一文全解商用密碼應用安全性評估和國標GB/T 39786

   導讀：本文將從全球經濟和國家安全發展的背景出發，從密碼行業相關法律政策的出臺、提出商用密碼應用安全性評估要求的原因、密評的主要內容，包括評估對象、評估要求、評估規范文件和標準、密評改造流程、密評評估方法等內容進行全面的答疑。

       隨著全球數字經濟發展，網絡空間逐漸成為戰略威懾和控制的新領域、維護經濟社會穩定的新陣地以及未來各國軍事角逐的新戰場，網絡安全被納入國家安全重要戰略地位。密碼是保障網絡安全的核心技術，是構建網絡信任的基石。我們利用密碼的安全認證、加密保護、信任傳遞等特性，來消除或控制潛在的“安全危機”，實現被動防御向主動免疫的戰略轉變。因此，我們要大力發展密碼工作、密碼事業。

       早在1996年，我國中央政治局常委會展開專題研究商用密碼，做出在我國大力發展商用密碼和加強對商用密碼管理的決定。特別從黨的十八大以來，我國商用密碼的管理和應用在法制化、規范化基礎上，逐漸向科學化、體系化的方向邁進，在依法管理、科技創新、產業發展、應用推廣、檢測認證等方面實現了跨越式的發展。

       但目前我國還面臨著關鍵信息基礎設施安全防護能力依舊薄弱、核心技術仍然受制于人，以及大量信息產品存在著巨大安全隱患的危險局面，因此大力加強密碼應用是迫切需要，也是促進密碼創新發展、發揮密碼功能特性的必然選擇。而怎樣合規、正確、有效地使用商用密碼，如何充分發揮商用密碼在保障網絡空間安全中的核心技術和基礎支撐作用，這就涉及到商用密碼應用安全性評估（以下簡稱“密評”）的問題，開展密評工作是發揮密碼作用的必要手段，因此，我國出臺相關法律和政策要求要在保證商用密碼應用大力推進和普及的同時，做好網絡與信息系統的密評工作，確保商用密碼應用的合規、正確、有效。


       商用密碼應用法律法規政策要求

       一、《中華人民共和國密碼法》

       《中華人民共和國密碼法》（以下簡稱《密碼法》）按照中央確定的密碼管理原則和應用政策，規定了密碼應用的主要制度和要求。

       1、強調國家積極規范地促進密碼應用，提升使用密碼保障網絡與信息安全的水平，保護公民、法人和其他組織依法使用密碼的權利。

       2、建立商用密碼監測認證體系，鼓勵從業單位自愿接受商用密碼檢測認證。

       3、明確關鍵信息基礎設施使用密碼和開展密評的要求，規定法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施。自行或委托商用密碼檢測機構開展密評。

       4、建立安全審查機制，規定對可能影響國家安全的、涉及商用密碼的網絡產品和服務按照國家安全審查的要求進行安全審查。

       5、規定國家密碼管理部門對采用商用密碼技術從事電子政務電子認證服務的機構進行認定。

       二、《商用密碼管理條例》（修訂草案征求意見稿）

       國家建立商用密碼應用促進協調機制，加強對商用密碼應用的統籌指導。國家機關和設計商用密碼工作的單位在其職責范圍內負責本機關、本單位或者本系統的商用密碼應用和安全保障工作。

       非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統，其運營者應當同步規劃、同步建設、同步運行商用密碼保障系統。

       三、2021年8月發布《關鍵信息基礎設施安全保護條例》

       《關鍵信息基礎設施安全保護條例》（以下簡稱“《條例》”）明確了在關鍵信息基礎設施保護工作中，依據密碼管理法律法規開展有關密碼管理工作，充分體現了密碼管理在國家網絡安全大局中的重要地位和作用。

       第四十二條：“運營者對保護工作部門開展的關鍵信息基礎設施網絡安全檢查檢測工作，以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的關鍵信息基礎設施網絡安全檢查工作不予配合的，由有關主管部門責令改正；拒不改正的，處5萬元以上50萬元以下罰款，對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款；情節嚴重的，依法追究相應法律責任。”

       第五十條：“.……關鍵信息基礎設施中的密碼使用和管理，還應當遵守相關法律、行政法規的規定。”

       該《條例》明確了關鍵信息基礎設施的密碼應用要求，壓實了網絡安全運營者和主管部門有關密碼應用和密碼安全的主體責任，為密碼管理部門開展網絡空間密碼保護工作，尤其是網路安全檢查和安全審查等工作提供了法律依據，同時也為開展密評工作提供了強有力的支撐。

