作者:公安部信息安全等级保护评估中心 于东升
一、 前言
2017年《中华人民共和国网络安全法》开始正式施行,其中的网络安全等级保护制度已经成为我国网络安全领域的基本制度,网络安全等级测评工作也在全国范围内按照相关法律法规和技术标准要求全面落实实施。2020年1月《中华人民共和国密码法》开始正式施行,商用密码应用安全性评估也在有序推广和逐步推进。网络安全等级测评和密码应用安全性评估已经成为我国网络运营者必须依法开展的两项合规测评活动。
同时,我们注意到《中华人民共和国密码法》第二十七条明确提出,“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评”。为了落实该项法律要求,本文基于等级测评和商用密码应用安全性评估的关联性分析,提出了两项测评活动融合实施的操作思路,通过实现“一次入场,同步开展两项测评”有效提升测评机构的测评效率,也避免了重复测评给网络运营者带来的时间和经济额外成本。
二、 融合实施的可行性分析
2.1基本概念
网络安全等级测评是测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。
商用密码应用安全性评估是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。其中的商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。
2.2关联性分析
2.2.1 一致性
(1)对象一致性:等级测评与商用密码应用安全性评估的测评对象都是已定级的信息系统。
(2)过程一致性:等级测评与商用密码应用安全性评估都分为四个阶段,包括测评准备、方案编制、现场测评、分析与报告编制。
(3)测评方法一致性:在测评方法上两者都是通过访谈相关工作人员、安全测试、查看文档等方式对系统进行测评。并且两者在身份鉴别、数据传输和存储等一些测评内容方面有所交集。
2.2.2 差异性
(1)测评指标:等级测评依据《GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求》,商用密码安全性评估依据《GB/T 39786—2021 信息安全技术 信息系统密码应用基本要求》,两者的测评指标要求不同,具有差异性。
(2)测评报告:等级测评与商用密码应用安全性评估的分值计算依据不同的公式,且分数合格线不同,等级测评70分达到合格线,商用密码应用安全性评估60分达到合格线。等级测评结论分为优、良、中、差,密码应用安全性评估的测评结论则分为符合、基本符合、不符合等。
2.3 融合可行性分析
通过上述等级测评与商用密码应用安全性评估的关联性分析可以发现,目标对象、过程和方法的整体一致性为两项测评活动的融合奠定了良好的技术基础,只要在相关环节中解决好指标和报告引起的活动差异,如通过合并指标进行统一调研,就可以实现“一次入场,完成两项测评”。具体实施思路简述如下:
1)准备阶段:通过对资产调研表增加密码产品与服务的相关调研内容,将两者的调研表融合为一张表,便于被测评单位梳理统计资产,同时考虑等级测评与商用密码应用安全性评估的工作计划,与被测单位确认入场时间和对接人员,便于测评方后续两项测评工作的开展。
2)方案编制阶段:结合前期收集的系统调研表,根据标准要求编制测评方案。由于两者依据的标准不同,等级测评依据《GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求》选取指标,商用密码应用安全性评估依据《GB/T 39786—2021 信息安全技术 信息系统密码应用基本要求》选取指标,在确定测评对象、测评指标上存在差异,需要分别完成等级测评方案、商用密码应用安全性评估方案的编制。
3)现场测评阶段:由于两者在测评内容与测评方法有所交集,所以在现场测评阶段,可对等级保护条款中包含密码部分的技术条款同时进行等级测评与商用密码应用安全性评估的测评工作,以下通过举例分别简述各层面的结合过程。例如:在对物理环境安全中的身份鉴别进行测评时,查看其是否配备电子门禁系统进行身份鉴别,同时核查采用哪种密码技术保障了的身份信息保密性;在对应用与数据安全的完整性、保密性进行测评时,核查是否对应用的重要数据进行加密和完整性保护,查看其使用了哪种加密技术保证数据传输、存储过程的保密性和完整性;在对管理类测评时,可按照安全策略-管理制度-操作规程-记录表单的结构,分层次的对两者进行综合访谈和查验。在现场测评中的验证测试部分,由于等级测评和商用密码应用安全性评估的验证测试的目的不同,等级测评以发现漏洞和安全风险为主,商用密码应用安全性评估以验证密码技术的有效性为主,因此,两者分别组织测评工程师进行测试。
4)分析与报告编制阶段:等级测评与商用密码应用安全性评估在分析上都采用单元测评和整体测评的法进行分析和统计,但两者在量化评估和高风险判定指引方面采用的方法不同,因此在此阶段需分别完成两者的风险分析与结果判定,最后完成报告编制。
三、 结束语
等级测评与商用密码应用安全性评估的结合是以合规为前提、提升效率为目标,在测评过程中要始终明确两者的主旨,在提高效率的同时应兼顾测评的质量。随着测评现场情况的不断变化,以及不断出现的新的应用场景,两者结合的方法仍需不断的完善,为更好的完成等级测评与商用密码应用安全性评估工作打下基础。