一文全解商用密码应用安全性评估和国标GB/T 39786

   导读：本文将从全球经济和国家安全发展的背景出发，从密码行业相关法律政策的出台、提出商用密码应用安全性评估要求的原因、密评的主要内容，包括评估对象、评估要求、评估规范文件和标准、密评改造流程、密评评估方法等内容进行全面的答疑。

       随着全球数字经济发展，网络空间逐渐成为战略威慑和控制的新领域、维护经济社会稳定的新阵地以及未来各国军事角逐的新战场，网络安全被纳入国家安全重要战略地位。密码是保障网络安全的核心技术，是构建网络信任的基石。我们利用密码的安全认证、加密保护、信任传递等特性，来消除或控制潜在的“安全危机”，实现被动防御向主动免疫的战略转变。因此，我们要大力发展密码工作、密码事业。

       早在1996年，我国中央政治局常委会展开专题研究商用密码，做出在我国大力发展商用密码和加强对商用密码管理的决定。特别从党的十八大以来，我国商用密码的管理和应用在法制化、规范化基础上，逐渐向科学化、体系化的方向迈进，在依法管理、科技创新、产业发展、应用推广、检测认证等方面实现了跨越式的发展。

       但目前我国还面临着关键信息基础设施安全防护能力依旧薄弱、核心技术仍然受制于人，以及大量信息产品存在着巨大安全隐患的危险局面，因此大力加强密码应用是迫切需要，也是促进密码创新发展、发挥密码功能特性的必然选择。而怎样合规、正确、有效地使用商用密码，如何充分发挥商用密码在保障网络空间安全中的核心技术和基础支撑作用，这就涉及到商用密码应用安全性评估（以下简称“密评”）的问题，开展密评工作是发挥密码作用的必要手段，因此，我国出台相关法律和政策要求要在保证商用密码应用大力推进和普及的同时，做好网络与信息系统的密评工作，确保商用密码应用的合规、正确、有效。


       商用密码应用法律法规政策要求

       一、《中华人民共和国密码法》

       《中华人民共和国密码法》（以下简称《密码法》）按照中央确定的密码管理原则和应用政策，规定了密码应用的主要制度和要求。

       1、强调国家积极规范地促进密码应用，提升使用密码保障网络与信息安全的水平，保护公民、法人和其他组织依法使用密码的权利。

       2、建立商用密码监测认证体系，鼓励从业单位自愿接受商用密码检测认证。

       3、明确关键信息基础设施使用密码和开展密评的要求，规定法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施。自行或委托商用密码检测机构开展密评。

       4、建立安全审查机制，规定对可能影响国家安全的、涉及商用密码的网络产品和服务按照国家安全审查的要求进行安全审查。

       5、规定国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定。

       二、《商用密码管理条例》（修订草案征求意见稿）

       国家建立商用密码应用促进协调机制，加强对商用密码应用的统筹指导。国家机关和设计商用密码工作的单位在其职责范围内负责本机关、本单位或者本系统的商用密码应用和安全保障工作。

       非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，其运营者应当同步规划、同步建设、同步运行商用密码保障系统。

       三、2021年8月发布《关键信息基础设施安全保护条例》

       《关键信息基础设施安全保护条例》（以下简称“《条例》”）明确了在关键信息基础设施保护工作中，依据密码管理法律法规开展有关密码管理工作，充分体现了密码管理在国家网络安全大局中的重要地位和作用。

       第四十二条：“运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的，由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任。”

       第五十条：“.……关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定。”

       该《条例》明确了关键信息基础设施的密码应用要求，压实了网络安全运营者和主管部门有关密码应用和密码安全的主体责任，为密码管理部门开展网络空间密码保护工作，尤其是网路安全检查和安全审查等工作提供了法律依据，同时也为开展密评工作提供了强有力的支撑。

