解密的防绕过数据安全
2.4.15. 不可信环境中的数据运算
2.4.16. 可验证结果的计算外包
2.4.17. 封装业务逻辑的可信运算环境
2.4.18. 基于密码的数字水印追溯
2.4.19. 基于密码校验的防篡改
2.4.20. 基于私钥签名的责任认定
三. 密码技术集聚创新原力
3.1. 基础算力类
3.1.1. 密码卡
3.1.2. 密码套件
3.1.3. 智能密码钥匙
3.1.4. 服务器密码机
3.1.5. 签名验签服务器
3.2. 应用场景类
3.2.1. 数字证书认证系统
3.2.2. CASB业务数据加密平台
3.2.3. 金融数据密码机
3.2.4. VPN虚拟私有网络
3.2.5. 电子签章系统
3.2.6. 身份鉴别系统
3.3. 管理支撑类
3.3.1. 密钥管理系统
四. 密码能力融入业务流程
4.1. 数据安全本质是对数据重建访问规则
4.2. 安全技术从基础设施演进到业务应用
4.3. 密码安全融合打造面向业务实战防护
五. 密评合规重构安全防护
5.1. 密码应用典型性问题分析
5.1.1. 密码应用不广泛
5.1.2. 密码应用不规范
5.1.3. 密码应用不安全
5.2. 密评为密码合规提供基线
5.2.1. 密评发展历程
5.2.2. 密评开展依据
5.2.3. 密评适用对象
5.2.4. 密评政策法规
5.2.5. 密评遵循标准
5.2.6. 密评核心内容
5.2.7. 密评等保关系
5.2.8. 密评机构名单
5.3. 密码应用安全性评估标准
5.3.1. 密评测评要求
5.3.2. 密评测评过程
5.3.3. 密评高风险项
5.3.4. 密评评分规则
5.3.5. 密评测评结论
5.4. 密评改造专业化技术方案
5.4.1. 密改总体框架
5.4.2. 密改技术方案
5.4.3. 密钥管理方案
5.4.4. 安全管理方案
5.4.5. 安全合规分析
5.4.6. 密改方案效果
5.4.7. 密改设备清单
六. 附录
6.1. 密码基本知识
6.1.1. 密码算法
6.1.2. 密码协议
6.1.3. 密码认证
6.1.4. 密钥管理
6.1.5. 密码价值
6.2. 密码相关标准
6.2.1. 国家标准
6.2.2. 行业标准
一、数字经济伴生安全风险
1.1. 数字经济定位为主要经济形态
2022年1月12日,国务院印发的《“十四五”数字经济发展规划》中明确指出:数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。
数据作为一种新型生产要素较早被写入到国家顶层规划中,体现了互联网大数据时代的新特征。当前数字经济正在引领新经济发展,数字经济覆盖面广且渗透力强,与各行业融合发展,并在社会治理中如城市交通、老年服务、城市安全等方面发挥重要作用。而数据作为基础性资源和战略性资源,是数字经济高速发展的基石,也将成为“新基建”最重要的生产资料。数据要素的高效配置,是推动数字经济发展的关键一环。加快培育数据要素市场,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护,使大数据成为推动经济高质量发展的新动能,对全面释放数字红利、构建以数据为关键要素的数字经济具有战略意义。
1.2. 数据资源已成为关键生产要素
在数据时代,以大数据为代表的信息资源向生产要素形态演进,数据已同其他要素一起融入经济价值创造过程。与其他资源要素相比,数据资源要素具有如下特征:一是数据体量巨大。且历史数据量不断累积增加,通过流转和共享对社会发展产生重要价值,基于数据创新的商业模式或应用不断演进。二是数据类型复杂。不仅包含各种复杂的结构化数据,而且图片、指纹、声纹等非结构化数据日益增多;三是数据处理快,时效性要求高。通过算法对数据的逻辑处理速度非常快,区别于传统数据挖掘,大数据处理技术遵循“一秒定律”,可以从各种类型的数据中快速获得高价值的信息。四是数据价值密度低。数据价值的高度与精确性、信噪比有关,在海量数据面前有价值的数据所占比例很小。在获取高价值数据的过程中,往往需要借助数据挖掘等方法深度分析海量数据,从中提取出对未来趋势与模式预测分析有价值的数据。
基于以上四个特性分析,数据在参与经济建设、社会治理、生活服务时,具有重要意义。一是数据作为一种生产性投入方式,可以大大提高生产效率,是新时期我国经济增长的重要源泉之一。二是推动数据发展和应用,可以鼓励产业创新发展,推动数据与科研创新的有机结合,推进基础研究和核心技术攻关,形成数据产业体系,完善数据产业链,使得大数据更好地服务国家发展战略。三是数据安全是数据应用的基础。保护个人隐私、企业商业秘密、国家秘密等。在加强安全管理的同时,又鼓励合规应用,促进创新和数字经济发展,实现公共利益最大化。从合规要求看,数据安全成为国家顶层设计,相关法律政策明确提出加强网络安全、数据安全和个人信息保护,数据安全产业迎来前所未有的历史发展机遇。最终用户对于主动化、自动化、智能化、服务化、实战化的安全需求进一步提升,在此需求推动下,数据安全市场未来五年将继续维持高增速发展。根据赛迪咨询数据测算,2021年我国数据安全市场规模为69.7亿元,预测在2023年我国数据安全市场规模将达到127亿元。从实战需求看,日趋严峻的网络安全威胁让企业面临业务风险,数字产业化迫切需要数据安全能力,而产业数字化转型带来数据安全新需求。当前,我国数据安全产业处于起步期,相比于西方发达国家,我国尚有很大增长潜力,这既是短板也是市场机会。随着实战化和新合规的要求逐步深入,数据安全将迎来广阔的市场空间。
1.3. 数据处理伴生着安全威胁风险
数据这种新型生产要素,是实现业务价值的主要载体,数据处理必然要求数据在应用系统中流动,而流动的数据必然伴随风险。可以说,数据安全威胁时刻伴随业务生产。结合到企业或机构的信息系统中,数据安全则来自于业务处理中的风险映射。从时间维度看,数据在流转的全生命周期中的各个环节都会有相应的安全需求。从空间维度看,数据在基础设施层、平台层以及应用层之间流转,不同层次会有不同颗粒度的防护需求。《数据安全法》提出“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等”,为数据生命周期的各环节提供了明确定义,数据在各环节均面临诸多泄露威胁与安全挑战。
