謝宗曉 董坤祥 甄杰
1 概述
商用密碼應用安全性評估(以下簡稱:密評),是指在采用商用密碼技術、產(chǎn)品和服務集成建設的網(wǎng)絡和信息系統(tǒng)中,對其密碼應用的合規(guī)性、正確性和有效性進行評估。這是繼網(wǎng)絡安全等級保護(以下簡稱:等級保護)之后,信息安全領域又一體系化的制度,至于稱為“評估”還是“測評”,并不重要,其框架大致都遵循了傳統(tǒng)的檢測認證工作,這一點也可以從相關公文1)中得到驗證。
和等級保護一樣,密評也有法律依據(jù)。《中華人民共和國網(wǎng)絡安全法》第二十一條明確指出:國家實行網(wǎng)絡安全等級保護制度?!吨腥A人民共和國密碼法》的第二十七條規(guī)定如下:法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。
2 密評相關標準
檢測認證的標準體系與ISO/IEC 27000標準族的設計基本都是一致的,其來源為ISO 9000標準族的框架,大致包括:要求類標準、指南類標準,如實施指南、測評(或檢測、評估)等指南、機構要求(可能包括人員要求)類的認可標準。例如,國家標準中的網(wǎng)絡安全等級保護系列標準架構主要包括:GB/T 22240、GB/T 22239、GB/T 25058、GB/T 25070、GB/T 28448和GB/T 28449等。其關系大致如圖1所示。
密評標準體系的設計大致也遵循了這樣的架構。一般而言,要求類標準是其中最基礎的。GB/T 39786—2021《信息安全技術 信息系統(tǒng)密碼應用基本要求》是密評體系中的要求類標準,其前身為GM/T 0054—2018,該標準沿用了GB/T 22239—2019《信息安全技術 網(wǎng)絡安全等級保護基本要求》的框架,將信息系統(tǒng)密碼應用自低向高劃分為五個等級。GM/T 0115—2021《信息系統(tǒng)密碼應用測評要求》和GM/T 0116—2021《信息系統(tǒng)密碼應用測評過程指南》則是針對測評的相關標準。
其他標準均在開發(fā)中。此外,中國密碼學會密評聯(lián)委會發(fā)布了《密碼系統(tǒng)密碼應用高風險判定指南》《商用密碼應用安全性評估量化評估規(guī)則》和《商用密碼安全性評估報告模板(2021版)》等指導性文件。
3 與等級保護標準體系對比
《中華人民共和國密碼法》第二十七條指出:商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網(wǎng)絡安全等級測評制度相銜接,避免重復評估、測評。因此,等級保護與密評有天然的一致性??紤]到ISO/IEC 27000標準族作為最典型的信息安全領域內(nèi)檢測認證標準族,表1中對這三個標準族進行了對比。
4 行業(yè)標準研發(fā)要求
等級保護經(jīng)過20多年的發(fā)展,已經(jīng)形成了完整的標準體系,在各個行業(yè)中也都有更細致的要求或指南,這也是密評標準族后續(xù)發(fā)展的趨勢。以金融行業(yè)等級保護標準為例,即可以看出金融行業(yè)密評標準的研發(fā)要求。
目前,金融領域發(fā)布了JR/T 0071—2020《金融行業(yè)網(wǎng)絡安全等級保護實施指引》,分為6個部分,發(fā)布于2020年11月11日,自2020年11月11日起實施。之前發(fā)布有JR/T 0071—2012《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》。JR/T 0071—2020的6部分,總標題為金融行業(yè)網(wǎng)絡安全等級保護實施指引2)。具體如表2所示。
