商用密碼應用安全性評估及其相關標準

謝宗曉　董坤祥　甄杰

1 概述

商用密碼應用安全性評估（以下簡稱：密評），是指在采用商用密碼技術、產(chǎn)品和服務集成建設的網(wǎng)絡和信息系統(tǒng)中，對其密碼應用的合規(guī)性、正確性和有效性進行評估。這是繼網(wǎng)絡安全等級保護（以下簡稱：等級保護）之后，信息安全領域又一體系化的制度，至于稱為“評估”還是“測評”，并不重要，其框架大致都遵循了傳統(tǒng)的檢測認證工作，這一點也可以從相關公文1）中得到驗證。

和等級保護一樣，密評也有法律依據(jù)。《中華人民共和國網(wǎng)絡安全法》第二十一條明確指出：國家實行網(wǎng)絡安全等級保護制度?！吨腥A人民共和國密碼法》的第二十七條規(guī)定如下：法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

2 密評相關標準

檢測認證的標準體系與ISO/IEC 27000標準族的設計基本都是一致的，其來源為ISO 9000標準族的框架，大致包括：要求類標準、指南類標準，如實施指南、測評（或檢測、評估）等指南、機構要求（可能包括人員要求）類的認可標準。例如，國家標準中的網(wǎng)絡安全等級保護系列標準架構主要包括：GB/T 22240、GB/T 22239、GB/T 25058、GB/T 25070、GB/T 28448和GB/T 28449等。其關系大致如圖1所示。

密評標準體系的設計大致也遵循了這樣的架構。一般而言，要求類標準是其中最基礎的。GB/T 39786—2021《信息安全技術 信息系統(tǒng)密碼應用基本要求》是密評體系中的要求類標準，其前身為GM/T 0054—2018，該標準沿用了GB/T 22239—2019《信息安全技術 網(wǎng)絡安全等級保護基本要求》的框架，將信息系統(tǒng)密碼應用自低向高劃分為五個等級。GM/T 0115—2021《信息系統(tǒng)密碼應用測評要求》和GM/T 0116—2021《信息系統(tǒng)密碼應用測評過程指南》則是針對測評的相關標準。

其他標準均在開發(fā)中。此外，中國密碼學會密評聯(lián)委會發(fā)布了《密碼系統(tǒng)密碼應用高風險判定指南》《商用密碼應用安全性評估量化評估規(guī)則》和《商用密碼安全性評估報告模板（2021版）》等指導性文件。

3 與等級保護標準體系對比

《中華人民共和國密碼法》第二十七條指出：商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網(wǎng)絡安全等級測評制度相銜接，避免重復評估、測評。因此，等級保護與密評有天然的一致性?？紤]到ISO/IEC 27000標準族作為最典型的信息安全領域內(nèi)檢測認證標準族，表1中對這三個標準族進行了對比。

4 行業(yè)標準研發(fā)要求

等級保護經(jīng)過20多年的發(fā)展，已經(jīng)形成了完整的標準體系，在各個行業(yè)中也都有更細致的要求或指南，這也是密評標準族后續(xù)發(fā)展的趨勢。以金融行業(yè)等級保護標準為例，即可以看出金融行業(yè)密評標準的研發(fā)要求。

目前，金融領域發(fā)布了JR/T 0071—2020《金融行業(yè)網(wǎng)絡安全等級保護實施指引》，分為6個部分，發(fā)布于2020年11月11日，自2020年11月11日起實施。之前發(fā)布有JR/T 0071—2012《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》。JR/T 0071—2020的6部分，總標題為金融行業(yè)網(wǎng)絡安全等級保護實施指引2）。具體如表2所示。

JR/T 0071的6個部分，不僅包括了基本要求，也包括了崗位能力要求、評價和培訓，審計要求和指引的內(nèi)容。JR/T 0071.1—2020定義了22個相關詞匯，并介紹了金融行業(yè)網(wǎng)絡安全等級保護政策體系和技術標準體系。技術標準體系介紹的比較細致，對現(xiàn)有的標準進行了分類，并按照流程進行了對應。標準分類及其映射關系，如表3所示。

