一、 前言
2017年《中華人民共和國網(wǎng)絡安全法》開始正式施行�,其中的網(wǎng)絡安全等級保護制度已經(jīng)成為我國網(wǎng)絡安全領域的基本制度���,網(wǎng)絡安全等級測評工作也在全國范圍內(nèi)按照相關(guān)法律法規(guī)和技術(shù)標準要求全面落實實施�。2020年1月《中華人民共和國密碼法》開始正式施行�,商用密碼應用安全性評估也在有序推廣和逐步推進。網(wǎng)絡安全等級測評和密碼應用安全性評估已經(jīng)成為我國網(wǎng)絡運營者必須依法開展的兩項合規(guī)測評活動��。
同時���,我們注意到《中華人民共和國密碼法》第二十七條明確提出��,“商用密碼應用安全性評估應當與關(guān)鍵信息基礎設施安全檢測評估���、網(wǎng)絡安全等級測評制度相銜接,避免重復評估����、測評”。為了落實該項法律要求�����,本文基于等級測評和商用密碼應用安全性評估的關(guān)聯(lián)性分析,提出了兩項測評活動融合實施的操作思路�����,通過實現(xiàn)“一次入場��,同步開展兩項測評”有效提升測評機構(gòu)的測評效率�����,也避免了重復測評給網(wǎng)絡運營者帶來的時間和經(jīng)濟額外成本�����。
二�����、 融合實施的可行性分析
2.1基本概念
網(wǎng)絡安全等級測評是測評機構(gòu)依據(jù)國家網(wǎng)絡安全等級保護制度規(guī)定����,按照有關(guān)管理規(guī)范和技術(shù)標準,對非涉及國家秘密的網(wǎng)絡安全等級保護狀況進行檢測評估的活動���。
商用密碼應用安全性評估是指對采用商用密碼技術(shù)���、產(chǎn)品和服務集成建設的網(wǎng)絡和信息系統(tǒng)密碼應用的合規(guī)性���、正確性、有效性進行評估���。其中的商用密碼是指對不涉及國家秘密內(nèi)容的信息進行加密保護或者安全認證所使用的密碼技術(shù)和密碼產(chǎn)品。
2.2關(guān)聯(lián)性分析
2.2.1 一致性
(1)對象一致性:等級測評與商用密碼應用安全性評估的測評對象都是已定級的信息系統(tǒng)��。
(2)過程一致性:等級測評與商用密碼應用安全性評估都分為四個階段����,包括測評準備、方案編制�、現(xiàn)場測評、分析與報告編制����。
(3)測評方法一致性:在測評方法上兩者都是通過訪談相關(guān)工作人員、安全測試��、查看文檔等方式對系統(tǒng)進行測評���。并且兩者在身份鑒別���、數(shù)據(jù)傳輸和存儲等一些測評內(nèi)容方面有所交集�。
2.2.2 差異性
(1)測評指標:等級測評依據(jù)《GB/T 22239—2019 信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》���,商用密碼安全性評估依據(jù)《GB/T 39786—2021 信息安全技術(shù) 信息系統(tǒng)密碼應用基本要求》�����,兩者的測評指標要求不同�����,具有差異性�。
(2)測評報告:等級測評與商用密碼應用安全性評估的分值計算依據(jù)不同的公式�����,且分數(shù)合格線不同�����,等級測評70分達到合格線�����,商用密碼應用安全性評估60分達到合格線。等級測評結(jié)論分為優(yōu)�����、良���、中�、差����,密碼應用安全性評估的測評結(jié)論則分為符合�、基本符合、不符合等����。
2.3融合可行性分析
通過上述等級測評與商用密碼應用安全性評估的關(guān)聯(lián)性分析可以發(fā)現(xiàn),目標對象����、過程和方法的整體一致性為兩項測評活動的融合奠定了良好的技術(shù)基礎,只要在相關(guān)環(huán)節(jié)中解決好指標和報告引起的活動差異���,如通過合并指標進行統(tǒng)一調(diào)研��,就可以實現(xiàn)“一次入場���,完成兩項測評”����。具體實施思路簡述如下:
1)準備階段:通過對資產(chǎn)調(diào)研表增加密碼產(chǎn)品與服務的相關(guān)調(diào)研內(nèi)容��,將兩者的調(diào)研表融合為一張表����,便于被測評單位梳理統(tǒng)計資產(chǎn),同時考慮等級測評與商用密碼應用安全性評估的工作計劃���,與被測單位確認入場時間和對接人員�����,便于測評方后續(xù)兩項測評工作的開展�����。
2)方案編制階段:結(jié)合前期收集的系統(tǒng)調(diào)研表�,根據(jù)標準要求編制測評方案。由于兩者依據(jù)的標準不同��,等級測評依據(jù)《GB/T 22239—2019 信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》選取指標���,商用密碼應用安全性評估依據(jù)《GB/T 39786—2021 信息安全技術(shù) 信息系統(tǒng)密碼應用基本要求》選取指標�,在確定測評對象�、測評指標上存在差異,需要分別完成等級測評方案���、商用密碼應用安全性評估方案的編制��。
3)現(xiàn)場測評階段:由于兩者在測評內(nèi)容與測評方法有所交集����,所以在現(xiàn)場測評階段���,可對等級保護條款中包含密碼部分的技術(shù)條款同時進行等級測評與商用密碼應用安全性評估的測評工作,以下通過舉例分別簡述各層面的結(jié)合過程��。例如:在對物理環(huán)境安全中的身份鑒別進行測評時����,查看其是否配備電子門禁系統(tǒng)進行身份鑒別����,同時核查采用哪種密碼技術(shù)保障了的身份信息保密性�����;在對應用與數(shù)據(jù)安全的完整性��、保密性進行測評時�����,核查是否對應用的重要數(shù)據(jù)進行加密和完整性保護�,查看其使用了哪種加密技術(shù)保證數(shù)據(jù)傳輸、存儲過程的保密性和完整性����;在對管理類測評時,可按照安全策略-管理制度-操作規(guī)程-記錄表單的結(jié)構(gòu)����,分層次的對兩者進行綜合訪談和查驗。在現(xiàn)場測評中的驗證測試部分��,由于等級測評和商用密碼應用安全性評估的驗證測試的目的不同���,等級測評以發(fā)現(xiàn)漏洞和安全風險為主���,商用密碼應用安全性評估以驗證密碼技術(shù)的有效性為主�����,因此��,兩者分別組織測評工程師進行測試����。
4)分析與報告編制階段:等級測評與商用密碼應用安全性評估在分析上都采用單元測評和整體測評的法進行分析和統(tǒng)計�����,但兩者在量化評估和高風險判定指引方面采用的方法不同�����,因此在此階段需分別完成兩者的風險分析與結(jié)果判定�,最后完成報告編制�。
三、 結(jié)束語
等級測評與商用密碼應用安全性評估的結(jié)合是以合規(guī)為前提�����、提升效率為目標,在測評過程中要始終明確兩者的主旨���,在提高效率的同時應兼顧測評的質(zhì)量����。隨著測評現(xiàn)場情況的不斷變化���,以及不斷出現(xiàn)的新的應用場景�,兩者結(jié)合的方法仍需不斷的完善�,為更好的完成等級測評與商用密碼應用安全性評估工作打下基礎。
等保測評咨詢