1.3.1. 数据收集风险
在数据收集环节,风险威胁涵盖保密性威胁、完整性威胁等,以及超范围采集用户信息等。保密性威胁指攻击者通过建立隐蔽隧道,对信息流向、流量、通信频度和长度等参数的分析,窃取敏感的、有价值的信息;完整性威胁指数据伪造、刻意篡改、数据与元数据的错位、源数据存在破坏完整性的恶意代码。
1.3.2. 数据存储风险
在数据存储环节,风险威胁来自外部因素、内部因素、数据库系统安全等。外部因素包括黑客脱库、数据库后门、挖矿木马、数据库勒索、恶意篡改等,内部因素包括内部人员窃取、不同利益方对数据的超权限使用、弱口令配置、离线暴力破解、错误配置等;数据库系统安全包括数据库软件漏洞和应用程序逻辑漏洞,如:SQL注入、提权、缓冲区溢出;存储设备丢失等其他情况。
1.3.3. 数据使用风险
在数据使用环节,风险威胁来自于外部因素、内部因素、系统安全等。外部因素包括账户劫持、APT攻击、身份伪装、认证失效、密钥丢失、漏洞攻击、木马注入等;内部因素包括内部人员、DBA违规操作窃取、滥用、泄露数据等,如:非授权访问敏感数据、非工作时间、工作场所访问核心业务表、高危指令操作;系统安全包括不严格的权限访问、多源异构数据集成中隐私泄露等。
1.3.4. 数据加工风险
在数据加工环节,泄露风险主要是由分类分级不当、数据脱敏质量较低、恶意篡改/误操作等情况所导致。
1.3.5. 数据传输风险
在数据传输环节,数据泄露主要包括网络攻击、传输泄露等风险。网络攻击包括DDoS攻击、APT攻击、通信流量劫持、中间人攻击、DNS欺骗和IP欺骗、泛洪攻击威胁等;传输泄露包括电磁泄漏或搭线窃听、传输协议漏洞、未授权身份人员登录系统、无线网安全薄弱等。
1.3.6. 数据提供风险
在数据提供环节,风险威胁来自于政策因素、外部因素、内部因素等。政策因素主要指不合规地提供和共享;内部因素指缺乏数据拷贝的使用管控和终端审计、行为抵赖、数据发送错误、非授权隐私泄露/修改、第三方过失而造成数据泄露;外部因素指恶意程序入侵、病毒侵扰、网络宽带被盗用等情况。
1.3.7. 数据公开风险
在数据公开环节,泄露风险主要是很多数据在未经过严格保密审查、未进行泄密隐患风险评估,或者未意识到数据情报价值或涉及公民隐私的情况下随意发布的情况。
二、密码产业护航数字经济
2.1. 数字经济呼唤创新密码应用
2.1.1. 密码技术是数字安全压舱石
企业信息化高速发展,伴随着数字化资产爆发式增长,数据作为最重要的生产要素,在企业应用系统内部高速流转、共享、协同,驱动业务效率提升,带来了巨大效益。与此同时,数据的高价值使之成为被觊觎的目标,数据安全威胁已经成为关乎企业命运的关键业务风险,这也对企业数据安全防护体系提出新需求。
近年来,企业纷纷加强网络安全建设,部署了防火墙、反病毒网关、漏洞扫描系统、入侵检测系统、数据防泄漏等传统的安全设备,但数据泄漏事件依然频发。企业外部黑客攻击、内部人员窃取数据非法销售的事情层出不穷,数据泄漏频发的背后,归根到底是针对敏感数据本身保护不够。
目前来看,企业信息系统普遍缺失内建数据安全能力,同时随着企业内部各类信息系统之间打通共享,成倍放大了数据安全管理复杂度,面临着更为严峻的安全挑战。数据在不同系统之间流转,导致数据的所有者、控制者和处理者难以有效控制,数据可能被非法访问和处理,造成数据保密性和完整性等方面的巨大安全威胁。
造成应用缺失安全能力的原因有多个方面:
1.应用软件开发商或者集成商重点关注的是针对业务方面问题的解决,而缺乏在软件安全设计方面的投入,软件研发在安全方面的人员在研发人员中占比极低,甚至没有进行架构安全方面的设计,使得应用软件内普遍存在安全功能不足。
2.应用软件针对多个行业都有具体的解决方案,而每个行业针对业务安全方面的需求也不尽相同,从而使应用软件需要针对不同行业或企业的安全需求进行分别定制,因此,软件开发商也不会在软件研发过程中加大对安全方面的投入。
3.不管是甲方还是应用集成商,能把应用开发能力和安全能力结合起来的人才非常匮乏,造成对应用的安全改造能力比较薄弱。
信息系统不可避免的存在安全缺陷,利用缺陷进行漏洞攻击或是网络安全永远的命题,攻防对抗视角的网络安全防护是过去主要的安全防护手段。当然,所有网络安全防护最终还是为了保护数据,防止“偷数据、改数据”,但是网络漏洞始终在所难免,所以需要从“防漏洞、补漏洞”的应对式防护,转化到“为数据访问重建安全规则”的主动式防护,也即“以数据为中心的安全”,这也是安全技术不断进化的必然产物。将密码技术等安全手段直接作用于数据,是最直接有效的主动防护措施,密码技术可以直接保障数据的机密性和完整性,同时也可以保障信息传递中的真实性和不可否认性。
密码技术在数据安全保护中起到“重构数据边界”的作用。如果缺失加密,数据在数据库或备份的过程中会有被盗取风险,此时的访问控制容易被绕过、形同虚设。数据安全保护方案可以在数据加密基础上,将“主体到应用内用户,客体到字段级”的访问控制、审计等技术相结合,打造防绕过的数据防护机制,并支持可独立部署的数据访问审计,每条日志支持主体追溯到应用业务用户,并为审计日志进行完整性保护,保障信息泄漏后可追溯源头,最终打造“以密码技术为核心,多种安全技术相互融合”的数据安全防护体系。
2.1.2. 实战合规是密码建设指南针
近年来,国家十分重视数据安全,并明确提出使用国产商用密码技术来保护重要敏感数据,这些法律法规包括:
表 1 企业需遵循的密码相关法律法规
同时,国家也陆续出台相关法律法规,要求定期开展密码应用与安全性评估、等保测评等。
在多重法律、法规、行业指导的叠加驱动下,企业数据安全保护体系的建设工作,迎来了更高的、全新的合规性要求。如何有效满足多重的合规要求,对国产密码保护系统建设的规划、设计、实施能力提出了更高挑战。
