密码测评介绍
密码测评概述
密评规划阶段
密评建设阶段
密码测评
运行与维护阶段
密码测评概述
什么是密码测评?
• 商用密码应用安全性评估(简称“密评”)是指对采用商
用密码技术、产品和服务集成建设的网络和信息系统密码
应用的合规性、正确性、有效性进行评估。
• 根据《国家政务信息化项目建设管理办法》《商用密码应
用安全性评估管理办法(试行)》等相关要求,政务信息
系统在规划阶段、建设阶段和运行阶段均须开展商用密码
应用安全性评估(以下简称“密评”)。
密码的作用
加密技术(公钥算法、对称算法)
加密技术(对称算法、公钥算法)
、静/动态口令、生物特征。
数字签名、可信时间戳、数字证书
密码杂凑、数字签名、消息鉴别
码(MAC)
标题
机密性 完整性
真实性
不可否
认性
密评涉及的商用密码算法
商用密码
那些系统需要进行密评
• 《密码法》第二十七条
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设
施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开
展商用密码应用安全性评估。
• 《商用密码应用安全性评估管理办法(试行)》第三条、第二十条
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理
单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性
评估。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信
息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,
以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿
开展商用密码应用安全性评估。
那些系统需要进行密评
基础信息网络:电信网、广播电视网、互联网。
重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生
计生、金融等涉及国计民生和基础信息资源的重要信息系统。
重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管
网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位
和团体组织使用的面向社会服务的信息系统。
等保三级及以上系统
不做密评或测评结果不合格有什么影响?
• 《密码法》第三十七条第一款规定:关键信息基础设施的运营者违反本法第二
十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码
应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致
危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管
人员处一万元以上十万元以下罚款。
• 《国家政务信息化项目建设管理办法》第二十八条第三款规定:对于不符合密
码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行
维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
密码测评对项目的影响
未通过密评的政务信息系统,项目建设单位针对评估中发现的安全问题及时整改,
整改完成后可请密评机构进行复评,更新评估结果。仍未通过的,不得通过项目
验收。
等保与密码
密评的主要标准文件
《商用密码应用安全性评估管理
办法》
GB/T39786-2021《信息安全技术
信息系统密码应用基本要求》
GM/T0054《信息系统密码应用基
本要求》
基本要求
信息安全技术 信息系统密码应用
设计技术要求 (征求意见稿)
《政务信息系统密码应用与安全性
评估工作指南2020版》
上海市电子政务云政务移动办公信
息系统密码应用建设指南(暂行)
设计
《GMT 0115-2021 信息系统密码应用
测评要求》
《商用密码应用安全性评估测评过程
指南(试行)》
《商用密码应用安全性评估测评作业
指导书(试行)》
《信息系统密码应用高风险判定指引
(2021)》
《商用密码应用安全性评估量化评估
规则(2021)》
《商用密码应用安全性评估报告模板
(2021版)》
测评
GB/T39786-2021《信息安全技术信息系统密码应
用基本要求》介绍
密码定级
密码定级等同采用等级保护级别
对S2A3、S3A2采用“就高不就低”原则密码等级为三级
第三级别要求基本指标
第三级别要求基本指标
“宜”的条款“不适用”的理由
• 保护对象不存在或安全需求不存在。例如信息系统不对信