       四、2018年6月《網絡安全等級保護條例（征求意見稿）》

       2018年6月27日，《網絡安全等級保護條例（征求意見稿）》向社會公開征求意見，其中設置了密碼管理專章，明確了網絡安全等級保護密碼管理的主要思路、方式和手段。第五部分第四十七條非涉密網絡應當按照國家密碼管理法律法規和標準的要求，使用密碼技術、產品和服務。第三級以上網絡應當采用密碼保護，并使用國家密碼管理部門認可的密碼技術、產品和服務。

       第三級以上網絡運營者應在網絡規劃、建設和運營階段，按照密碼應用安全性評估辦法和相關標準，委托密碼應用安全性測評機構開展密碼應用安全性評估。網絡通過評估后，方可上線運行，并在投入運行后，每年至少組織一次評估。密評結果應當報受理備案的公安機關和所在地設區市的密碼管理部門備案。

       《網絡安全等級保護條例》在頒布實施后將替代現行的《信息安全等級保護管理辦法》，對我國的網絡安全等級保護進行規范和管理。屆時，國家密碼管理局將與公安部等部門密切配合，依法開展密評工作，并修訂《信息安全等級保護商用密碼管理辦法》等配套規章。

       五、《電子認證服務密碼管理辦法》

       《電子認證服務密碼管理辦法》主要規定面向社會公眾提供電子認證服務應當使用商用密碼，明確了申請電子認證服務使用密碼許可應當具備的基本條件和程序，對電子認證服務系統的運行和技術改造等做出了規定。同時，要求電子認證服務系統要由具有商用密碼產品生產和密碼服務能力的單位，按照GM/T 0034-2014《基于SM2密碼算法的證書認證系統密碼及其相關安全技術規范》的要求承建，并通過國家密碼管理局組織的安全性審查。

       六、2017年12月《政務信息系統政府采購管理暫行辦法》

       第八條規定：“采購需求應當落實國家密碼管理有關法律法規、政策和標準規范地要求，同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。”

       第十二條：“采購人應當按照國家有關規定組織政務信息系統項目驗收，根據項目特點規定完整的項目驗收方案。驗收方案應當包括項目所有功能的實現情況、密碼應用和安全審查情況、信息系統共享情況、維護服務等采購文件和采購合同規定的內容，必要時可以邀請行業專家、第三方機構或相關主管部門參與驗收。”

       七、2019年12月《國家政務信息化項目建設管理辦法》

       《國家政務信息化項目建設管理辦法》對國家政務信息系統的規劃、審批、建設、共享和監管做出規定，其中明確規定了多項密碼應用有關要求。

       政務信息化項目建設單位應同步規劃、同步建設、同步運行密碼保障系統并定期進行評估；按要求向發改委備案的備案文件應當包括密碼應用方案和密碼應用安全性評估報告；

       項目的密碼應用和安全審查情況應當作為項目驗收的重要內容之一，密評報告應當作為提交驗收申請的必要材料；

       對于不符合密碼應用和網絡安全要求的政務信息系統，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統；

       國務院有關部門對密碼應用情況實施監督管理，不符合要求的，視情予以通報批評、暫緩安排投資計劃、暫停項目建設直至終止項目；

       國務院各部門應當嚴格按照要求采用密碼技術，并定期開展密評工作，確保政務信息系統運行安全和政務信息資源共享交換的數據安全。

       八、公安網1960號文 關于《貫徹等保和關保保護制度指導意見》

       第二部分第六條網絡運營者應貫徹落實《密碼法》等有關法律法規規定和密碼應用相關標準規范。第三級以上網絡應正確、有效采用密碼技術進行保護，并使用符合相關要求的密碼產品和服務。第三級以上網絡運營者應在網絡規劃、建設和運行階段，按照密評的管理辦法和相關標準，在網絡安全等級測評中同步開展密碼應用安全性評估。

       九、國辦發（2019）57號文國務院辦公廳關于印發國家政務信息化項目建設管理辦法的通知

       第九條 除國家發展改革委審批或者核報國務院審批的外，其他有關部門自行審批新建、改建、擴建，以及通過政府購買服務方式產生的國家政務信息化項目，應當按規定履行審批程序并向國家發展改革委備案。

       備案文件應當包括項目名稱、建設單位、審批部門、績效目標及績效指標、投資額度、運行維護經費、經費渠道、信息資源目錄、信息共享開放、應用系統、等級保護或者分級保護備案情況、密碼應用方案和密碼應用安全性評估報告等內容，其中改建、擴建項目還需提交前期項目第三方后評價報告。

