關於密碼測評，你必須瞭解的10個基本問題

當今世界，網路空間已成為繼陸、海、空、天同等重要的人類“第五空間”。網路空間正在加速演變為各國爭相搶奪的新疆域、戰略威懾與控制的新領域、國家安全的新戰場。密碼作為網路空間安全保障和信任機制構建的核心技術與基礎支撐，是國家安全的重要戰略資源，也是國家實現安全可控資訊科技體系彎道超車的重要突破口。

近年來，國內外大規模資料洩露事件頻發，尤其是國際國內安全形勢的變化，使國家、企業和個人層面做好網路與資訊保安的必要性更加突出，對網路與資訊保安要求日趨嚴格, 也對使用密碼技術來保護網路安全也提出了更高要求。但是國內密碼應用形勢並不樂觀。一是應用不廣泛，密碼行業尚處於產業規模化發展的初期階段，許多企業、開發人員密碼應用意識相對薄弱。2018年商用密碼應用安全性評估聯合委員會對一萬餘個等保三級及以上的資訊系統進行普查結果顯示，超過75%的系統沒有使用密碼；二是應用不規範，普查中對第一批118個重要領域的資訊系統進行安全性測評發現，不符合規範的比例達到85%；三是密碼應用不安全，目前仍大量存在還使用被證明不安全的加密演算法（如RSA1024、MD5）的情況。

為解決當前密碼應用存在的突出問題，國家頒佈實施了《網路安全法》、《密碼法》、《網路安全審查辦法》、《國家政務資訊化專案建設管理辦法》等一系列法律法規，都對密碼應用安全性評估提出要求，希望透過密碼應用安全性評估促進商用密碼的使用和管理規範。

商用密碼應用安全性評估（簡稱“密評”）是指對採用商用密碼技術、產品和服務整合建設的網路和資訊系統密碼應用的合規性、正確性和有效性進行評估，包括規劃階段的方案評審和建設、執行階段的安全評估。

那麼，企業在準備密碼測評時，具體需要關注哪些問題，如何才能輕鬆透過？在5月18日，騰訊安全與Freebuf聯合舉行的產業安全公開課上，騰訊安全邀請國家密碼管理局授權全國首家第三方商用密碼檢測機構鼎鉉公司的安全測評部副部長鄒超進行了解讀與分享。

戳影片，觀看專家直播課程回放

密評六大基礎問題解答

Q1：運營單位怎麼判定是否需要開展商用密碼應用安全性評估？

1）《密碼法》第二十七條法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵資訊基礎設施，其運營者應當使用商用密碼進行保護，自行或者委託商用密碼檢測機構開展商用密碼應用安全性評估。2）《商用密碼應用安全性評估管理辦法（試行）》第三條、第二十條涉及國家安全和社會公共利益的重要領域網路和資訊系統的建設、使用、管理單位（以下簡稱責任單位）應當健全密碼保障體系，實施商用密碼應用安全性評估。重要領域網路和資訊系統包括：基礎資訊網路、涉及國計民生和基礎資訊資源的重要資訊系統、重要工業控制 系統、面向社會服務的政務資訊系統，以及關鍵資訊基礎設施、網路安全等級保護第三級及以上資訊系統。第三條規定範圍之外的其他網路和資訊系統，其責任單位可以參考本辦法自願開展商用密碼應用安全性評估。

Q2：重要領域網路和資訊系統有哪些？

基礎資訊網路：電信網、廣播電視網、網際網路。重要資訊系統：能源、教育、公安、測繪地理資訊、社保、交通、衛生計生、金融等涉及國計民生和基礎資訊資源的重要資訊系統。重要工業控制系統：核設施、航空航天、先進製造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要工業控制系統。面向社會服務的政務資訊系統：黨政機關和使用財政性資金的事業單位和團體組織使用的面向社會服務的資訊系統。

Q3：不做密評或測評結果不合格有什麼影響？

《密碼法》第三十七條第一款規定：關鍵資訊基礎設施的運營者違反本法第二十七條第一款規定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導致危害網路安全等後果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。 《國家政務資訊化專案建設管理辦法》第二十八條第三款規定：對於不符合密碼應用和網路安全要求，或者存在重大安全隱患的政務資訊系統，不安排執行維護經費，專案建設單位不得新建、改建、擴建政務資訊系統。《商用密碼應用安全性評估管理辦法（試行）》第二章第十條規定：關鍵資訊基礎設施、網路安全等級保護第三級及以上資訊系統，每年至少評估一次。

Q4：剛接觸商密並不熟，系統要進行商密改造，到底怎麼改，有參考的標準或依據嗎？

目前參考的標準和依據主要是GM/T0054《資訊系統密碼應用基本要求》，其他新建和改造方案要求和指導檔案正在制定中。如果剛接觸商密並不熟，可委託第三方進行方案設計，方案完成後需經過專家論證或者測評機構評審。方案應包含密碼應用設計方案、實施方案和應急方案三部分。

Q5：資訊系統密評如何定級？實施流程怎麼樣？

目前密評系統的定級參照等級保護的系統定級。實施流程主要包括：前期準備，主要是責任單位資訊收集和系統自查，具體時間要根據被測單位準備進度來定；現場測評，測評方案由測評機構根據資訊採集表內容在入場前制定完成，測評方案將於前期準備同步進行。責任單位越重視，負責層級越高，配合程度越高，時間越短；反之，越長。系統規模越大，時間越長；反之，越短。