       四、2018年6月《网络安全等级保护条例（征求意见稿）》

       2018年6月27日，《网络安全等级保护条例（征求意见稿）》向社会公开征求意见，其中设置了密码管理专章，明确了网络安全等级保护密码管理的主要思路、方式和手段。第五部分第四十七条非涉密网络应当按照国家密码管理法律法规和标准的要求，使用密码技术、产品和服务。第三级以上网络应当采用密码保护，并使用国家密码管理部门认可的密码技术、产品和服务。

       第三级以上网络运营者应在网络规划、建设和运营阶段，按照密码应用安全性评估办法和相关标准，委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后，方可上线运行，并在投入运行后，每年至少组织一次评估。密评结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。

       《网络安全等级保护条例》在颁布实施后将替代现行的《信息安全等级保护管理办法》，对我国的网络安全等级保护进行规范和管理。届时，国家密码管理局将与公安部等部门密切配合，依法开展密评工作，并修订《信息安全等级保护商用密码管理办法》等配套规章。

       五、《电子认证服务密码管理办法》

       《电子认证服务密码管理办法》主要规定面向社会公众提供电子认证服务应当使用商用密码，明确了申请电子认证服务使用密码许可应当具备的基本条件和程序，对电子认证服务系统的运行和技术改造等做出了规定。同时，要求电子认证服务系统要由具有商用密码产品生产和密码服务能力的单位，按照GM/T 0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》的要求承建，并通过国家密码管理局组织的安全性审查。

       六、2017年12月《政务信息系统政府采购管理暂行办法》

       第八条规定：“采购需求应当落实国家密码管理有关法律法规、政策和标准规范地要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。”

       第十二条：“采购人应当按照国家有关规定组织政务信息系统项目验收，根据项目特点规定完整的项目验收方案。验收方案应当包括项目所有功能的实现情况、密码应用和安全审查情况、信息系统共享情况、维护服务等采购文件和采购合同规定的内容，必要时可以邀请行业专家、第三方机构或相关主管部门参与验收。”

       七、2019年12月《国家政务信息化项目建设管理办法》

       《国家政务信息化项目建设管理办法》对国家政务信息系统的规划、审批、建设、共享和监管做出规定，其中明确规定了多项密码应用有关要求。

       政务信息化项目建设单位应同步规划、同步建设、同步运行密码保障系统并定期进行评估；按要求向发改委备案的备案文件应当包括密码应用方案和密码应用安全性评估报告；

       项目的密码应用和安全审查情况应当作为项目验收的重要内容之一，密评报告应当作为提交验收申请的必要材料；

       对于不符合密码应用和网络安全要求的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统；

       国务院有关部门对密码应用情况实施监督管理，不符合要求的，视情予以通报批评、暂缓安排投资计划、暂停项目建设直至终止项目；

       国务院各部门应当严格按照要求采用密码技术，并定期开展密评工作，确保政务信息系统运行安全和政务信息资源共享交换的数据安全。

       八、公安网1960号文 关于《贯彻等保和关保保护制度指导意见》

       第二部分第六条网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护，并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段，按照密评的管理办法和相关标准，在网络安全等级测评中同步开展密码应用安全性评估。

       九、国办发（2019）57号文国务院办公厅关于印发国家政务信息化项目建设管理办法的通知

       第九条 除国家发展改革委审批或者核报国务院审批的外，其他有关部门自行审批新建、改建、扩建，以及通过政府购买服务方式产生的国家政务信息化项目，应当按规定履行审批程序并向国家发展改革委备案。

       备案文件应当包括项目名称、建设单位、审批部门、绩效目标及绩效指标、投资额度、运行维护经费、经费渠道、信息资源目录、信息共享开放、应用系统、等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容，其中改建、扩建项目还需提交前期项目第三方后评价报告。

       十、财库（2017）210号关于印发《政务信息系统政府采购管理暂行办法》的通知

       第八条 采购需求应当落实国家密码管理有关法律法规、政策和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行安全评估。