2.1.3. 密码创新是数字安全领头雁
目前,企业在应用商用密码技术以及相关密码产品的过程中,一方面,具有自身保护数据资产的需要,以及相关法律法规的合规要求,另一方面,存在着密码产品“不能用”、“不好用”以及“用不好”的情况,因此,企业处于了“两难”的境地,急需高质量密码产品的供给。
密码高质量创新需要解决以下三方面的问题:
1. 能用
IT技术快速发展,企业信息化水平也达到较高水平,数据在各种信息系统中高速流转。信息系统加入密码技术保护数据安全,需要不影响业务效率,保证数据的流转效率,从而为企业创造价值。然而,目前商用密码产品中算法的实现性能无法满足数据高速流转的场景需求,造成了企业不用密码,或者使用国外AES密码算法的情况(AES算法的实现性能远远优于目前商用密码算法SM4的实现性能)。因此,商用密码SM系列算法亟待实现性能优化。
图 1 企业信息化技术演进示意图
另外,企业信息化建设向移动化和云化方向发展,之前在桌面端可以使用的鉴别用户身份的硬件智能密码钥匙(USBKey),无法插入移动终端;之前可以插入服务器中的密码卡,或者直接使用的硬件服务器密码机,无法在云场景的虚拟机中使用。因此,商用密码产品能够全面覆盖服务器、云端、桌面端、移动端、物联网等多种场景,从而适应企业信息化技术的发展和建设的需要。
2. 好用
企业的数据都是在各种信息系统中生成、流转和存储,而且这些信息系统经过长期的信息化建设,已经形成了集成化、规模化的特点,在这些已经稳定运行的信息系统中加入密码能力,需要避免对原系统进行开发改造,避免“开发周期长、投入成本高、实施风险大”的局面产生。
供给的密码产品要易用,消除用户的使用门槛。企业的使用人员一般都缺乏密码学知识,更不知道如何安全、有效的使用密码技术,提供的密码产品要能够实现对密码接口的业务级封装,比如提炼出密码中间件产品,让一般程序员通过调用API接口的方式,就能实现密码功能。
3. 好管
密码产品的引入,也属于企业信息化建设的一部分,企业当前的安全管理制度难以匹配密钥、加密策略、实施运维、合规等管理要求,毕竟密码自身的管理要求要高于一般信息系统的管理要求,需要密码产品的供应方考虑将管理融入到产品功能中,提供“好管”的密码产品。
密码的目的是为了保护数据安全,而数据是企业业务运转的“血液”,密码作用于数据,也就与业务进行了结合,成为“密码及安全和业务流程扭结缠绕”的新状态,需要密码产品在供给时考虑降低系统规划、建设、运维的复杂度。
2.2. 密码产业进入黄金发展时代
据《2020-2021 中国商用密码产业发展报告》显示,2016年至2020年,我国商用密码产业总体规模持续增长,2020年我国商用密码产业规模突破466亿,同比增速超33%,详见下表所示。
表 2 2016-2020 年商用密码产业总体规模及同比增长率
在内在市场需求和外部法律法规共同驱动下,密码产业已经进入到前所未有的黄金发展时代。
(*** 2.2章节的部分细节内容省略,详见白皮书原文)
三、密码技术集聚创新原力
3.1. 基础算力类
3.1.2. 密码套件
3.1.2.1. 产品概述
密码套件(密码SDK)能够帮助用户安全、高效的引入密码能力,提高其安全水平,应用系统通过开发改造的方式,与封装了加密业务逻辑的密码SDK进行集成。
3.1.2.2. 标准规范
《GM/T 0003-2012 SM2椭圆曲线公钥密码算法》
《GM/T 0009-2012 SM2密码算法使用规范》
《GM/T 0010-2012 SM2密码算法加密签名消息语法规范》
《GM/T 0004-2012 SM3密码杂凑算法》
《GM/T 0002-2012 SM4分组密码算法》
《GM/T 0044-2016 SM9标识密码算法》
《GM/T 0024-2014 SSL VPN技术规范》
《GM/T 0028-2014 密码模块安全技术要求》
《GM/T 0039-2015 密码模块安全检测要求》
3.1.2.3. 应用要点
密码SDK包含提供加密能力的密码算法库和提供建立安全连接能力的TLS协议库,在支持国际通用密码算法及标准TLS协议之外,还提供国产商用密码算法(SM2、SM3、SM4、SM9等SM系列算法)以及基于SM系列算法套件的TLS协议。基于密码算法及TLS协议库的支持,应用软件可以获得完整、持续的数据全生命周期安全保护。
密码套件的应用优势:
(1) 适用范围广
应用系统的开发商可以自行解决数据加解密的绝大多数问题,对数据库系统本身或第三方的数据安全厂商没有依赖。
(2) 灵活性高
应用服务端加密,是针对于应用服务器的加密方式,因为应用服务端加密可与业务逻辑紧密结合,在应用系统开发过程中,灵活地对相关业务中的敏感数据进行加密处理,且使用的加密函数、加密密钥等均可根据业务逻辑需求进行灵活选择。
密码套件的应用挑战:
(1) 需要对应用系统开发改造
应用系统加密的实现需要应用系统开发投入较大的研发成本,时间周期较长,后期实施和维护成本较高,也面临大量代码改造带来的潜在业务风险。
(2) 对应用开发人员要求高
对业务开发人员来说,正确合规使用密码技术具有一定门槛。比如在实际应用中,会出现应用开发人员密钥使用不合规或安全风险等情况。
(3) 需要高性能国密SDK
目前国密算法在主流服务器和终端上软件实现还存在性能瓶颈问题,通过集成国密SDK使应用系统具备数据加密能力的同时,应充分保障应用系统性能,力争对业务影响降低最小,这就需要高性能国密SDK为应用系统提供高速的数据加解密服务。
3.1.2.4. 创新趋势
数据安全发展趋势,密码套件要重视软件产品面临的安全风险,大力推动密码技术与操作系统、数据库等基础软件以及云计算、区块链等新兴技术的融合应用,构建关键软件产品安全保障体系。面对大量的存量应用系统,通过开发改造应用重构安全的成本极高,而增量应用很快又成为存量,要解决此类问题,需要探索一种将安全能力与应用高效结合的创新技术手段。面向关键软件的密码安全,尤其在数据安全方面,可以在数据流转环节探索“面向切面的数据安全技术”,让安全能力既与业务流程深度融合,又在技术上解耦。密码套件除了在操作系统兼容性、新技术融合度、密码高性能,更需要增加密码套件基于中间件的使用便利性,使得密码更好用。
