商密评估_合规治理_产品＆服务_中检集团天帷信息技术股份有限公司-专注网络安全合规治理服务

密评的概念

商用密码应用安全性评估（简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

密评的对象

《中华人民共和国密码法》中对密码的定义：指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

凡是有“四性四防”需求的，都可以用密码技术解决。

核心密码、普通密码用于保护国家秘密信息；商用密码用于保护“不涉及国家秘密内容的信息”

等保、密评、关基之间的关系

密评的必要性和重大意义

开展密评是维护网络和信息系统密码安全的必然要求；开展密评是我国网络安全严峻形势的迫切需要；开展密评是网络运营者和主管部门必须履行的责任。商用密码应用安全性评估工作，不仅对规范密码应用具有重大意义，同时对维护网络和信息系统密码安全，切实保障网络安全，有效应对各类网络安全风险，也具有不可替代的重要作用。

密评的目标和原则

商用密码应用安全性评估的目标是促进网络运营者履行密码安全责任，建立和完善密码保障系统，提升密码安全防护能力。商用密码应用安全性评估工作的总体原则是“突出重点、夯实责任、全程评估、分类分级、强化监管”。

突出重点

突出重点

对于一般的网络和信息系统，网络运营者可自愿开展；对于涉及国家安全和社会公共利益的重要领域网络和信息系统，网络运营者必须按照要求开展。
夯实责任

夯实责任

网络运营者是商用密码应用安全评估的责任单位，应当健全密码保障系统，并在规划、建设和运行阶段，组织开展密评工作，负主体责任。
全程评估

全程评估

新建的重要领域网络和信息系统，应当在规划、建设、运行三个阶段开展评估；已建成的重要领域网络和信息系统，应当定期开展评估；在特殊紧急情况时，应当开展应急评估。
分类分级

分类分级

安全性评估除了按照通用的密码应用要求实施外，还将对照不同行业的专门标准进行评估；不同的网络和信息系统，依据其划定的网络安全等级或重要程度不同，对应的密码应用要求和评估也不同，从低等级向高等级逐渐增强。
强化监管

强化监管

各地区密码管理部门对本地区重要领域网络和信息系统开展商用密码应用安全性评估的情况进行检查，国家密码管理部门进行抽查，对未按照要求开展评估工作的，或者未按照评估结果按期整改的，应予以处罚。

突出重点

突出重点

对于一般的网络和信息系统，网络运营者可自愿开展；对于涉及国家安全和社会公共利益的重要领域网络和信息系统，网络运营者必须按照要求开展。

夯实责任

夯实责任

网络运营者是商用密码应用安全评估的责任单位，应当健全密码保障系统，并在规划、建设和运行阶段，组织开展密评工作，负主体责任。

全程评估

全程评估

新建的重要领域网络和信息系统，应当在规划、建设、运行三个阶段开展评估；已建成的重要领域网络和信息系统，应当定期开展评估；在特殊紧急情况时，应当开展应急评估。

分类分级

分类分级

安全性评估除了按照通用的密码应用要求实施外，还将对照不同行业的专门标准进行评估；不同的网络和信息系统，依据其划定的网络安全等级或重要程度不同，对应的密码应用要求和评估也不同，从低等级向高等级逐渐增强。

强化监管

强化监管

各地区密码管理部门对本地区重要领域网络和信息系统开展商用密码应用安全性评估的情况进行检查，国家密码管理部门进行抽查，对未按照要求开展评估工作的，或者未按照评估结果按期整改的，应予以处罚。

密评的具体内容

商用密码应用安全性评估主要对物理和环境、网络和通信、设备和计算、应用和数据、密钥管理以及安全管理六个方面进行评估。如下图所示：

GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》

国标结构

密评的基本流程

密码测评过程分为四项基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

商务沟通

确认测评范围签订合同

5-15个

工作日

测评准备

密码测评项目启动信息收集与分析工具和表单准备

2个

工作日

测评方案编制

测评对象和指标确定测评检查点确认测评内容确定测评方案编制

7-15个

工作日

现场测评

现场测评准备现场测评和结果记录结果确认和资料归还

5个

工作日

分析与报告编制

单项测评结果判定单元测评结果判定整体测评风险评估测评结论形成测评报告编制

15-30个

工作日

报告交付

报告盖章发送

5个

工作日

客户意见

反馈满意度调查

1个

工作日

密评各方职责

新建系统的各方职责
已建系统的各方职责

密评项目实施流程

1.与客户沟通，讲明密评的重要性,要求紧密配合;