       十、財庫（2017）210號關于印發《政務信息系統政府采購管理暫行辦法》的通知

       第八條 采購需求應當落實國家密碼管理有關法律法規、政策和標準規范的要求，同步規劃、同步建設、同步運行密碼保障系統并定期進行安全評估。


       商用密碼應用安全性評估的主要內容

       一、評估的主要內容

       商用密碼應用安全性評估（簡稱“密評”）是指采用商用密碼技術、產品和服務集成建設的網絡與信息系統中，對其密碼應用的合規性、正確性和有效性進行評估。（摘自《商用密碼應用安全性評估管理辦法（試行）》）
因此評估的內容包括密碼應用安全三個方面：合規性、正確性、有效性。

       1、合規性評估

       判定信息系統使用的密碼算法、密碼協議、密鑰管理等是否符合法律法規和國家標準、行業標準的有關要求，密碼產品和密碼服務是否經過國家密碼管理部門核準或具備資格的機構認證合格。

       2、正確性評估

       判定信息系統的密碼算法、密碼協議、密鑰管理、密碼產品和服務是否正確配置和使用，安全性是否滿足要求，密碼保障系統建設或改造過程中密碼產品和服務的部署和應用是否正確。

       3、有效性評估

       判定信息系統中實現的密碼保障系統是否在信息系統運行過程中發揮了實際效用，是否滿足了信息系統的安全需求，是否切實解決了信息系統面臨的安全問題。


       二、評估的主要對象

       根據《商用密碼應用安全性評估管理辦法（試行）》第三條、第二十條：

       設計國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位應當健全密碼保障體系，實施商用密碼應用安全性評估。

       重要領域網絡和信息系統包括：基礎信息網絡、設計國計民生和基礎信息資源的重要信息系統、重要工業控制系統、面向社會服務的政務信息系統、以及關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統。

       基礎信息網絡：電信網、廣播電視網、互聯網；

       重要信息系統：能源、教育、公安、測繪地理信息、社保、交通、衛生計生、金融等設計國計民生和基礎信息資源的重要信息系統；

       重要工業控制系統：核設施、航天航空、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要工控系統；

       面向社會服務的政務信息系統：黨政機關和使用財政性資金的事業單位和團體組織使用的面向社會服務的信息系統。


       密評的政策法規和規范性文件

       為了規范密評工作，國密局制定印發了《商用密碼應用安全性評估管理辦法（試行）》、《商用密碼應用安全性測評機構管理辦法（試行）》、《商用密碼應用安全性測評機構能力評審實施細則（試行）》等相關管理文件；同時還組織編制了《信息安全技術信息系統密碼應用基本要求》標準、《信息系統密碼應用基本要求》標準，以及《信息系統密碼測評要求（試行）》、《商用密碼應用安全性評估測試過程指南（試行）》、《商用密碼應用安全性評估測評作業指導書（試行）》、《商用密碼應用安全性評估測評工具使用需求說明（試行）》等指導性文件，主要用于指導測評機構規范有序開展評估工作。

       一、管理文件

       1、《商用密碼應用安全性評估管理辦法（試行）》

       明確國家和省（部）密碼管理部門在密評中的指導、監督和檢查職責；明確重要信息系統的建設、使用、管理單位在評估工作中的主體責任；依法培育測評機構，規范評估行為，以評促改、以評促用，形成規范有序的密碼應用安全性評估審查機制，并與網絡安全等級保護等已有的制作做好銜接。

       2、《商用密碼應用安全性測評機構管理辦法（試行）》

       確定在試點期間的主要原則，為規范培育商用密碼應用安全性測評機構，適用于對測評機構、測評人員及其測評活動的管理與規范。內容包含：明確測評機構的監管主體和基本條件、申請測評機構應提交的材料和申請流程、測評機構的責任和義務，以及法律責任等。

       3、《商用密碼應用安全性測評機構能力評審實施細則（試行）》

       通過對申請機構的組織管理能力、測評實施能力、設施和設備安全與保障能力、質量管理能力、風險防范能力等進行公平、公正、獨立、客觀的能力評審，為規范測評機構的建設和管理、提高測評機構能力提供支撐。另外《商用密碼應用安全性測評機構能力評審實施細則（試行）》的附件《商用密碼應用安全性測評機構能力要求》，對測評機構能力提出了具體要求。主要包括基本情況、人員結構、測評實驗室條件、儀器設備條件、測評實施能力、質量管理能力和風險控制能力等方面的要求。