3.2.应用场景类
3.2.2. CASB数据加密平台
3.2.2.1. 产品概述
CASB数据加密平台是一款集数据加解密、访问控制、动态脱敏、策略管理和密钥管理等功能于一体的数据安全产品。
CASB数据加密平台主要由数据加密插件、数据安全管理平台和密钥管理系统组成。其中数据加密插件部署在应用系统的服务端,逻辑上处在应用系统和数据库之间,应用系统写入数据和读取数据时都会流经数据加密插件,写入数据时数据加密插件对数据加密,使数据以密文的形式在数据库内存储,读取数据时,数据加密插件对密文数据进行解密,将解密后的明文传送至应用系统前端,整个加解密过程对应用系统的用户端是透明的;数据安全管理平台负责为数据加密插件提供管理、加解密和脱敏策略配置等可视化管理服务;密钥管理系统负责提供密钥支持和密钥管理服务。
3.2.2.2. 标准规范
《中华人民共和国网络安全法》
《中华人民共和国密码法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》
《GB/T 37092-2018 信息安全技术 密码模块安全要求》
《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》
《GM/T 0002-2012 SM4分组密码算法》
《GM/T 0003-2012 SM2椭圆曲线公钥密码算法》
《GM/T 0004-2012 SM3密码杂凑算法》
《GM/T 0009-2012 SM2密码算法使用规范》
《GM/T 0010-2012 SM2密码算法加密签名消息语法规范》
《GM/T 0024-2014 SSL VPN技术规范》
《GM/T 0028-2014 密码模块安全技术要求》
《GM/T 0039-2015 密码模块安全检测要求》
3.2.2.3. 应用要点
(1) 结构化数据加密保护
针对数据库中存储的结构化数据,业务数据安全防护平台可以实现重要敏感字段的加密保护,具体功能如下:
1) 用户可以根据企业分类分级的结果或者实际需求,选择对重要敏感字段进行加密。即使数据库文件被非法复制或者存储文件丢失,也不会导致真实敏感数据的泄露;
2) 能对结构化数据实现精确到字段级的精细化防护,对于没有授权的用户绕过数据加密插件,即使窃取硬盘或拷贝数据也无法解密读取,可有效做到“防拔盘、防拖库”;
3) 支持国密SM4算法,可对不同字段采用不同加密算法不同密钥进行加密;
4) 对手机号、身份证号、Email等有固定格式的字段能实现保留格式的加密;
5) 根据应用系统用户身份权限等进行细粒度访问控制,支持“主体到应用内用户,客体数据库字段级”,实现对应用系统用户侧的数据脱敏和访问控制。
(2) 非结构化数据加密保护
针对文件类的非结构化数据,可实现落盘加密,读盘解密。通过数据安全管理平台可以进行加解密策略配置和细粒度的访问控制,支持对指定的文件夹进行加密,此时该文件夹(及其子文件夹)的文件在保存时被加密;支持通过白名单机制控制应用系统访问非结构化数据,即经过授权的应用,可以正常访问数据,获取的是明文;未经授权的应用或者直接拷贝文件数据,只能获取密文数据。
(3) 访问控制(动态脱敏)
支持在数据解密节点上,对敏感数据通过设置遮掩等方式实现动态脱敏,可实时将脱敏后的结果展示在应用前端。
动态脱敏是在生产环境中应用读取敏感数据的过程中实现,先经过插件解密,接着由插件根据脱敏策略进行脱敏,再将脱敏后的结果返回应用前端,性能上不影响正常业务,用户无延迟感知。
动态脱敏的基本原理是通过脱敏算法将敏感数据进行遮蔽、变形,将敏感级别降低后对外展示。插件中包含脱敏引擎,引擎中内置了常用的脱敏算法,并且支持根据用户需求定制脱敏算法。解密后的敏感数据由脱敏引擎根据已经设置的脱敏算法进行计算处理,得到脱敏后的结果返回应用前端展示。
图 83 数据动态脱敏
3.2.2.4. 创新趋势
CASB数据加密平台未来创新集中在四个方面:一是底层加密技术的更新换代,主要体现在加密算法性能提升、更安全的密钥机制、新的加密算法、新的加密技术应用等;二是平台业务模式的演化,包括平台本身的功能性能升级、插件端功能性能升级等;三是应用场景的创新,确保适配越来越多的应用场景,比如云环境、虚拟化等领域;四是部署实施的优化,平台将朝着更加自动化、智能化方向演进。
(*** 3.1~3.2章节的部分细节内容省略,详见白皮书原文)
四、密码能力融入业务流程
4.1. 数据安全本质是对数据重建访问规则
企业数字化转型伴随着数字化资产爆发式增长,数据作为最重要的生产要素,在企业应用系统内部高速流转、共享、协同,驱动业务效率提升,带来了巨大效益。与此同时,数据的高价值使之成为被觊觎的目标,数据安全威胁已经成为关乎企业命运的关键业务风险,这也对企业安全防护体系提出新需求。
近年来,国家高度重视数据安全。我国2017年生效的《网络安全法》对个人信息等数据保护提出明确要求;2018年正式实施《信息安全技术个人信息安全规范》,并于2020年修订及实施新版;2019年10月颁布、2020年1月1日正式实施的《密码法》明确要求应用密码技术实现数据保护;2021年9月1日正式实施《数据安全法》;2021年11月1日正式实施《个人信息保护法》。
从安全技术理念看,美国国家安全局NSA(National Security Agency)下属的IAD(Information Assurance Directorate),是美国国防与政府防御体系的主要建设机构,早在2013年就提出“安全必须从以网络为中心,转向聚焦以数据为中心”;而美国国防部在2019年2月发布的《国防部云战略》白皮书,也明确提出“美国国防部的安全防护建设重点,在从边界防御,转向保护数据和服务”。