2.明确测评配合人员、测评时间、密码应用框架和边界;

3.为客户提供一份所需材料的清单;

1.启动会议

1.将解决方案模板提供给客户，由客户提供被测密码应用解决方案;

⒉根据具体项目向客户索要其他有关资料，如定级报告等;

2.客户填写解决方案

1.根据客户提供的解决方案，撰写测评方案;

2.与客户确定被测密码系统的测评对象、测评指标和测评内容，输出最终的测评方案;

3.需经专家或测评机构评审，并明确《基本要求》中“宜”的条款;

3.撰写测评方案

1.掌握被测密码系统的所有详细情况;

2.与客户沟通是否可以使用测评工具;

3.准备测评工具;

4.测评准备

1.分步骤实施所有测评项目;

2.了解系统的真实防护情况，发掘系统存在的密码应用安全性问题;

5.现场测评

1.使用工具对采集数据进行分析;

2.分析系统的安全防护现状与相应等级保护需求之间的差距，分析风险并输出初版测评报告;

3.反复斟酌初版测评报告，确认无误后在项目截止前输出测评报告;

6.分析与编制报告

法律应用政策
常见问题

1.《中华人民共和国密码法》

2020 年1月1日施行的《密码法》填补了密码领域的法律空白，推动密码在网络安全与信息化发展中发挥更大作用。

《密码法》按照中央确定的密码管理原则和应用政策，规定了密码应用主要制度和要求，明确了密码的定义和分类。强调国家积极规范和促进密码应用；建立商用密码检测认证体系，鼓励从业单位自愿接受商用密码检测认证；明确关键信息基础设施使用密码和进行密码应用安全性评估的要求；建立安全审查机制；对采用商用密码技术从事电子政务电子认证服务的机构进行认定。密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。密码分为核心密码、普通密码和商用密码。商用密码用于保护不属于国家秘密的信息。

第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

2.《中华人民共和国网络安全法》

第十条建设、运营网络或者通过网络提供服务，应当维护网络数据的完整性、保密性和可用性。

第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

3.《商用密码管理条例》

第十四条任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。

第三十八条非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，其运营者应当使用商用密码进行保护，制定商用密码应用方案，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

4.《商用密码应用安全性评估管理办法（试行）》

涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系，实施商用密码应用安全性评估，每年至少评估一次。重要领域网络和信息系统包括关键信息基础设施、网络安全等级保护第三级及以上信息系统。

5.《网络安全等级保护条例》

第四条网络运营者在网络建设过程中，应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。

第四十七条非涉密网络应当按照国家密码管理法律法规和标准的要求，使用密码技术、产品和服务。第三级以上网络应当采用密码保护，并使用国家密码管理部门认可的密码技术、产品和服务。

6.《国家政务信息化项目建设管理办法》（国办发〔 2019 〕 57号）

2020 年2月1日施行的《国家政务信息化项目建设管理办法》，是为了规范国家政务信息化建设管理。对国家政务信息系统的规划、审批、建设、共享和监管做出规定，其中明确规定了多项密码应用有关要求。包括备案及备案文件要求，安全监管与评估要求，以及不符合规定的系统需承担的后果等。

其中第九条，国家政务信息化项目需向国家发展改革委备案。备案文件应当包括应用系统、等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容。第二十八条，对不符合密码应用和网络安全要求，或存在重大安全隐患的政务信息系统；不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。第三十条，加强国家政务信息系统的安全监管。按要求采用密码技术，并定期开展密码应用安全性评估，确保政务信息系统运行安全和政务信息资源共享交换的数据安全。