息资源设定安全标记,则自然不需要遵循“应采用密码技
术保证设备中的重要信息资源安全标记的完整性”。
• 限于技术、管理、业务、环境上的条件约束,难以甚至无
法采用密码技术。对于这类情况,要详细说明客观原因和
密码技术以外的风险控制措施。
测评那些内容
密码产品 密码算法
密评实施中各方分工
1. 编制政务信息系统密码应用方
案,并委托密评机构对密码应
用方案进行密评。
2. 在系统建设阶段,要求并监督
系统集成单位按照通过密评的
密码应用方案建设密码保障系
统,并在建设完成后,委托密
评机构对系统开展密评。
3. 政务信息系统投入运行后,委
托密评机构定期对系统进行密
评。
建设单位和使用单位
严格按照通过密评的密码应用方案
开展工程实施、建设密码保障系统。
系统集成单位
密评机构负责对政务信息系统的密码
应用方案进行密评,并对政务信息系
统开展密评。
密评机构
密码测评规划
密码测评规划
现状和需求分析
• 总体要求:项目建设单位需从物理和环境安全、网络和通
信安全、设备和计算安全、应用和数据安全等四个层面采
用密码技术措施,建立安全的密钥管理方案,并采取有效
的安全管理措施,对政务信息系统进行保护。
• 政务信息系统采用电子认证服务的,项目建设单位需选择
具有电子政务电子认证服务资质的机构
电子政务电子认证服务资质
• 机构目录可通过访问“国家密码
管理局官方网站-在线服务-行政
审批结果查询”获取
密码应用技术
方案设计
方案总体设计
密码应用需求
安全风险及
控制需求
系统现状分析
密码管理方
案设计
密钥管理方案
设计
安全与合规
性评审
密码应用解决方案设计流程
编制密码应用方案
密码应用方案,应包括
密码应用解决方案、实
施方案、应急处理方案
三个方面。
主要内容
区域名称 部署设备
互联网区 移动密码模块(二级)
网络接入区 IPSecVPN网关、安全认证网关、签
名验签服务器
基础设施区 电子签章系统、时间戳服务器、数字
证书认证服务器
业务服务区 SSLVPN网关、服务器密码机、
USBKEY
安全管理区 SSLVPN网关
终端区 安全浏览器、USBkey
环境监控区 服务器密码机
选择的密码产品应有国家密码管理局的相关资质。
方案评估
• 方案可参考《TGDCCA 0001-2022 信息系统密码应用方案
评估规范 》进行评审
• 密码应用方案通过密评是项目立项的必要条件。
• 明确密码测评的等级
测评机构选择
测评机构24+36家
测评时间大概一周,具体时间还要根据信
息系统数量及信息系统的规模,以及测评
方与被测评方的配合情况等有所增减。
密码建设阶段
通用高风险项
分类 安全问题
密码算法
1、采用存在安全问题或安全强度不足的密码算法对重要数据进行保护,如MD5、DES、SHA-
1、RSA(不足2048比特)等密码算法;
2、采用安全性未知的密码算法,如自行设计的密码算法、经认证的密码产品中未经安全性
论证的密码算法。
密码技术
1) 采用存在缺陷或有安全问题警示的密码技术,如、、、等
2) 采用安全性未知的密码技术,如未经安全性论证的自行设计的密码通信协议、经认证的密
码产品中未经安全性论证的密码通信协议等。
密码产品
和密码服务
1)采用自实现且未提供安全性证据的密码产品;
2)采用存在高危安全漏洞的密码产品,如存在Heartbleed漏洞的OpenSSL产品;
3)密码产品的使用不满足其安全运行的前提条件,如其安全策略或使用手册说明的部署条件;
4)选用的密码服务提供商不具有相关资质;
5)存在密钥管理相关安全问题(参见附录A)。
门禁和视频系统
• 采用符合密评的门禁和视频系统
• 缓解做法基于生物识别技术(如指纹等)对进入人员进行
身份鉴别;重要区域出入口配备专人值守并进行登记,且
采用视频监控系统进行实时监控等。
网络通信
分类 实施内容
身份鉴别
信息系统与网络边界外建立网络通信信道时,采用动态口令机制、基于对称密码算法
或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码
技术对通信实体进行身份鉴别(第二级和第三级)/双向身份鉴别(第四级)。
通信中重要数
据的机密性
采用有商用密码产品认证证书的密码产品对数据进行加解密
安全接入认证 采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公
钥密码算法的数字签名机制等密码技术对从外部连接到内部网络的设备进行接入认证
应用系统
身份鉴别
采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公
钥密码算法的数字签名机制等密码技术对登录设备的用户进行身份鉴别;
或基于特定设备(如手机短信验证)或生物识别技术(如指纹)保证用户身份的真实性。
远程管理通道
远程管理设备时,未采用密码技术建立安全的信息传输通道。
或搭建了与业务网络隔离的管理网络进行远程管理;