Q6：取得了商用密碼應用安全性評估報告後應向哪些部門和機構進行備案？

根據現有規定，責任單位取得報告後，被測單位自行上報主管部門及所在地區（部門）密碼管理部門備案，測評機構上報國密局備案；等保三級及以上資訊系統，評估報告還需由被測單位上報至所在地區公安部門備案。

騰訊雲使用者密碼應用答疑

瞭解了鄒超老師對於密碼測評的基礎問題的分享與解讀，那麼騰訊對於雲上客戶在密碼應用和資料加密上能提供哪些幫助呢？

Q1：那麼從技術角度，即應用服務構成和開發運營角度，密碼應用會涉及到哪些具體方面？

在開發運營過程，開發、測試、整合/交付、生產/運營，都存在資料洩露的風險，鏈路長管控難，其中我們需要重點關注兩大內容：敏感憑據，包括雲訪問賬號、配置檔案、系統賬號、原始碼、資料加密金鑰等；資料，包括生產資料、測試資料、運營資料等。從應用服務的構成來看，以一個CS結構的服務為例，涉及客戶端本地資料儲存，客戶端和服務端的通訊，服務端各種配置檔案，服務端相關的儲存中介軟體互動儲存資料，應用上還會涉及到金融支付相關服務，對安全性要求比較高；另外，不同的客戶端可能還需要資料的傳輸和分享。

在這個典型的場景中，資料從產生、傳輸、儲存、處理，到共享展示，涉及多個資料安全保障的點：本地敏感資料儲存安全、網路通道的安全、配置檔案和硬編碼敏感資訊的安全、金鑰的安全管理、雲上資料的儲存安全、金融支付等敏感應用的安全合規問題、資料的共享、展示脫敏的問題等等。

Q2：圍繞雲上資料安全，騰訊安全提供了哪些針對性的解決方案？

騰訊安全已經提供了非常完備的密碼應用解決方案。基於騰訊安全雲資料安全中臺，打造端到端的雲資料全生命週期安全體系。以資料加密軟硬體系統（CloudHSM/SEM）、金鑰管理系統（KMS）、憑據管理系統（SSM）以及雲資料加密代理閘道器（CDEB）為核心，將密碼運算、密碼技術及密碼產品以服務化、元件化的方式輸出，並無縫整合至騰訊雲產品中，實現從資料獲取、資料處理及檢索、資料分析與服務、資料訪問與消費過程中的安全、合規的密碼防護。

針對Q1提到的問題，騰訊雲資料安全中臺提供極簡的解決方案：

以雲加密機，KMS和SecretsMangaer為核心，透過國密TLS，Encryption SDK和雲產品透明加密，解決各個環節的資料安全問題。

Q3：可以從一個案例實踐來具體介紹下嗎？

以疫情服務小程式為例。突如其來的新冠疫情，對資料安全建設提出了更高的要求。騰訊既要滿足疫情服務小程式高效上線，又要各類應用滿足合規要求，確保資訊保安。疫情小程式涉及大量公眾資訊，對國密要求較高，針對這類場景，騰訊安全提供整套的國密改造解決方案。在終端上，使用者透過終端小程式訪問後臺資料，從效能上要求終端快取一些資料，這些資料也包含一些敏感資料，我們提供小程式JS國密開放平臺；在資料傳輸上提供國密級TLS，基於OpenSSL框架實現國密TLS改造,支援雙證書、雙向認證（全鏈路國密需終端支援國密證書校驗）；在應用端，可提供雲資料加密代理網官（CDEB）實現免應用改造欄位級加密，資料動態脫敏，訪問鑑權管控；也可透過應用層內嵌SM Encryption SDK進行資料加密。全資料生命週期的資料安全防護中，透過金鑰管理系統KMS進行統一的金鑰管理，全鏈路支援國密演算法。

Q4：簡單介紹下騰訊安全在資料加密和密碼應用設計的理念？

資料全生命週期防護關鍵點是在資料的產生、流動、儲存、使用及銷燬過程中應用加密技術進行保護，並進行細粒度的身份認證和授權管控。過去密碼技術存在三難——難做、難用、難管。在面向雲、大資料和萬物互聯的時代又面臨諸多新的場景和挑戰。雲上提供完備的覆蓋全資料生命週期的加密基礎設施能力對企業的密碼安全合規至關重要。騰訊雲資料安全中臺的核心使命就是適配多元業務場景，構建基於雲技術的覆蓋資料全生命週期安全的極簡密碼服務，從學術、研究、產業、產品等各個方面共建雲上加密技術應用生態，為使用者提供一個簡單、透明、合規的密碼技術服務平臺。

針對各行業使用者在密碼技術應用，以及合規性設計上的建議：

1、 按照規劃、建設、運營模型實施密碼應用，保證合規性與資料安全性；

2、對於應用系統，檢視是否使用了密碼，是否合規，以及能否起到防護作用；

3、 對於雲使用者，應充分利用雲平臺提供的密碼產品基礎設施，構建合規化密碼服務；

4、對於新建專有云，比如政務雲、金融雲使用者，考慮密碼合規性架構，以及未來租戶側的密碼應用需求，可參考騰訊雲資料安全中臺解決方案。