       商用密码应用安全性评估的主要内容

       一、评估的主要内容

       商用密码应用安全性评估（简称“密评”）是指采用商用密码技术、产品和服务集成建设的网络与信息系统中，对其密码应用的合规性、正确性和有效性进行评估。（摘自《商用密码应用安全性评估管理办法（试行）》）
因此评估的内容包括密码应用安全三个方面：合规性、正确性、有效性。

       1、合规性评估

       判定信息系统使用的密码算法、密码协议、密钥管理等是否符合法律法规和国家标准、行业标准的有关要求，密码产品和密码服务是否经过国家密码管理部门核准或具备资格的机构认证合格。

       2、正确性评估

       判定信息系统的密码算法、密码协议、密钥管理、密码产品和服务是否正确配置和使用，安全性是否满足要求，密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。

       3、有效性评估

       判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用，是否满足了信息系统的安全需求，是否切实解决了信息系统面临的安全问题。


       二、评估的主要对象

       根据《商用密码应用安全性评估管理办法（试行）》第三条、第二十条：

       设计国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系，实施商用密码应用安全性评估。

       重要领域网络和信息系统包括：基础信息网络、设计国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统、以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

       基础信息网络：电信网、广播电视网、互联网；

       重要信息系统：能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等设计国计民生和基础信息资源的重要信息系统；

       重要工业控制系统：核设施、航天航空、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工控系统；

       面向社会服务的政务信息系统：党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。


       密评的政策法规和规范性文件

       为了规范密评工作，国密局制定印发了《商用密码应用安全性评估管理办法（试行）》、《商用密码应用安全性测评机构管理办法（试行）》、《商用密码应用安全性测评机构能力评审实施细则（试行）》等相关管理文件；同时还组织编制了《信息安全技术信息系统密码应用基本要求》标准、《信息系统密码应用基本要求》标准，以及《信息系统密码测评要求（试行）》、《商用密码应用安全性评估测试过程指南（试行）》、《商用密码应用安全性评估测评作业指导书（试行）》、《商用密码应用安全性评估测评工具使用需求说明（试行）》等指导性文件，主要用于指导测评机构规范有序开展评估工作。

       一、管理文件

       1、《商用密码应用安全性评估管理办法（试行）》

       明确国家和省（部）密码管理部门在密评中的指导、监督和检查职责；明确重要信息系统的建设、使用、管理单位在评估工作中的主体责任；依法培育测评机构，规范评估行为，以评促改、以评促用，形成规范有序的密码应用安全性评估审查机制，并与网络安全等级保护等已有的制作做好衔接。

       2、《商用密码应用安全性测评机构管理办法（试行）》

       确定在试点期间的主要原则，为规范培育商用密码应用安全性测评机构，适用于对测评机构、测评人员及其测评活动的管理与规范。内容包含：明确测评机构的监管主体和基本条件、申请测评机构应提交的材料和申请流程、测评机构的责任和义务，以及法律责任等。

       3、《商用密码应用安全性测评机构能力评审实施细则（试行）》

       通过对申请机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、风险防范能力等进行公平、公正、独立、客观的能力评审，为规范测评机构的建设和管理、提高测评机构能力提供支撑。另外《商用密码应用安全性测评机构能力评审实施细则（试行）》的附件《商用密码应用安全性测评机构能力要求》，对测评机构能力提出了具体要求。主要包括基本情况、人员结构、测评实验室条件、仪器设备条件、测评实施能力、质量管理能力和风险控制能力等方面的要求。


       二、指导性文件

       1、《信息安全技术 信息系统密码应用基本要求》

       2021年3月，国家正式发布国家标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，将于2021年10月1日起实施。该标准在现行的行业标准GM/T0054-2018《信息系统密码应用基本要求》的基础上进行修改完善，并上升为国家标准，进一步突出了其在商用密码应用标准体系中的基础性地位。该标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求,以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。与GM/T0054-2018《信息系统密码应用基本要求》相比,该标准结合近年来商用密码应用与安全性评估工作实践对部分内容进行了优化,按照信息系统安全等级分别提出了相应的密码应用要求。