或在“网络和通信安全”层面使用SSLVPN网关/IPSecVPN网关等建立集中管理通道,且使
用的密码技术符合要求。
重要数据传输
机密性
采用密码技术的加解密功能对重要数据在传输过程中进行机密性保护
重要数据存储
机密性
采用密码技术的加解密功能对重要数据在存储过程中进行机密性保护
重要数据存储
完整性
采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数
字签名机制等密码技术对重要数据在存储过程中进行完整性保护;
或系统具有符合要求的身份鉴别措施,保证只有授权人员才能访问应用系统的重要数据,且定
期对重要数据进行备份
不可否认性
在可能涉及法律责任认定的应用中,未采用基于公钥密码算法的数字签名机制等密码技术对数
据原发行为和接收行为实现不可否认性;
管理制度
1. 建立与密码应用安全管理活动相关的管理制度,且管理制
度于当前被测信息系统相符。
2. 制度内容至少包含密码设计、 建设、 运维、 人员、 设备、
密钥等 6 个方面
3. 规划阶段制定密码应用方案且密码应用方案通过评审。
密码测评
测
评
一
般
流
程
1. 单次评估周期一般在一个月
左右
2. 评估通过后,密评机构将出
具《密码应用安全性评估报
告》
3. 基本流程跟等保测评流程一
致,一般会有个首次会和末
次会
测评风险规避
a)签署委托测评协议
b)签署保密协议
c)现场测评工作风险的规避
d)测评现场还原
一测评准备
主要任务:完成测评对象,
测评指标分析,确定测评内
容,为现场实施做好准备。
测评准备内容
1.按照测评单位要求提供各类文档,
各家测评单位需要的文档略有差
异。
2.必有的是密码产品和支持的密码
算法介绍
测评指标确定
• 测评指标来源于国家对密码测评的基本要求。
• 依据被测评单位要求、被测系统的实际安全需求以及安全最佳实践经验。
现场测评
依据测评指导书进行测评,指
导书内容类似左图
测试示例-应用和数据安全-真实性
(1)产品合规性
(2)算法、协议的合规性
1)身份鉴别使用的密码算法
2)身份鉴别使用的密码协议
3)是否调用密码设备进行密码运算
测试示例-应用和数据安全-真实性
• 客户端数据包分析
测试示例-应用和数据安全-真实性
• 服务端数据包分析(应用服务
器与签名验签服务器)
• 1)验证用户数字证书
• 2)验证用户签名值
测试示例-应用和数据安全-真实性
• 服务端数据分析(应用服务器
与签名验签服务器)
• 1)验证用户数字证书
• 2)验证用户签名值
整体测评环节
• 在单元测评完成后,如果信息系统的某个测评单元的结果判定存在不符合或部
分符合,应进行单元间测评,重点分析信息系统中是否存在单元间的相互弥补
作用。
• 在单元测评完成后,如果信息系统的某个测评单元的结果判定存在不符合或部
分符合,应进行层面间测评,重点分析信息系统中是否存在层面间的相互弥补
作用。
密码应用安全性评估报告中应对整体测评之后单元测评结果中的不符合项或部
分符合项进行风险分析和评价
整体测评环节
“部分符合”及“不符合”要求的单个测评项,与其他测评项的关联分析
“部分符合”及“不符合”要求的单个测评项,与其他层面的关联分析
“部分符合”及“不符合”要求的单个测评项,与其他区域的关联分析
从安全角度分析被测系统整体结构的安全性,从系统角度分析被测系统整体安
全防范的合理性
量化评估要求
测评报告
测评结论
a)符合:信息系统中未发现安全问题,测评结果中所有单元测评结果中部分符合
和不符合项的统计结果全为0,综合得分为100分;
b)基本符合:信息系统中存在安全问题,部分符合和不符合项的统计结果不全为0
,但存在的安全问题不会导致信息系统面临高等级安全风险,且综合得分不低于
阈值;(一般量化评估大于60分且无高风险)
c)不符合:信息系统中存在安全问题,部分符合项和不符合项的统计结果不全为0
,而且存在的安全问题会导致信息系统面临高等级安全风险,或综合得分低于阈
值。
报告提交
• 通过评估的密码应用方案与密评机构出具的《密码应用安
全评估报告》上报主管部门及当地密码管理部门审核,测
评机构上报国密局备案;
• 等保三级及以上信息系统,评估报告还需由被测单位上报
至所在地区公安部门备案。
密码运行与维护
日常维护
• 定期开展密评,可与关键信息基础设施安全检测评估、网
络安全等级测评等工作统筹考虑、协调开展。
• 《商用密码应用安全性评估管理办法(试行)》第二章第
十条规定:关键信息基础设施、网络安全等级保护第三级
及以上信息系统,每年至少评估一次。
• 当系统发生密码相关重大安全事件、重大调整或特殊情况
时组织评估。
参考资料
1. 信息产业信息安全测评中心《商用密码应用安全性评估要求及实践》
2. 鼎铉商用密码测评技术(深圳)有限公司《信息系统密码应用设计、改造与评估》
3. 商密君 夏鲁宁 马原 郑昉昱《深度解读密评新国标GB/T39786-2021》