图 88 网络/主机和数据分别是两个正交的维度
参考上图,当前数字化转型围绕业务应用展开,应用由网络/主机/中间件/数据库等承载运行,而数据在各层次支撑组件中被共享流转。由此可见,网络/主机和数据是两个正交的维度,这也给数据安全防护带来挑战,由于0-day漏洞不可避免、以及n-day漏洞修复不及时所带来的攻击利用,网络/主机所依赖的基于“防漏洞”方式的保护数据,从防护效果来讲是不确定的防护手段。而数据加密、去标识化等技术手段施加了对数据的访问规则,重建、延伸并增强了对数据本身的安全机制,能够提供更为确定的防护效果。图 89 网络与数据并重的新安全建设体系
内部威胁和外部入侵是数据泄露两大原因。企业过去保护数据,是在网络侧采用各层次“防漏洞”的方式,但来自业务人员的内部威胁始终存在,同时安全漏洞目前看也无法避免,难以彻底解决网络入侵。所以对数据本身直接进行加密和访问控制,是实现数据防护最有效的手段。安全技术本身也正在从“以网络为中心的安全”,向“聚焦以数据为中心的安全”演进。
“以网络为中心的安全”是保证数据安全的前提和基石,而“以数据为中心的安全”以数据为抓手实施安全保护,能够更有效增强对数据本身的防护能力,二者高度关联、相互依赖、叠加演进。从产业背景看,过去20年是IT时代,侧重于主机/网络/应用等方面的安全建设。而今天进入DT时代(Data Technology),数据的重要性和主导性被提升到新高度,与之对应的,企业安全建设理念也将提升为“网络与数据并重的新安全建设体系”。
着眼当下,数据安全所面临的问题不是做的过多导致冗余,而是出血口太多、防护能力达不到。事实上,应用系统、安全产品、基础设施都潜藏着漏洞,或者存在考虑不周的安全设计缺陷。好的安全理念应该是以网络与数据并重为新建设方向,面向失效的安全机制,通过有联动协同的纵深安全机制,构建有效防线。
特别的,从针对数据本身进行主动式防护出发,将包含密码技术在内的数据安全技术组合赋能给具体行业安全问题,比发掘一个适用于所有行业的通用问题,更符合用户的实际需求。
(*** 4.2~4.3章节内容省略,详见白皮书原文)
五、密评合规重构安全防护
5.1. 密码应用典型性问题分析
国家正在大力推进密码工作,普及密码技术的应用,但是我国的商用密码应用仍有极大的发展空间。密码产品、技术和服务只有得到合规、正确、有效应用,才能发挥安全支撑作用。在实际应用中,由于用户(信息系统应用开发商)有可能不用、乱用、错用密码技术,导致应用系统的安全性得不到有效保障。
5.1.1. 密码应用不广泛
由于行业无强制性密码应用要求,制约了密码应用的发展,导致很多需要使
用密码进行保护的场景,并未使用密码。信息系统应用开发商对密码在安全防护中的重要地位缺乏认识,为节省成本而忽视密码技术。由于缺乏密码算法、协议等技术支撑,信息系统中数据的保密性、真实性、完整性和不可否认性得不到保障。
同时,不同行业的信息系统对密码产品、技术及服务的性能要求、应用场景、手段和管理方法等都不尽相同,因此不同行业应根据其行业特点尽快出台对应的商用密码应用指导性文件。目前商用密码推广还处于起步阶段,针对密码应用、管理等相关规定,各行业无明确强制性的密码应用安全要求,可能会面临管理、技术、成本等各方面的问题,制约了商用密码的应用发展。
5.1.2. 密码应用不规范
在密码标准化建设工作中,我国虽然已发布SM系列国密算法,但密码应用方面的标准体系还不够完善。同时信息系统应用开发商缺乏对密码重要作用的认识,不严格执行密码标准,不规范调用密码技术,导致系统无法对接,甚至出现安全漏洞。
随着移动互联网、物联网、云计算等新业态的快速发展,密码应用标准的缺失将成为阻碍行业发展、数据互联互通的障碍。现行密码标准与关键信息基础设施、重点行业的密码应用要求难以契合,商用密码标准化推进难度大,导致了商用密码未能规范应用。
5.1.3. 密码应用不安全
由于开发人员缺乏对密码算法、技术标准的正确理解,在密码应用的过程中,
经常会出现密码错误应用的情况发生。如果信息系统应用开发商对密码应用缺乏技能和经验,不清楚合规性要求,不了解密码算法的类型、协议参与方的角色要求、关键参数的类型和规模等基本知识,错误调用密码技术,就会不可避免地产生安全漏洞。常见的案例包括系统中使用了已被破解的密码算法(如MD5、SHA-1等),密码支撑资源被错误调用等。
密码技术不用、乱用、错用都将导致系统安全问题,因此,合规、正确、有效使用密码技术是信息系统应用开发商必须熟练掌握的基本能力。同时准确结合用户安全需求,从而在信息系统密码安全应用的建设过程中做到“正确规范”。
5.2. 密评为密码合规提供基线
5.2.1. 密评发展历程
密评最早是在2007年提出,经过十几年的积累,密评制度体系不断完善成熟,其发展历程大致可以分为以下5个阶段[38]。
5.2.1.1. 阶段一:奠定期
制度奠定期从2007年11月至2016年8月。2007年11月27日,国家密码管理局印发11号文件《信息安全等级保护商用密码管理办法》,要求信息安全等级保护商用密码测评工作由国家密码局指定的测评机构承担。2009年12月15日,国家密码管理局印发管理办法实施意见,进一步明确了密码测评有关要求。
5.2.1.2. 阶段二:集结期
再次集结期从2016年9月至2017年4月。国家密码管理局成立起草小组,研究起草《商用密码应用安全性评估管理办法(试行)》。2017年4月22日,正式印发《关于开展密码应用安全性评估试点工作的通知》(国密局(2017)138号文),在七省五行业开展密评试点。
5.2.1.3. 阶段三:建设期
体系建设期从2017年5月至2017年9月。国家密码管理局成立密评领导小组,研究确定了密评总体架构,并组织有关单位起草14项制度文件。2017年9月27日,国家密码管理局印发《商用密码应用安全性测评机构管理办法(试行)》《商用密码应用安全性测评机构能力评审实施细则(试行)》《信息系统密码应用基本要求》(后以密码行业标准GM/T 0054形式发布)和《信息系统密码测评要求(试行)》,密评制度体系初步建立。