       2、《信息系统密码应用测评要求》

       依据《中华人民共和国密码法》等法律法规，中国密码学会密评联委会组织编制了《信息系统密码应用测评要求》等5项指导性文件，用于指导、规范信息系统密码应用在规划、建设、运行环节的商用密码应用安全性评估工作。

       文件规定了信息系统不同等级密码应用的测评要求，从密码算法和密码技术合规性、密钥管理安全性方面，提出了第一级到第五级的密码应用通用测评要求；从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个技术层面提出了第一级到第四级密码应用技术的测评要求；从管理制度、人员管理、建设运行和应急处置等四个管理方面提出了第一级到第四级密码应用管理的测评要求。

       3、《商用密码应用安全性评估测试过程指南（试行）》

       本指南详细描述了商用密码应用安全性评估的主要活动和任务，包括测评准备活动、方案编制活动、现场测评活动、分析和报告编制活动，适用于规范商用密码应用安全性测评机构在商用密码应用安全性评估工作中的测评过程。


       密评实施要点分析

       密评工作主要有两个重点内容：一是信息系统规划阶段对密码应用方案的评审/评估；二是建设完成后对信息系统开展的实际测评。下面我们将根据最新的标准文件GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》的要点进行逐一分析。

       一、密评标准体系

密评标准体系

       二、密码应用改造目标及流程

       首先是针对信息系统规划阶段对密码应用方案的评审和评估，这其中涉及到的重要环节就是密码应用方案设计。密码应用方案设计是信息系统密码应用的起点，直接决定信息系统的密码应用是否合规、正确、有效地部署实施，是开展密评工作不可或缺的参考文件。

       依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，对信息系统的规划、建设、运行三个阶段制定密码方案，采用商用密码算法、技术、产品和服务集成建设，确保信息系系统密码应用的合规、正确和有效，使参与评估的信息系统顺利通过密评。

       具体阶段分工：

       ①系统定级阶段：

       执行单位：信息系统建设方

       主要目标：确定信息系统的安全保护等级目标，保证规划、建设、运行阶段按照安全指标落地。

       （注：信息系统所应遵循的密码应用等级，目前是参照等保定级的。信息系统根据GB/T 22240—2020《信息安全技术网络安全等级保护定级指南》完成定级备案后，其密码应用等级也相应确定，即等保定级为第一级的对应第一级密码应用基本要求，等保定级为第二级的对应第二级密码应用基本要求，以此类推。）

       ②应用调研阶段：

       执行单位：密码应用集成商

       主要目标：掌握各个信息系统的密码应用的现状

       ③方案设计阶段：

       执行单位：密码应用集成商

       主要目标：针对已调研的信息系统编写密码应用方案、实施方案和应急处置方案。

       ④方案评审阶段

       执行单位：密码测评机构

       主要目标：密码专家或密评机构对密码方案进行评审，密码应用集成商支持评审过程。

       ⑤实施改造阶段

       执行单位：密码应用集成商

       主要目标：根据密码应用实施方案，完成密码应用集成实施工作。

       ⑥合规测评阶段

       执行单位：密码测评机构

       主要目标：评估密码应用的合规性、正确性和有效性

       ⑦上线应用阶段：

       执行单位：信息系统建设方

       主要目标：密评报告向主管部门备案（三级以上系统需向公安部备案），随后系统上线正式使用。


       三、密码应用的基本要求

       从密码应用的管理要求和技术要求来看，国标GB/T 39786相对于现行行标GM/T 0054，总体来讲针对技术要求更加规范和合规，如相关密钥生存周期管理的环节和建议说明做出更全面、细致的规定；另外是相关标准的行业适应性和安全性更强，主要表现在一些标准要求有所放宽，而针对密码服务、密钥管理等指标的标准要求有所增强。