       二、指導性文件

       1、《信息安全技術 信息系統密碼應用基本要求》

       2021年3月，國家正式發布國家標準GB/T 39786-2021《信息安全技術 信息系統密碼應用基本要求》，將于2021年10月1日起實施。該標準在現行的行業標準GM/T0054-2018《信息系統密碼應用基本要求》的基礎上進行修改完善，并上升為國家標準，進一步突出了其在商用密碼應用標準體系中的基礎性地位。該標準從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等四個方面提出了密碼應用技術要求,以及管理制度、人員管理、建設運行、應急處置等密碼應用管理要求。與GM/T0054-2018《信息系統密碼應用基本要求》相比,該標準結合近年來商用密碼應用與安全性評估工作實踐對部分內容進行了優化,按照信息系統安全等級分別提出了相應的密碼應用要求。

       2、《信息系統密碼應用測評要求》

       依據《中華人民共和國密碼法》等法律法規，中國密碼學會密評聯委會組織編制了《信息系統密碼應用測評要求》等5項指導性文件，用于指導、規范信息系統密碼應用在規劃、建設、運行環節的商用密碼應用安全性評估工作。

       文件規定了信息系統不同等級密碼應用的測評要求，從密碼算法和密碼技術合規性、密鑰管理安全性方面，提出了第一級到第五級的密碼應用通用測評要求；從信息系統的物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等四個技術層面提出了第一級到第四級密碼應用技術的測評要求；從管理制度、人員管理、建設運行和應急處置等四個管理方面提出了第一級到第四級密碼應用管理的測評要求。

       3、《商用密碼應用安全性評估測試過程指南（試行）》

       本指南詳細描述了商用密碼應用安全性評估的主要活動和任務，包括測評準備活動、方案編制活動、現場測評活動、分析和報告編制活動，適用于規范商用密碼應用安全性測評機構在商用密碼應用安全性評估工作中的測評過程。


       密評實施要點分析

       密評工作主要有兩個重點內容：一是信息系統規劃階段對密碼應用方案的評審/評估；二是建設完成后對信息系統開展的實際測評。下面我們將根據最新的標準文件GB/T39786-2021《信息安全技術 信息系統密碼應用基本要求》的要點進行逐一分析。

       一、密評標準體系

密評標準體系

       二、密碼應用改造目標及流程

       首先是針對信息系統規劃階段對密碼應用方案的評審和評估，這其中涉及到的重要環節就是密碼應用方案設計。密碼應用方案設計是信息系統密碼應用的起點，直接決定信息系統的密碼應用是否合規、正確、有效地部署實施，是開展密評工作不可或缺的參考文件。

       依據GB/T 39786-2021《信息安全技術 信息系統密碼應用基本要求》，對信息系統的規劃、建設、運行三個階段制定密碼方案，采用商用密碼算法、技術、產品和服務集成建設，確保信息系系統密碼應用的合規、正確和有效，使參與評估的信息系統順利通過密評。

       具體階段分工：

       ①系統定級階段：

       執行單位：信息系統建設方

       主要目標：確定信息系統的安全保護等級目標，保證規劃、建設、運行階段按照安全指標落地。

       （注：信息系統所應遵循的密碼應用等級，目前是參照等保定級的。信息系統根據GB/T 22240—2020《信息安全技術網絡安全等級保護定級指南》完成定級備案后，其密碼應用等級也相應確定，即等保定級為第一級的對應第一級密碼應用基本要求，等保定級為第二級的對應第二級密碼應用基本要求，以此類推。）

       ②應用調研階段：

       執行單位：密碼應用集成商

       主要目標：掌握各個信息系統的密碼應用的現狀

       ③方案設計階段：

       執行單位：密碼應用集成商

       主要目標：針對已調研的信息系統編寫密碼應用方案、實施方案和應急處置方案。

       ④方案評審階段

       執行單位：密碼測評機構

       主要目標：密碼專家或密評機構對密碼方案進行評審，密碼應用集成商支持評審過程。

       ⑤實施改造階段

       執行單位：密碼應用集成商

       主要目標：根據密碼應用實施方案，完成密碼應用集成實施工作。

       ⑥合規測評階段

       執行單位：密碼測評機構

       主要目標：評估密碼應用的合規性、正確性和有效性

       ⑦上線應用階段：

       執行單位：信息系統建設方

       主要目標：密評報告向主管部門備案（三級以上系統需向公安部備案），隨后系統上線正式使用。


       三、密碼應用的基本要求

       從密碼應用的管理要求和技術要求來看，國標GB/T 39786相對于現行行標GM/T 0054，總體來講針對技術要求更加規范和合規，如相關密鑰生存周期管理的環節和建議說明做出更全面、細致的規定；另外是相關標準的行業適應性和安全性更強，主要表現在一些標準要求有所放寬，而針對密碼服務、密鑰管理等指標的標準要求有所增強。