5.2.1.4. 阶段四:试点期
密评试点开展期从2017年10月至今。试点开展过程同时也是机构培育过程,包括机构申报遴选、考察认定、发布目录、开展试点测评工作并提升测评机构能力、总结试点经验、完善相关规定。2019年上半年对第一批密评试点做了评审总结,对参与试点的27家机构进行能力再评审,择优选出16家扩大试点,对另外11家机构给予6个月能力提升整改期。2019年10月,开始启动第二批密评试点工作。
5.2.1.5. 阶段五:推广期
随着《密码法》于2020年1月1日起正式实施,密评也逐渐进入推广期。从前期的试点、政策驱动到组织机构开始主动开展密评工作,特别的,中国密码学会密评联委会于2020年12月发布了密评指引文件,并于2021年12月进行了更新;密评遵循的标准《GM/T 0054-2018 信息系统密码应用基本要求》(2018年2月8日发布并实施),也升级为国家标准《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》(2021年3月9日发布,2021年10月1日实施),标志着密评体系已经基本确立,密评有了量化评估、高风险判定的指引等测评的依据标准,开始进入快速推广和发展的阶段。
5.2.2. 密评开展依据
“密评”的全称是“商用密码应用安全性评估”,指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估[]。
那为什么要做密评呢?一方面,开展密评工作是国家法律法规的强制要求,是网络安全运营者的法定责任和义务;另一方面,开展密评是商用密码应用正确、合规、有效的重要保证,是检验网络和信息系统安全性的重要手段。
5.2.2.1. 密评是法律法规强制要求
开展密评,是国家相关法律法规提出的明确要求,同时也是赋予网络安全运营者的法定责任和义务。
5.2.2.2. 密评是网络和信息系统安全的重要保证
1.密评是商用密码应用的重要推动力
商用密码应用的正确、合规、有效,是网络和信息系统安全的关键所在,而密评工作的开展可以促进商用密码应用做到合规、正确和有效,是商用密码应用正确、合规、有效的重要推动力。
2.密评是应对网络与数据安全形势的需要
通过密评可以及时发现在密码应用过程中存在的问题,为网络和信息安全提供科学的评价方法,逐步规范密码的使用和管理,从根本上改变密码应用不广泛、不规范、不安全的现状,确保密码在网络和信息系统中得到有效应用,切实构建起坚实可靠的网络安全密码保障。
3.密评是系统安全维护的必然要求
密码应用是否合规、正确、有效,涉及密码算法、协议、产品、技术体系、密钥管理、密码应用多个方面。因此,需委托专业机构、专业人员,采用专业工具和专业手段,对系统整体的密码应用安全进行专项测试和综合评估,形成科学准确的评估结果,以便及时掌握密码安全现状,采取必要的技术和管理措施。
综上所述可以看出,密码体系是网络与数据安全环境的基础,而密码评测是建立健全密码安全体系最重要的考量,是网络安全和信息系统安全建设的重要组成部分,因此开展密评工作具有非常重要的意义。
5.2.3. 密评适用对象
重要领域网络和信息系统包括:
基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统、关键信息基础设施、网络安全等级保护第三级及以上信息系统。
自2021年9月1日起施行的《关键信息基础设施安全保护条例》中明确了关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
司法部、网信办、工业和信息化部、公安部负责人在就《关键信息基础设施安全保护条例》有关问题回答了记者提问时,对于关键信息基础设施如何认定的问题?是这样回答的:《条例》从我国国情出发,借鉴国外通行做法,明确了关键信息基础设施的定义和认定程序。一是明确关键信息基础设施的定义。二是明确关键信息基础设施所在行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。三是明确由保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并组织认定本行业、本领域的关键信息基础设施。四是规定关键信息基础设施发生较大变化,可能影响其认定结果时,运营者应当及时报告保护工作部门,由保护工作部门重新认定。
《关键信息基础设施确定指南(试行)》中明确的关键信息基础设施认定标准有:
1.网站类
(符合以下条件之一的,可以认定为关键信息基础设施)
(1)门户网站
(2)重点新闻网站
(3)日均访问想超过100万人次的网站
(4)一旦发生网络安全事故,可能造成以下影响之一的:
影响超过100万人工作、生活;影响单个地市级行政区域30%以上人口与的工作、生活;造成超过100万个人信息泄露;造成大量机构、企业敏感信息泄露;造成大量地理、人口、资源等国家基础数据泄露;验证损害政府形象、社会秩序或危害国家安全。
(5)其他应该认定为关键信息基础设施。
2.平台类
(符合以下条件之一的,可以认定关键信息基础设施)
(1)注册用户超过1000万或活跃用户(每日至少登录一下)数超过100万;
(2)日均成交订单额或交易额超过1000万元;
(3)一旦发生网络安全事故,可能造成以下影响之一的:
造成1000万元以上的直接经济损失;直接影响超过1000万人工作、生活;造成超过100万人个人信息泄露;造成大量机构、企业敏感信息泄露;造成大量地理、人口、资源等国家基础数据泄露;严重损害社会和经济秩序或危害国家安全。
(4)其他应该认定为关键信息基础设施;
3.生产业务类
(符合以下条件之一的,可以认定关键信息基础设施)
(1)地市级以上政府机关面向公众服务的业务系统或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统;