第九条通过政府购买服务方式产生的国家政务信息化项目，应向国家发展改革委备案。备案文件应当包括密码应用方案和密码应用安全性评估报告等内容。

第十五条项目建设单位应当落实同步规划、同步建设、同步运行密码保障系统并定期进行评估。

第二十八条对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

7.《政务信息系统政府采购管理暂行办法》（财库〔 2017 〕 210号）

第八条采购需求应当落实国家密码管理有关法律法规、政策和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。

8.《金融和重要领域密码应用与创新发展工作计划（2018-2022）》的通知

2018年7月25日印发，简称：36号文。明确指出：深化金融领域密码应用、加强基础设施网络密码应用、促进数字经济密码应用、推进信息惠民密码应用、增强密码科技创新和基础支撑能力，共涉及47项重要工作，30个重要领域（基本涵盖全国范围内所有行业）。

1.如何确定被测信息系统密码应用等级？

GB/T 39786—2021中的密码应用等级一般由网络安全等级保护的级别确定。信息系统根据GB/T 22240—2020《信息安全技术网络安全等级保护定级指南》确定等级保护级别时，同步对应确定密码应用等级，即等保定级为第一级的网络与信息系统应遵循GB/T 39786第一级密码应用基本要求，等保定级为第二级的网络与信息系统应遵循GB/T 39786第二级密码应用基本要求，以此类推。对于未完成网络安全等级保护定级的重要信息系统，其密码应用等级至少为第三级。

2.在密评实施中，如何理解和把握“宜”的指标要求？

依据GM/T 0115《信息系统密码应用测评要求》，据信息系统的密码应用方案和方案评估报告/评审意见，决定是否将“宜”的指标要求纳入标准符合性测评范围，具体如下：

（1）若信息系统未编制密码应用方案或在方案中未对“宜”的指标要求做明确说明，则“宜”的指标要求纳入标准符合性测评范围。

（2）若信息系统编制了密码应用方案，且方案通过评估，方案中明确了不适用的“宜”的指标要求项，且有对应的风险控制措施说明的情况下。密评人员在测评时，应根据信息系统的密码应用方案和方案评估报告/评审意见，核实方案中的不适用指标要求项所采用的风险控制措施的适用条件，在实际的信息系统中是否被满足，且信息系统的实施情况与方案中所描述的风险控制措施是否一致，若满足适用条件，该测评指标为“不适用”；若不满足适用条件，则应纳入标准符合性测评范围，进行测评和结果判定。

3.经认证合格的密码产品，《信息系统密码应用测评要求》中“5.2密钥管理安全性”测评是否可以直接判定为“符合”？

不能直接判定为“符合”。信息系统采用经认证合格的密码产品仅仅是密钥管理安全性判定为“符合”的必要条件，还应当对以下内容进行核查：

(1) 该密码产品的安全级别是否满足GB/T 39786 相应等级的要求，如GB/T 39786第三级的信息系统应当采用满足GB/T 37092第二级及以上安全要求的密码产品；

(2) 由密码产品产生的密钥在该密码产品外部进行管理，是否进行了相应保护，如密钥在外部数据库中存储/备份/归档时是否进行了机密性和完整性保护；

(3) 该密码产品是否按照产品配套的安全策略文档进行部署和使用，信息系统的密钥管理制度是否能够保证该密码产品被正确地部署和使用等。

4.如何确定该层面的测评对象？对于系统部署在非被测系统单位管辖范围之内的情况，如运营商机房、云服务提供商机房、其他单位或部门管辖的机房等，在物理和环境安全层面应如何判定该指标的适用性？如何开展密评？

物理和环境安全层面的测评对象为被测信息系统所在的物理机房，具体为物理机房的电子门禁系统和视频监控系统。

如果被测信息系统所在的物理机房采用多区域部署或被测信息系统重要资产分布在不同的物理机房中，那么针对该信息系统涉及的所有物理机房均应作为测评对象进行测评，密评人员需现场取证。

