如何合规、正确、有效使用商用密码,充分发挥商用密码在保障网络空间安全中的核心技术和基础支撑作用,关乎国家大局、关乎网络空间安全、关乎用户个人隐私。因此,要在保证商用密码应用大力推进和普及的同时,做好网络与信息系统的商用密码应用安全性评估,确保商用密码应用的合规、正确、有效。
《中华人民共和国密码法》于2020年1月1日正式实施,其中明确了开展商用密码应用安全性评估(以下简称密评)。
密评工作主要依据的标准是国密局2018年2月发布的《GM/T0054-2018 信息系统密码应用基本要求》,其中对于信息系统密码应用针对总体要求、密码功能要求、密码技术应用要求、密钥管理和安全管理等方面都做了具体的要求。
相对于之前侧重于关注采用算法和产品等的合规性以外,密评重点关注密码应用的合规性、正确性和有效性的评估。评估的内容不但包括建设的密码保障系统,还包括编写的密码应用方案。
密评在密码技术应用的具体要求中,也涵盖了物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等各个方面。
1) 物理和环境测评内容
身份鉴别、电子门禁记录数据的完整性、视频记录数据完整性、密码模块实现网络与通信测评内容。
2) 网络和通信测评内容
身份鉴别、内部网络安全接入(第四级信息系统要求)、访问控制信息完整性、通信数据完整性、通信数据保密性、集中管理通道安全、密码模块实现。
3) 设备和计算测评内容
身份鉴别、远程管理鉴别信息保密性、访问控制信息完整性、敏感标记完整性、重要程序或文件完整性、日志记录完整性、密码模块实现。
4) 应用和数据测评内容
身份鉴别、访问控制信息和敏感标记完整性、数据传输保密性、数据存储保密性、数据传输完整性、数据存储完整性、日志记录完整性、重要应用程序的加载和卸载、抗抵赖。
5) 密钥管理测评内容
理清密钥流转的关系,对信息系统内的密钥(尤其是进出密码产品和密码模块的密钥)进行全生命周期的安全检查,包括密钥的生成、存储、分发、导入与导出、使用、备份与恢复、归档、销毁,确认所有密钥管理操作都是由符合GM/T 0005《随机性检测规范》和GM/T 0028《密码模块安全技术要求》规定的密码产品或密码模块实现。
6) 安全管理测评内容
包括制度管理测评、人员管理测评、实施管理测评、应急管理测评。