(2)规模超过1500个标准机架的数据中心;
(3)一旦发生网络安全事故,可能造成以下影响之一的:
影响单个地市级行政区30%以上人口的工作、生活;影响10万人用水、用电、用气、用油、取暖或交通出行等;导致5人以上死亡或50人以上重伤;直接造成5000万元以上经济损失;造成100万人个人信息泄露;造成大量机构、企业敏感信息泄露;造成大量地理、人口、资源等国家基础数据泄露;严重损害社会和经济秩序或危害国家安全。
(4)其他应该认定为关键信息基础设施。
同时《信息安全等级保护商用密码管理办法》中也明确规定:“国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查”。在国家密码管理局印发的《信息安全等级保护商用密码管理办法实施意见》中规定“第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行”。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。此外,在新版《网络安全等级保护条例》(征求意见稿)明确要求在规划、建设、运行阶段开展密码应用安全性评估。
5.2.4. 密评政策法规
为规范密评工作,国家密码管理局制定印发了《商用密码应用安全性评估管理办法(试行)》、《商用密码应用安全性测评机构管理办法(试行)》、《商用密码应用安全性测评机构能力评审实施细则(试行)》等管理文件,对测评机构、网络与信息系统责任单位、管理部门提出要求,对评估程序、评估办法、监督管理等进行明确,对测评机构审查认定工作提出要求。
5.2.4.1. 《商用密码应用安全性评估管理办法(试行)》
1.出台背景和目标
为发挥密码在维护安全与促进发展综合平衡中的重要支撑作用,我国法律法规和政策性文件都对密码应用提出明确要求。在此背景下,国家密码管理局制发《商用密码应用安全性评估管理办法(试行)》(以下简称《办法》),目标是明确国家和省(部)密码管理部门在密码应用安全性评估中的指导、监督和检查职责;明确重要信息系统的建设、使用、管理单位在评估工作中的主体责任;依法培育测评机构,规范评估行为,以评促改、以评促用,形成规范有序的密码应用安全性评估审查机制,并与网络安全等级保护等已有制度做好衔接。
2.主要内容
《办法》聚焦于建立密评审查机制、规范密评工作,规定了测评机构、网络与信息系统责任单位、管理部门的权利义务,明确了评估程序、评估方法、监督管理等内容。
《办法》共四章二十二条。
(1)第一章是总则。明确了制定《办法》的目的和立法依据,对密码和密码应用安全性评估进行定义,明确适用范围和管理机构职能。
(2)第二章介绍了评估程序。规定了责任单位和测评机构职责,提出独立、客观、公正的评估原则,对重要信息系统如何实施密码应用安全性评估做出规定。
(3)第三章介绍了监督管理。规定密码管理部门要不定期开展评估专项检查和抽查工作,对测评机构进行监督检查,明确其他主管部门应将密评情况作为网络与信息系统安全检查的重要内容。
(4)第四章是附则。分别对《办法》实施前已投入使用的重要信息系统、未设立密码管理机构的有关部门,以及不在《办法》所列范围内的其他网络与信息系统如何开展密评做出规定。
3.密评工作与网络安全等级保护工作的关系
《办法》的制定充分考虑了与网络安全等级保护(简称“等保”)的结合和相互衔接。《办法》根据《网络安全法》《商用密码管理条例》及国家关于网络安全等级保护和重要领域密码应用的有关要求制定,对网络安全等级保护第三级及以上信息系统提出密码应用安全性评估要求。
5.2.4.2. 《商用密码应用安全性测评机构管理办法(试行)》
1.适用范围
根据《商用密码应用安全性评估管理办法(试行)》确定的在试点期间的主要原则,为规范培育商用密码应用安全性测评机构,《商用密码应用安全性测评机构管理办法(试行)》提出了试点期间对测评机构的管理原则,适用在中华人民共和国境内对商用密码应用安全性测评机构的监督管理,也适用于对测评机构、测评人员及其测评活动的管理与规范。
2.测评机构遴选的基本原则
测评机构遴选应按照“依法合规、公正公开、客观独立”的原则有序开展。
3.测评机构的监管主体
国家密码管理局根据各省部密码管理部门的推荐,负责测评机构的受理、能力评审和监督检查等。
4.测评机构的基本条件
申请测评机构应具备以下条件:在中华人民共和国境内注册,由国家投资、法人投资或公民投资成立的企事业单位;要求产权关系明晰,注册资金500万元以上;成立年限在2年以上,从事信息系统安全相关工作1年以上,无违法记录;要求具备与从事系统测评相适应的独立、集中、可控的工作环境,测评工作场地应不小于200平方米;具备必要的检测设施、设备,使用的设施设备应满足实施密评工作的要求;具备完善的人员结构,包括专业技术人员和管理人员,通过“密码应用安全性评估人员考核”的人员数量不少于10人;具有完备的安全保密管理、项目管理、质量管理、人员管理、培训教育、客户管理和投诉处理等规章制度。
5.申请测评机构应提交的材料
申请测评机构应提交的材料主要包括:①《商用密码应用安全性测评机构申请表》。②从事与商用密码相关工作情况的说明。③开展测评工作所需的软硬件及其他服务保障设施配备情况。④管理制度建设情况(需要提供相关制度的文本文件)。⑤申请单位及其测评人员基本情况(需要提供人员的基本信息)。⑥申请单位认为有必要提交的其他材料。
6.测评机构的申请流程
国家密码管理局设立申请材料初审工作组,对申请材料进行初审,出具初审结论。初审结果按程序报批后,告知申请单位。通过初审的申请单位,应在60个工作日内参加培训、考核和能力评审。测评人员培训、考核工作由国家密码管理局委托的机构承担,申请单位应当确保本单位测评人员全程参加。考核通过后,测评人员方可参加密码应用安全性评估工作。
7.测评机构的责任和义务
测评机构的设施环境以及人员是保证测评质量的重要基础。测评机构的地址或测评实验室的位置发生变化,则需要对新设施和环境进行额外的考核,以核实其是否仍能够满足本办法的要求。