针对被测信息系统部署在被测系统单位管辖范围之外的情况，物理和环境安全层面仍然适用，即需要针对该安全层面进行测评。如果被测信息系统所在的IDC机房、运营商机房或云服务提供商机房等通过了商用密码应用安全性评估，则可以复用商用密码应用安全性评估报告中“物理和环境安全”层面的相关测评结论；如果被测信息系统所在的IDC机房、运营商机房或云服务提供商机房等未通过或未开展商用密码应用安全性评估，密评人员需现场取证，对于条件不允许的情况，可以要求IDC机房或云服务提供商机房等的运维方提供相关说明文件和证据以支撑测评结论。

5.如何确定网络和通信安全层面的测评对象？

网络和通信安全层面的测评对象主要是针对跨网络访问的通信信道，这里的跨网络访问指的是从不受保护的网络区域访问被测系统。

可以从通信主体和网络类型两个方面来确定网络和通信安全层面的测评对象：

(1) 网络类型：这里主要依据网络之间是否相对独立进行分类，如互联网、政务外网、企业专网等；

(2) 通信主体：指的是参与通信的各方，典型的如客户端与服务端。例如，PC机上运行的浏览器与服务器上运行的web服务系统，移动智能终端上运行的APP与服务器上运行的应用系统；也可以是服务端与服务端，例如，IPSec VPN与IPSec VPN之间。

6.如何确定设备和计算安全层面的测评对象？

设备和计算层面的测评对象主要包括通用服务器（如应用服务器、数据库服务器）、数据库管理系统、整机类和系统类的密码产品、堡垒机（当系统使用堡垒机用于对设备进行集中管理时，不涉及应用和数据安全层面）等。

交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备一般不作为设备和计算安全层面的测评对象。需要注意若存在管理通道跨越边界的情况，需在网络和通信安全层面梳理一条远程管理数据传输通道作为测评对象。

建议在密评报告中，对设备和计算层面的测评对象进行分类整理和描述。至少分为密码产品/设备、具有密码功能的网络及安全设备、采用密码技术的其他产品、通用设备、不具有密码功能的网络及安全设备、虚拟设备和系统。

7.合规密码产品的“身份鉴别”“系统资源访问控制信息完整性”“日志记录完整性”“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全层面的指标，应该如何测评？

在确认密码产品具有合格的商用密码产品认证证书，且可以确定实际部署的密码产品与获认证产品一致的情况下，考虑到密码产品功能确定且自身安全防护能力较高，针对整机类密码产品的“系统资源访问控制信息完整性”“日志记录完整性”“重要可执行程序完整性、重要可执行程序来源真实性”这三个设备和计算安全层面的指标，可判定为符合。

但是，针对整机类密码产品的“身份鉴别”指标不能直接判定为符合，还需要进一步实地查看密码产品是否采用了密码技术（如智能IC卡、智能密码钥匙、动态口令等）对登录设备的用户等进行身份鉴别，从而保证用户身份的真实性。

8.如何确定应用和数据安全层面的测评对象？

应用和数据安全层面的测评对象应包含关键业务应用，具体参考通过专家评审后的密码应用方案设定的范围确定。如无密码应用方案，应根据网络安全等级保护定级报告描述的范围确定。关键业务应用一般情况下应包含被测系统的所有业务应用，关键业务应用中的关键数据一般包含但不限于以下数据：鉴别数据、重要业务数据、重要审计数据、个人敏感信息以及法律法规规定的其他重要数据类型。

9.在依据GB/T 39786—2021 9.7 a)条款密评时，密码应用方案该如何理解？

对于已建信息系统，其密码应用方案并不追溯到系统最初规划时的方案，该信息系统根据相关标准、密码应用需求以及前期密评的整改建议，制定的密码应用改造方案可视为该系统的密码应用方案。后续，即可依据GM/T 0115《信息系统密码应用测评要求》的相关要求进行判定。需要说明的是，对于新建信息系统，除依据GM/T 0115进行符合性判定外，还应按照《信息系统密码应用高风险判定指引》进行风险评价。