JR/T 0071.2—2020在GB/T 22239—2019的基礎上，增加了“金融行業(yè)增強性安全要求（F類）”，F(xiàn)2表示二級增強性安全要求，F(xiàn)3表示三級增強性安全要求，F(xiàn)4表示四級增強性安全要求。JR/T 0071.2—2020在金融行業(yè)網(wǎng)絡安全等級保護中是基礎標準。本部分一共109頁，篇幅比較長。JR/T 0071.3—2020按照相關標準的要求，給出了一個網(wǎng)絡安全管理組織架構，并對其中角色的職責和能力要求進行了討論。推薦的網(wǎng)絡安全管理組織架構，如圖2所示。

JR/T 0071.4—2020給出了網(wǎng)絡安全培訓的培訓目標、培訓原則、培訓計劃、培訓對象、培訓內(nèi)容要求、培訓實施、培訓考核和培訓檔案管理等內(nèi)容。JR/T 0071.5—2020所討論的“審計”和“測評”不是一個概念，其目標是在整個網(wǎng)絡安全等級保護過程中，即定級、備案、建設整改、測評自查和安全檢查，各項工作中是否遵循了網(wǎng)絡安全等級保護的要求。也就是說，本標準中的審計是對整個過程合規(guī)性的評審，而測評則是針對具體的控制措施符合性評審。JR/T 0071.6—2020對金融機構網(wǎng)絡安全等級保護工作的實施給出了指導，這個過程與信息安全管理體系（ISMS）的審核有相似之處。

對于測評，有JR/T 0072—2020《金融行業(yè)網(wǎng)絡安全等級保護測評指南》和JR/T 0073—2012《金融行業(yè)信息安全等級保護測評服務安全指引》。JR/T 0072—2020發(fā)布于2020年11月11日，自2020年11月11日起實施。之前發(fā)布了JR/T 0072—2012《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》。金融行業(yè)網(wǎng)絡安全等級保護測評流程與其他行業(yè)是一致的，因此直接引用GB/T 28449—2018。具體測評項覆蓋了JR/T 0071.2—2020的所有要求。在實施過程中，尤其要注意金融行業(yè)增強安全保護類（F類）的要求。JR/T 0073—2012明確了等級保護測評服務機構安全、人員安全、過程安全、測評對象安全、工具安全等方面的基本要求。

此外，中國證券監(jiān)督管理委員會還發(fā)布了JR/T 0060—2021《證券期貨業(yè)網(wǎng)絡安全等級保護基本要求》和JR/T 0067—2021《證券期貨業(yè)網(wǎng)絡安全等級保護測評要求》。

5 小結

隨著《中華人民共和國網(wǎng)絡安全法》《中華人民共和國密碼法》和《關鍵信息基礎設施安全保護條例》等法律法規(guī)的發(fā)布和實施，商用密碼應用安全性評估、網(wǎng)絡安全等級保護和關鍵信息基礎設施保護已經(jīng)成為網(wǎng)絡運營者不可推卸的責任和義務，這三者相互補充，相互依賴，缺一不可，是保障網(wǎng)絡安全乃至國家安全的重要基礎。

1） 例如，《市場監(jiān)管總局 國際密碼管理局 關于開展商用密碼檢測認證工作的實施意見》。

2） 指引，英文用的guide。JR/T 0072—2020 《金融行業(yè)網(wǎng)絡安全等級保護測評指南》，“指南”英文用的guidelines。

3） 標識“*”的，在JR/T 0071.1—2020中有。

4） 本列在JR/T 0071.1—2020中沒有。

5）? 見JR/T 0071.3—2020中“3 網(wǎng)絡安全管理組織架構”。A60A2275-85B6-459C-8D48-24BB1D4592E0