       总体的要求还是从密码算法、密码技术、密码产品和密码服务等方面进行规范，总体要求解读如下：

       1、密码算法，条款要求信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

       条款的目的是规范密码算法的选用，要求信息系统应使用国家密码管理部门或相关行业认可的算法标准。一是保证算法本身的安全性，二是为信息系统的互联互通提供便利。一般来说，以国家标准或国家密码行业标准形式公开发布的密码算法，包括ZUC、SM2、SM3、SM4、SM9等算法；还有为特定行业、特定需求设计的专用算法及未公开的通用算法以及由于国际互联互通等需要而兼容的其他算法，像银行为了满足国际互联互通等需求而采用符合安全强度要求RSA算法等这三种情况，都是符合满足该条款的要求的。

       2、密码技术，条款要求信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。

       目的是为了规范密码技术的使用，要求使用的密码技术应符合国家或者行业标准规定。密码技术指实现密码的加密保护和安全认证等功能的技术，包括密码算法、密钥管理和密码协议等。密码技术相关的国家和行业标准规定了它在面产品中或不同应用场景下的使用方法，信息系统应当依据相关要求实现所需的安全功能。例如，在GM/T0036-2014电子门禁系统标准中，规定了采用基于SM4等算法的密钥分散技术实现密钥分发；在GM/T 0022-2014IPSec VPN标准中，规定了采用SM4等对称密码算法、SM2等公钥密码算法和SM3等密码杂凑算法进行保密性保护、身份鉴别和完整性保护的方法。

       3、密码产品，条款要求信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。

       条款的目的是规范密码产品和密码模块的使用。按照商用密码产品检测的趋势，密码产品（除密码系统外），不仅要在功能上满足相关产品标准，还要在自身安全性（安全防护能力）上满足特定安全等级的要求。在原理上，信息系统的安全等级与选用的密码产品的安全等级并没有严格对应的关系，密码模块等级的选用，应当综合考虑密码模块的安全性及被保护系统和被保护资产的价值等各方面因素。

       4、密码服务，条款要求信息系统中使用的密码服务应通过国家密码管理部门许可。

       条款的目的是规范密码服务的使用，要求使用国家密码管理部门许可（或商用密码认证机构认证合格）的密码服务。现阶段，密码服务许可的范围还集中在较为成熟的电子认证服务行业。国家密码管理局为通过安全性审查的第三方电子认证服务提供商颁发电子认证服务使用密码许可证，对电子政务电子认证服务机构进行认定；商用密码认证机构将为认证合格的其他密码服务颁发相应的认证证书。

       综合以上的总体要求分析，以下是依据GB/T 39786-2021国标文件里针对第一级到第四级的密码应用基本要求汇总：

       注：上表中“可”代表可以、允许；“宜”代表推荐、建议；“应”代表应该、只准许。详细要求请见GB/T 39786-2021源文件。


       四、密码测评要求与方法

       贯穿整个《信息系统密码应用基本要求》标准的主线，在进行密评时，测评人员需要对密码算法、密码技术、密码产品和密码服务进行检查。在进行具体核查之前，测评人员首先需要确认，在信息系统中，应当使用密码保护的资产是否采用了密码技术进行保护。这里的“应”，应该在默认情况下按照GB/T 39786-2021条款要求进行判定；如有不适项，信息系统责任方应当在密码应用方案中对每条不适用项及不适用原因进行论证。密码应用方案应在测评活动开展前首先通过评估，开展测评时，测评人员可以参考通过评估的密码应用方案，对密码算法、密码技术、密码产品和密码服务进行核查。若信息系统确无密码应用方案，则需要测评人员对所有不适用项及具体情况进行逐条核查、评估，详细论证被测信息系统具体的安全需求、不适用的具体原因，以及是否采用了可满足要求的其他替代性措施来达到等效控制。

       参考文献：《商用密码应用与安全性评估》霍炜

       （来源：国密应用研究院公众号）