密码应用安全性评估实施之（一）密码应用方案设计

密码应用安全性评估包括两部分内容：信息系统规划阶段对密码应用方案的评审/评估和建设完成后对信息系统开展的实际测评。密评相关工作内容可站内咨询或微信号：symmrz 。

1、 设计原则

密码应用方案设计是信息系统密码应用的起点，它直接决定着信息系统的密码应用能否合规、正确、有效地部署实施。此外，密码应用方案还是开展信息系统密码应用情况分析和评估工作的基础条件，是开展密评工作不可或缺的重要参考文件。密码应用方案需依照《信息系统密码应用基本要求》，结合信息系统的实际情况进行设计，并保证其具有总体性、科学性、完备性和可行性。密码应用方案设计应遵循以下原则：
①总体性原则。密码在信息系统中的应用不是孤立的，必须与信息系统的业务相结合才能发挥作用。密码应用方案应做好顶层设计，明确应用需求和预期目标，与信息系统整体网络安全保护等级相结合，通过系统总体方案和密码支撑总体架构设计来引导密码在信息系统中的作用。对于正在规划阶段的新建系统，应同时设计系统总体方案和密码支撑总体架构；对于已建但尚未规划密码应用方案的系统，信息系统责任单位要通过调研分析，梳理形成系统当前密码应用的总体框架图，提炼密码应用方案，作为后续测评实施的基础。需要注意的是，密评的对象应当是完整的等级保护定级对象（含关键信息基础设施），抽取这些信息系统的一部分进行密评时不合适的，也是没有意义的。
②科学性原则。《信息系统密码应用基本要求》是密码应用的通用要求，在应用方案设计中不能机械照搬，或简单地对照每项要求堆砌密码产品，应通过成体系、分层次的设计，形成包括密码支撑总体架构、密码基础设施建设部署、密钥管理体系构建、密码产品部署及管理等内容的总体方案。通过密码应用方案设计，为实现《信息系统密码应用基本要求》在具体信息系统上的落地创造条件。
③完备性原则。信息系统安全防护效果符合“木桶原理”，即任何一个方面存在安全风险均有可能导致信息系统安全防护体系的崩塌。密码应用方案设计，应按照《信息系统密码应用基本要求》对密码技术应用、密钥管理和安全管理的相关要求，组成完备的密码支撑保障体系。
④可行性原则。密码应用方案设计需进行可行性论证，在保证信息系统业务正常运行的同时，综合考虑信息系统的复杂性、兼容性及保障措施等因素，保证方案切合实际、合理可行。要科学评估密码应用解决方案和实施方案，可采取整体设计、分期建设、稳步推进的策略，结合实际情况制定项目组织实施计划。

2、 设计要点

密码应用方案包括密码应用解决方案、实施方案和应急处置方案。密码应用解决方案应符合内容全面、思路清晰、重点突出、资料详实、数据可靠、方案正确等要求；密码应用实施方案应符合任务目标清晰、计划科学合理、配套措施完备等要求；密码应用实施方案应符合针对性强、安全事件识别准确、处置措施合理有效等要求。

（1） 密码应用解决方案设计要点

《信息系统密码应用基本要求》吧信息系统密码技术应用分为四个层面：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全，前三个层面是对信息系统支撑平台的密码应用要求，第四个层面是对信息系统业务应用的密码应用要求。因此，在设计密码应用解决方案时，应关注两大方面内容：一是信息系统支撑平台的密码应用；而是信息系统业务应用的密码应用，主要在应用与数据安全层面，利用密码技术处理具体业务在实际开展过程中存在的安全问题，形成使用密码技术保护的具体业务处理机制和流程，这也是整个密码应用解决方案中的重中之重。
不同信息系统的支撑平台密码应用解决方案可能大同小异，但是业务应用的密码应用解决方案则是也业务应用强耦合的。在设计业务应用的密码应用解决方案时，应用和数据安全层面的相关要求主要发挥指引性作用，更重要的是，要围绕具体开展的业务应用，梳理业务的安全需求，确定需要保护的重要数据，利用支撑平台层提供的密码支撑服务，来设计面向具体业务的密码应用解决方案。
密码应用解决方案主要包括系统现状分析、安全风向及控制需求、密码应用需求、总体方案设计、密码技术方案设计、管理体系设计与运维体系设计、安全与合规性分析等几个部分，并附加密码产品和服务应用情况、业务应用系统改造/建设情况、系统和环境改造/建设情况等内容。
①要进行系统现状分析，主要对密标系统的规模、业务应用情况、网络拓补、信息资源、软硬件组成、管理机制和密码应用等现状加以分析，从而明确密码应用解决方案所要保护的信息资源和所涉及的范围，并对信息系统有一个总体认识。
②要对信息系统面临的安全风险和风险控制需求进行分析，描述风险分析结果，并给出降低每个风险点的控制措施，同时应重点标示拟通过密码技术解决的风险控制需求。通过对风险控制需求分析，进一步明确密码应用需求，同时需要确保密码应用的合规性，即符合国家法律法规和相关标准的规定。方案设计需要明确设计的基本原则和依据，并给出密码应用方案的总体架构。
③要从技术角度阐述密码应用解决方案的详细设计，重点对各个子系统、密码产品和服务、密码算法和协议、密码应用工作流程、密钥管理实现等部分就进行描述，目的是从细节层面确定密码技术的具体部署情况，以便分析和论证是否符合各项要求。在设备配置上，需要列出已有的密码产品和密码服务，并在此基础上给出需要备选的密码产品和新增的密码服务。
④要急性管理体系设计和运维体系设计，主要通过制度、人员、实施、应急等保障措施，合规、正确、有效的将密码技术方案部署到信息系统中，确保密码技术方案在实施、运行阶段能够按照预期的设计目标对信息系统进行安全保护。
⑤要对所设计的密码应用解决方案进行自查，通过逐条对照《信息系统密码应用基本要求》中的条款，对标准符合性和密码合规性进行检查，并详细介绍自评估具体情况，情况中要介绍《信息系统密码应用基本要求》中每个要求项对应的密码产品/服务和实现思路。
⑥要对密码产品和服务应用情况、业务系统改造/建设情况、系统和环境改在/建设等加以说明。

（2） 密码应用实施方案设计要点

密码应用实施方案时密码应用方案具体项目实施、落地的一整套解决方案。实施方案应包括项目概述、项目组织、实施内容、实施计划、保障措施、经费概算等内容。需要说明的是，新建系统如果有“整体设计、分布实施”的计划，则应在实施方案中明确实施节点和阶段性目标。

（3） 密码应用应急处置方案设计要点

密码应用应急处置方案应当首先对潜在的安全威胁进行分析，重点识别在项目实施过程中和在密码系统/设备运行过程中可能发生的安全事件，并对安全事件进行分类和分级描述。应急处置方案应明确应急处置组织的结构和职责，并针对潜在安全威胁给出技术和管理上的应急响应机制及风险防范措施。应急处置方案还应当包括在安全事件发生后的信息公告流程和损失评估程序，并给出各个应用处置预案的激活条件。

（4） 已建信息系统密码应用方案提炼

对于已建系统，从中提炼密码应用方案时应重点把握和解决一下问题：
① 明确信息系统的详细网络拓补
② 摸清系统中已有的密码产品，包括嵌入在通用设备中的密码部件，如密码卡、软件密码模块等，并明确各密码产品在信息系统网路拓补中的位置；
③ 梳理密钥管理层次，给出密钥全生命周期的管理过程；
④ 针对重要数据和敏感信息，梳理其在信息系统中的流转过程和受保护情况（如使用物理防护、密码技术保护或安全管理控制等）。