JR/T 0071的6個部分,不僅包括了基本要求,也包括了崗位能力要求、評價和培訓,審計要求和指引的內(nèi)容。JR/T 0071.1—2020定義了22個相關詞匯,并介紹了金融行業(yè)網(wǎng)絡安全等級保護政策體系和技術標準體系。技術標準體系介紹的比較細致,對現(xiàn)有的標準進行了分類,并按照流程進行了對應。標準分類及其映射關系,如表3所示。
JR/T 0071.2—2020在GB/T 22239—2019的基礎上,增加了“金融行業(yè)增強性安全要求(F類)”,F(xiàn)2表示二級增強性安全要求,F(xiàn)3表示三級增強性安全要求,F(xiàn)4表示四級增強性安全要求。JR/T 0071.2—2020在金融行業(yè)網(wǎng)絡安全等級保護中是基礎標準。本部分一共109頁,篇幅比較長。JR/T 0071.3—2020按照相關標準的要求,給出了一個網(wǎng)絡安全管理組織架構,并對其中角色的職責和能力要求進行了討論。推薦的網(wǎng)絡安全管理組織架構,如圖2所示。
JR/T 0071.4—2020給出了網(wǎng)絡安全培訓的培訓目標、培訓原則、培訓計劃、培訓對象、培訓內(nèi)容要求、培訓實施、培訓考核和培訓檔案管理等內(nèi)容。JR/T 0071.5—2020所討論的“審計”和“測評”不是一個概念,其目標是在整個網(wǎng)絡安全等級保護過程中,即定級、備案、建設整改、測評自查和安全檢查,各項工作中是否遵循了網(wǎng)絡安全等級保護的要求。也就是說,本標準中的審計是對整個過程合規(guī)性的評審,而測評則是針對具體的控制措施符合性評審。JR/T 0071.6—2020對金融機構網(wǎng)絡安全等級保護工作的實施給出了指導,這個過程與信息安全管理體系(ISMS)的審核有相似之處。
對于測評,有JR/T 0072—2020《金融行業(yè)網(wǎng)絡安全等級保護測評指南》和JR/T 0073—2012《金融行業(yè)信息安全等級保護測評服務安全指引》。JR/T 0072—2020發(fā)布于2020年11月11日,自2020年11月11日起實施。之前發(fā)布了JR/T 0072—2012《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》。金融行業(yè)網(wǎng)絡安全等級保護測評流程與其他行業(yè)是一致的,因此直接引用GB/T 28449—2018。具體測評項覆蓋了JR/T 0071.2—2020的所有要求。在實施過程中,尤其要注意金融行業(yè)增強安全保護類(F類)的要求。JR/T 0073—2012明確了等級保護測評服務機構安全、人員安全、過程安全、測評對象安全、工具安全等方面的基本要求。
此外,中國證券監(jiān)督管理委員會還發(fā)布了JR/T 0060—2021《證券期貨業(yè)網(wǎng)絡安全等級保護基本要求》和JR/T 0067—2021《證券期貨業(yè)網(wǎng)絡安全等級保護測評要求》。
5 小結
隨著《中華人民共和國網(wǎng)絡安全法》《中華人民共和國密碼法》和《關鍵信息基礎設施安全保護條例》等法律法規(guī)的發(fā)布和實施,商用密碼應用安全性評估、網(wǎng)絡安全等級保護和關鍵信息基礎設施保護已經(jīng)成為網(wǎng)絡運營者不可推卸的責任和義務,這三者相互補充,相互依賴,缺一不可,是保障網(wǎng)絡安全乃至國家安全的重要基礎。
1) 例如,《市場監(jiān)管總局 國際密碼管理局 關于開展商用密碼檢測認證工作的實施意見》。
2) 指引,英文用的guide。JR/T 0072—2020 《金融行業(yè)網(wǎng)絡安全等級保護測評指南》,“指南”英文用的guidelines。
3) 標識“*”的,在JR/T 0071.1—2020中有。
4) 本列在JR/T 0071.1—2020中沒有。
5)? 見JR/T 0071.3—2020中“3 網(wǎng)絡安全管理組織架構”。A60A2275-85B6-459C-8D48-24BB1D4592E0