密评从零到 0.001

2022-08-25
2022-08-26
5 min read
Hits

  今天上午接受了道普有关密评的简单培训。虽然讲的很浅,但还是很受益,且引起了我对密评的兴趣😄开始考虑等考过等保中级后转密评……

  也突然有了一条稍微明确些的人生路,我想大概前半生都在学习和充当各种“裁判”和“教练”吧,后半生开始投身于“专业教练”或者“专业运动员”。

  这次培训时间较短,且为“小白普及密评知识”培训,所以笔记很少、杂乱无章,且大多为个人理解。各位看官就作为科普随意看看吧。

密码基本概念

  《密码法》第二条给出密码定义:密码是采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

  密码需要分类管理,可分为核心密码、普通密码和商用密码,其中商用密码用于保护不属于国家秘密的信息。

  密码技术包括密码算法、密钥管理和密码协议。

密码算法对称算法非对称算法杂凑算法
国密ZUC、SM4、SM1(尚未公开发布)、SM7(尚未公开发布)SM2、SM9SM3
非国密DES、TDES、AES……RSA……MD5、SHA……

  密码产品是指采用密码技术并以加密保护、安全认证的产品,即承载密码技术、实现密码功能的实体。

  密码产品按形态分类可分为

  1. 软件:密码算法软件、密码服务中间件……
  2. 芯片:算法芯片、安全芯片……
  3. 模块:加解密模块、安全控制模块……
  4. 板卡:智能 IC 卡、智能密码钥匙、密码卡……
  5. 整机:网络密码机、服务器密码机、签名验签服务器、时间戳服务器、IPSEC VPN、SSL VPN、安全认证网关……
  6. 系统:电子签章系统、证书认证系统、动态口令系统、密钥管理系统……

  密码产品按功能分类可分为:密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类、综合类。

  密码服务是指基于密码专业技术、技能和设施,为他人提供集成、运营、监理等密码支持和保障的活动,即基于密码技术和产品,实现密码功能,提供密码保障的行为。

  密码是保障网络与信息安全的核心技术和基础支撑!

  密码的功能

  1. 真实性 → 防假冒,使用安全认证技术
  2. 保密性 → 防泄密,使用加密技术
  3. 完整性 → 防篡改,使用数字签名等
  4. 不可否认性 → 防抵赖,使用数字签名

密评基础知识

  首先密评围绕三个“性”:合规性、正确性和有效性,其中合规性主要考察三块:密码算法、密码技术、密码产品和服务。

  密评依据

  1. 《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)
  2. 《信息系统密码应用测评要求》(GM/T 0115-2021)
  3. 《信息系统密码应用测评过程指南》(GM/T 0116-2021)
  4. 《信息系统密码应用高风险判定指引》
  5. 《商用密码应用安全性评估量化评估规则》
  6. 行业密码应用标准和规范、建设指南等
  7. 通过评审的《密码应用方案》

  2020 年 9 月 16 日,中国密码学会密评联委会发布《政务信息系统密码应用与安全性评估工作指南(2020 版)》提供了密码应用方案模板

  1. 背景
  2. 系统概述(基本情况、网络、业务、软硬件、管理)
  3. 密码应用需求分析
  4. 设计目标及原则
  5. 技术方案(技术框架、详细设计、密码应用部署、安全与合规性分析)
  6. 安全管理方案(人员、制度、实施、应急)
  7. 实施保障方案(内容、计划、保障措施、经费概算)

  密评的通用要求

  1. 密码应用技术要求
    1. 物理和环境安全
    2. 网络和通信安全
    3. 设备和计算安全
    4. 应用和数据安全
  2. 密码应用管理要求
    1. 管理制度
    2. 人员管理
    3. 建设运行
    4. 应急处置

  GB/T 39786-2021 中的通用要求和管理要求,所有级别都遵循,且管理要求逐级加强。而技术要求区分应、宜、可

  1. 应:信息系统管理者应当遵循相关要求;
  2. 宜:由经评估通过的《密码应用方案》决定遵循或不遵循相关要求,如不遵循,应说明原因以及替代性安全措施;
  3. 可:信息系统管理者根据业务实际情况自主选择遵循或不遵循。

  《信息系统密码应用高风险判定指引》共指出高风险项 16 项,其中 3 项通用要求,11 项技术要求,2 项管理要求。

  要密评的系统建议使用国密算法,非国密算法不合规,不能得满分。如需要在国际上进行信息数据的交换等,确需使用非国密算法的,因提供相应的证明。

  假如系统使用堡垒机进行远程管理运维,则密评中远程管理通道定义为 https

  密评打分总共一百分,其中“应用和数据安全”占三十分,故要通过密评必须改造应用。所以密评需要包括应用开发厂商等多方参与,同样的《密码应用方案》,也需要多方参与。《密码应用方案》理论上由系统建设方出具,密评方可以协助出方案,但方案不可由密评方出具!

密评与等保测评的共同点

  密评的对象是:关键信息基础设施、基础信息网络(电信网、广电网、互联网)、重要工控系统(核设施、航空航天、石油石化)、面向社会的政务信息系统、等保三级及以上系统、重要信息系统(能源、教育、公安)等等。所以我们不难看出,其实密评适用的对象很广泛,但是现阶段密评工作刚开始开展,重点还是围绕等保三级及以上系统。当然等保三级及以上系统其实也包含了上述范围的对象。所以我个人认为,等保和密评在适用对象上,其实是差不多的。

  密评根据等保等级选择相应级别的安全要求。

密评与等保测评的不同点

  密评现阶段还是参照等保来定级,即等保几级,密评则定为几级。当然有一个特殊点,就是假如该系统等保未定级,则密评默认为三级

  密评比等保多了一个系统规划阶段的方案评估,且不可或缺(为密评的高危项)。这个经过专家评审过的的密评方案,将作为日后密评中测评项是否不适用的依据。而在等保测评中针对测评项是否不适用多为现场测评过程中,由测评人员根据系统客观条件主观进行判断。

  密评吸取了等保测评中很多的经验和教训,所以简单的放水很难实现,且报告中必须贴上充分必要的完整证据链截图作为密评打分的佐证。当然等保测评也在日趋完善,向着密评的严格要求靠近,两者应该是相互学习,共同成长的。

个人一些完全不成熟的瞎理解

  密评站在等保的基础上,比现行的等保 2.0 更为规范和严格。

  密评“网络和通信安全”层面中“访问控制信息完整性”这一控制点,和等保测评中的“可信验证”一样,制定该项制度是为了推动行业的发展,所以现阶段还没有很好的办法去符合。

  现阶段如果一个系统能通过密评,那一定能通过等保测评。我个人认为密评至少是等保 3.0 的级别。

  等保就像西医“治标不治本”,密评如同中医一样开始“治本”了。

Avatar

Hui.Ke

❤ Cyber Security | Safety is a priority.