       總體的要求還是從密碼算法、密碼技術、密碼產品和密碼服務等方面進行規范，總體要求解讀如下：

       1、密碼算法，條款要求信息系統中使用的密碼算法應當符合法律、法規的規定和密碼相關國家標準、行業標準的有關要求。

       條款的目的是規范密碼算法的選用，要求信息系統應使用國家密碼管理部門或相關行業認可的算法標準。一是保證算法本身的安全性，二是為信息系統的互聯互通提供便利。一般來說，以國家標準或國家密碼行業標準形式公開發布的密碼算法，包括ZUC、SM2、SM3、SM4、SM9等算法；還有為特定行業、特定需求設計的專用算法及未公開的通用算法以及由于國際互聯互通等需要而兼容的其他算法，像銀行為了滿足國際互聯互通等需求而采用符合安全強度要求RSA算法等這三種情況，都是符合滿足該條款的要求的。

       2、密碼技術，條款要求信息系統中使用的密碼技術應遵循密碼相關國家標準和行業標準。

       目的是為了規范密碼技術的使用，要求使用的密碼技術應符合國家或者行業標準規定。密碼技術指實現密碼的加密保護和安全認證等功能的技術，包括密碼算法、密鑰管理和密碼協議等。密碼技術相關的國家和行業標準規定了它在面產品中或不同應用場景下的使用方法，信息系統應當依據相關要求實現所需的安全功能。例如，在GM/T0036-2014電子門禁系統標準中，規定了采用基于SM4等算法的密鑰分散技術實現密鑰分發；在GM/T 0022-2014IPSec VPN標準中，規定了采用SM4等對稱密碼算法、SM2等公鑰密碼算法和SM3等密碼雜湊算法進行保密性保護、身份鑒別和完整性保護的方法。

       3、密碼產品，條款要求信息系統中使用的密碼產品與密碼模塊應通過國家密碼管理部門核準。

       條款的目的是規范密碼產品和密碼模塊的使用。按照商用密碼產品檢測的趨勢，密碼產品（除密碼系統外），不僅要在功能上滿足相關產品標準，還要在自身安全性（安全防護能力）上滿足特定安全等級的要求。在原理上，信息系統的安全等級與選用的密碼產品的安全等級并沒有嚴格對應的關系，密碼模塊等級的選用，應當綜合考慮密碼模塊的安全性及被保護系統和被保護資產的價值等各方面因素。

       4、密碼服務，條款要求信息系統中使用的密碼服務應通過國家密碼管理部門許可。

       條款的目的是規范密碼服務的使用，要求使用國家密碼管理部門許可（或商用密碼認證機構認證合格）的密碼服務。現階段，密碼服務許可的范圍還集中在較為成熟的電子認證服務行業。國家密碼管理局為通過安全性審查的第三方電子認證服務提供商頒發電子認證服務使用密碼許可證，對電子政務電子認證服務機構進行認定；商用密碼認證機構將為認證合格的其他密碼服務頒發相應的認證證書。

       綜合以上的總體要求分析，以下是依據GB/T 39786-2021國標文件里針對第一級到第四級的密碼應用基本要求匯總：

       注：上表中“可”代表可以、允許；“宜”代表推薦、建議；“應”代表應該、只準許。詳細要求請見GB/T 39786-2021源文件。


       四、密碼測評要求與方法

       貫穿整個《信息系統密碼應用基本要求》標準的主線，在進行密評時，測評人員需要對密碼算法、密碼技術、密碼產品和密碼服務進行檢查。在進行具體核查之前，測評人員首先需要確認，在信息系統中，應當使用密碼保護的資產是否采用了密碼技術進行保護。這里的“應”，應該在默認情況下按照GB/T 39786-2021條款要求進行判定；如有不適項，信息系統責任方應當在密碼應用方案中對每條不適用項及不適用原因進行論證。密碼應用方案應在測評活動開展前首先通過評估，開展測評時，測評人員可以參考通過評估的密碼應用方案，對密碼算法、密碼技術、密碼產品和密碼服務進行核查。若信息系統確無密碼應用方案，則需要測評人員對所有不適用項及具體情況進行逐條核查、評估，詳細論證被測信息系統具體的安全需求、不適用的具體原因，以及是否采用了可滿足要求的其他替代性措施來達到等效控制。

       參考文獻：《商用密碼應用與安全性評估》霍煒

       （來源：國密應用研究院公眾號）