2019年颁布的《密码法》提出,相关单位需要进行信息系统密码应用安全性评估的要求。《密码法》出台以来,“密评”相关的法律法规与标准规范配套日趋健全,“以评促改”的基调已经确定。小编认为,2024年将是市场需求得到验证、实现的关键年份。本次为大家带来“密评”相关的研究分享。“密评”是什么?
“密评”的全称为“商用密码应用安全性评估”,指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。所谓商用密码,是指用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务,它被社会团体、组织、企事业单位和个人广泛采用。如果测评机构在“密评”过程中发现了不合格的环节,被测系统的运营者就需要进行相应的商用密码应用改造,即进行“密改”,以确保被测系统满足商用密码应用的安全性要求。“密评”的主要政策文件有哪些?
1. 法律与法规
法律层面,《中华人民共和国密码法》由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过,并于2020年1月1日起开始正式施行,目前已经成为我国在密码领域最为核心的法律。有关商用密码的应用,《密码法》第二十七条明确规定,“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”
行政法规层面,最初发布于1999年的《商用密码管理条例》已经于2023年4月14日由国务院第4次常务会议修订通过,并于2023年7月1日起开始正式施行。修订后的《商用密码管理条例》对《密码法》提出的有关商用密码应用的指导做出了进一步细化要求。该条例指出,“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估”。与此同时,《密码法》第二十七条还指出,“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评”。相对应的,公安部于2018年6月27日发布的《网络安全等级保护条例(征求意见稿)》中提到,“第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估”;而国务院于2021年7月30日公布的《关键信息基础设施安全保护条例》,也就运营者对关键信息基础设施的安全保护的责任义务做出了相应的规定。可以说,在商用密码应用领域,我国在法律法规层面已经围绕《密码法》形成了较为完整的顶层建设。此外,我国众多的现行法律,如《网络安全法》、《数据安全法》、《个人信息保护法》、《电子签名法》、《反恐怖主义法》中也涉及一些与密码和信息保护有关的相关规定。为推动信息系统密码应用与检测工作的落地,已在国家与行业层面制定了多项标准。2018年,在《密码法》颁布之前,国家密码管理局就为指导当时即将启动的商用密码应用安全性评估试点工作,发布了行业标准《信息系统密码应用基本要求》(GM-T 0054-2018)。2021年3月9日,在这一行标的基础上,为进一步指导、规范信息系统密码应用的规划、建设、运行及测评,国家市场监督管理总局与国家标准化管理委员会发布了《信息安全技术 信息系统密码应用基本要求》(GB-T 39786-2021),并于2021年10月1日起开始正式施行。2023年9月7日,为对信息系统密码应用方案的设计做出具体指导,国家市场监督管理总局与国家标准化管理委员会,又在该要求的基础上,进一步制定发布了《信息安全技术 信息系统密码应用设计指南》(GB-T 43207—2023),并于2024年4月1日起开始正式施行。与之配套的,国家密码管理局于2023年12月6日公布了《信息系统密码应用实施指南》(GM-T 0132-2023),对信息系统密码应用的规划、建设、运行及终止阶段的实施过程及主要活动做出了相应的指导和建议,该指南计划将于2024年6月1日起开始正式施行。信息系统密码应用的测评工作,则主要由《信息系统密码应用测评要求》(GM-T 0115-2021)指导。该标准最初由国家密码管理局于2021年10月18日公布,并于2022年5月1日起开始正式施行。该文件规定了信息系统不同等级密码应用的测评要求,给出了整体测评、风险分析和评价、测评结论等测评环节的要求。在该行标基础上制定的国家标准《信息安全技术 信息系统密码应用测评要求》(GB-T 43206-2023),由国家市场监督管理总局与国家标准化管理委员会于2023年9月7日发布,并于2024年4月1日起开始正式施行。除此之外,与“密评”工作相关的指导标准还包括,国家密码管理局于2021年11月公布的《信息系统密码应用测评过程指南》(GM-T 0116-2021),以及中国密码学会密评联委会于2020年12月公布的《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》与《商用密码应用安全性评估报告模板》。其中,《信息系统密码应用测评过程指南》对“密评”的工作流程与具体任务做出了整体规范;《商用密码应用安全性评估量化评估规则》规定了各项测评指标的量化打分标准;《信息系统密码应用高风险判定指引》规定了被测系统会被判定为存在高风险的情况;《商用密码应用安全性评估报告模板》则提供了“密评”报告的规范模板。以上提及的与“密评”工作相关的规范文件,在下表中进行了总结:3. 其他文件
在以上提及的各项法律法规与标准规范的基础上,为依法规范推动“密评”工作,国家密码管理局也以公告形式颁布了一系列管理办法。2023年9月26日,国家密码管理局公布了《商用密码检测机构管理办法》(2023年第2号),该办法对国家密码管理局在2021年6月21日更新的《商用密码应用安全性评估试点机构名录》中列示的48家商用密码检测机构的资质认定和监督管理做出了详细安排。同日,国家密码管理局还公布了《商用密码应用安全性评估管理办法(试行)》(2023年第3号),统筹细化了商用密码应用安全性评估的对象范围、责任主体、工作原则、程序内容、实施规范等规定。以上两个管理办法,已经于2023年11月1日起开始正式施行。此外,国家密码管理局还就“等保”工作中可能涉及的商用密码应用部分,对2007年发布的《信息安全等级保护商用密码管理办法》(2007年第11号)发布了新的实施意见,该意见明确了“第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行”,并对密码测评的内容进行了说明与规定。
由于在信息系统密码应用中,针对具体的场景,会涉及大量不同的密码技术与密码产品。为了进一步规范不同技术与产品在特定信息系统中的应用,近年来密码行业标准化委员会也制订并发布了一批应用技术要求和指南。这些文件涵盖了云服务器密码机、电子签章、浏览器数字证书、时间戳、智能IC卡、区块链、云计算等一系列在商用密码应用中常见的密码技术,供各行业领域信息系统责任单位参考。除了以上由国家密码管理局及相关单位制定发布的文件外,国家各部委也对密码在不同行业信息系统中的应用出台了大量的行业指导性文件,如国务院办公厅下发的《国家政务信息化项目建设管理办法》、国务院国资委下发针对“信创”的2022年第79号文件、国家卫健委下发的《医疗卫生机构网络安全管理办法》、人民银行下发的《金融领域信息系统国产密码改造基线要求》。“密评”的被测对象有哪些?