8.测评机构的监督检查
监督检查是保证测评机构能力持续性的重要途径,也是在测评初期保证测评队伍质量、建立测评体系信誉的主要途径。密码管理部门会着重对以下过程进行监督检查:测评人员的完整性、测评能力是否保持、质量管理体系运行的合规性、测评过程是否由有资质的测评人员执行及测评报告的准确性和公正性等。测评项目实施过程中,测评机构应接受国家密码管理局的监督管理。测评机构应当在年底编制密评工作报告,并报送国家密码管理局。国家密码管理局、测评机构所属省部密码管理局对测评机构负有监督检查职责,根据需要开展测评机构检查工作。
9.测评机构的法律责任
测评机构有下列情形之一的,国家密码管理局应责令其限期整改;情节严重的,予以通报或做出其他严肃处理。①未按照有关标准规范开展测评或未按规定出具测评报告的。②严重妨碍被测评信息系统正常运行,危害被测评信息系统安全的。③未妥善保管、非授权占有或使用密码应用安全性评估相关资料及数据文件的。④分包或转包测评项目,以及有其他扰乱测评市场秩序行为的。⑤限定被测评单位购买、使用指定信息安全和密码相关产品的。⑥测评人员未通过培训考核,但从事密码应用安全性评估工作的。⑦未按本办法规定提交材料、报告情况或弄虚作假的。⑧其他违反密码应用安全性评估工作有关规定的行为。
测评机构有下列情形之一的,国家密码管理局应取消其商用密码应用安全性测评机构试点资格。①因单位股权、人员等情况发生变动,不符合商用密码应用安全性测评机构基本条件的。②故意泄露被测评单位工作秘密、重要信息系统数据信息的。③故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未如实出具测评报告的。④自愿退出测评机构目录的。测评人员有下列行为之一的,责令测评机构督促其限期改正;情节严重的,责令测评机构暂停其参与测评工作;情形特别严重的,从密码应用安全性测评人员名单中移除,并对其所在测评机构进行通报。①未经允许擅自使用或泄露、出售密码应用安全性评估工作中收集的数据信息、资料或测评报告的。②测评行为失误或不当,影响重要领域网络与信息系统安全或造成运营使用单位利益损失的。③其他违反密码应用安全性评估工作有关规定的行为。测评机构及其测评人员违反本办法的相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律法规予以处理。任何单位和个人如发现测评机构、测评人员有违法、违规行为的,可向国家密码管理局举报、投诉。
5.2.4.3. 《商用密码应用安全性测评机构能力评审实施细则(试行)》
《商用密码应用安全性测评机构能力评审实施细则(试行)》通过对申请机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、风险防范能力等进行公平、公正、独立、客观的能力评审,为规范测评机构的建设和管理、提高测评机构能力提供支撑。
1.实施细则的主要内容
实施细则阐述了商用密码应用安全性测评机构能力评审工作中相关机构的工作职责、评审工作的具体流程、评审结果的量化及认定等。
2.基本原则
申请单位能力评审遵循公平、公正、独立、客观的原则。
3.适用范围
适用于对申请单位的能力评审。
4.工作职责
国家密码管理局组织对申请单位的测评能力进行评审。能力评审实行专家组负责制。国家密码管理局在能力评审中的具体职责包括:①负责能力评审工作的组织管理,审核申请资料的完整性与规范性。②建立并维护能力评审专家库。③设立评审专家组,在能力评审专家库随机抽取评审专家,指定专家组组长,由专家组负责对申请单位的能力进行评估、判定。④负责与申请单位的沟通协调,组织并监督现场评审。⑤负责出具能力评审结论。
5.评审程序
国家密码管理局组成评审专家组,组织专家评审。评审分为材料核查、现场评审、综合评议三个阶段。
(1)材料核查。专家组对照评审内容和要求对申请单位提交的材料进行查阅,重点对《商用密码应用安全性测评机构申请表》和《商用密码应用安全性测评机构能力评估申请表》进行审阅。对需要现场核实的内容予以记录,以备现场评审时核查。
(2)现场评审。专家组前往申请单位,采取查看、问询、模拟测试、问卷考试等形式,对照《商用密码应用安全性测评机构能力要求》对测评机构的基本情况、人员结构、测评实验室条件、仪器设备条件、测评实施能力、质量管理能力和风险控制能力七个方面进行评审。专家组根据现场评审情况,对照《商用密码应用安全性测评机构能力评审专家评分表》逐项量化评价。
(3)综合评议。专家组组长主持召开会议,综合材料审查和现场评审情况进行研讨和评议,汇总专家评分情况,填写《商用密码应用安全性测评机构能力评审汇总表》,提交国家密码管理局。在第二批测评机构试点培育中,将增加实际测评能力仿真评价的环节,确保申请机构有实战经验,而且能力特别突出。
6.工作要求
测评机构能力评审工作过程中,专家组应遵循如下要求:遵守法律法规和技术规范要求,坚持客观、独立、科学、公正的原则,专家对量化评价负责;按时参加评审活动,认真履行职责,廉洁自律,不得借评审谋取私利;遵守相关保密规定,对评审中接触到的有关情况负有保密责任;有下列情形之一的,专家应当主动向国家密码管理局申请回避,如未主动申请回避,一经发现,取消其专家资格。
①专家担任申请单位技术顾问等职务的。②专家所在单位与申请单位存在利益关系的。③专家与申请单位存在利益关系的其他情况。
7.《商用密码应用安全性测评机构能力要求》
《商用密码应用安全性测评机构能力评审实施细则(试行)》的附件《商用密码应用安全性测评机构能力要求》,对测评机构能力提出了具体要求。主要包括基本情况、人员结构、测评实验室条件、仪器设备条件、测评实施能力、质量管理能力和风险控制能力等方面的要求。
(*** 5.2.5~5.4.7章节内容省略,详见白皮书原文)
(*** 6.1~6.2章节内容省略,详见白皮书原文)
反馈改进、交流合作等,请发送邮件至:[email protected]