《信息安全技术 信息系统密码应用基本要求》、《商用密码应用安全性评估管理办法》、《商用密码管理条例》等文件都对应当参加“密评”的对象进行了相关规定,即涉及国家安全和社会公共利益的重要领域网络和信息系统都要需要进行商用密码应用的安全性评估。具体而言,这些重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统。其中:
基础信息网络:包括电信网、广播电视网、互联网;
涉及国计民生和基础信息资源的重要信息系统:包括能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统;
重要工业控制系统:包括核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统;
面向社会服务的政务信息系统:包括党政机关和使用财政性资金的事业单位和团体组织使用的、面向社会服务的信息系统。
与此同时,《密码法》也与《信息安全等级保护管理办法》、《关键信息基础设施安全保护条例》相互配合,对网络安全等级保护第三级及以上信息系统,以及关键信息基础设施的商用密码应用安全性评估提出了要求。其中,等保三级信息系统指“信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的信息系统”,而关键信息基础设施是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破环、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。所有以上提及信息系统的运营者,都应当使用商用密码对系统进行保护,通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估。“密评”的核心要求是什么?
“密评”的核心要求在《信息安全技术 信息系统密码应用基本要求》中做了详细的规定。该文件将信息系统密码应用的基本要求分为五级,每一级又分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面提出了密码应用的技术要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了密码应用的管理要求。对于以上提及的八个方面,就第一到第四级的信息系统,该文件又详细划分了具体需要评估的项目,以及各项目需要达到“应”、“宜”或“可”的不同要求。“密评”的具体项目/分值如下所示:管理要求(共30分)
- 管理制度:具备密码应用安全管理制度,密钥管理规则,建立操作规程,定期修订安全管理制度,明确管理制度发布流程,制度执行过程记录留存;
- 人员管理:了解并遵守密码相关法律法规和密码管理制度,建立密码应用岗位责任制度,建立上岗人员培训制度,定期进行安全岗位人员考核,建立关键岗位人员保密制度和调离制度;
- 建设运行:制定密码应用方案,制定密钥安全管理策略,制定实施方案,投入运行前进行密码应用安全性评估,定期开展密码应用安全性评估及攻防对抗演习;
- 应急处置:应急策略,事件处置,向有关主管部门上报处置情况。
技术要求(共70分)
物理和环境安全(10分):身份鉴别,电子门禁记录数据存储完整性,视频监控记录数据存储完整性,密码服务资质,密码产品认证;
网络和通信安全(20分):身份鉴别,通讯数据完整性,通讯过程中重要数据的机密性,网络边界访问控制信息的完整性,安全接入认证,密码服务资质,密码产品认证;
设备和计算安全(10分):身份鉴别,远程管理通道加安全,系统资源访问控制信息完整性,重要信息资源安全标记访完整性,日志记录完整性,重要可执行程序完整性和来源真实性,密码服务资质,密码产品认证;
应用和数据(30分):身份鉴别,访问控制信息完整性,重要信息资源安全标记完整性,重要数据传输与存储的机密性与完整性,不可否认性,密码服务资质、密码产品认证。
在实际执行过程中,各项目的量化评估结果根据《商用密码应用安全性评估量化评估规则》来判定。若整体量化评估结果为100分,则判定被测信息系统符合《信息系统密码应用基本要求》的相应等级要求;若结果低于100分但不低于60分,且经风险评估发现没有高风险,则判定被测信息系统基本符合相应等级要求;否则,判定被测信息系统不符合相应等级要求。其中,会导致“一票否决”的系统高风险,在《信息系统密码应用高风险判定指引》中做出了明确的规定。“密评”的工作流程是什么?
“密评”工作由国家密码管理局指定的商用密码应用安全性评估机构承担。2020年7月29日,国家密码管理局公布了第一批共24家《商用密码应用安全性评估试点机构目录》,并于2021年6月11日将试点机构的数目拓展至48家。2024年3月26日,国家密码管理局正式发布了第一批共155家《通过商用密码检测机构资质申请材料审查的机构名单》。这些机构由国家密码管理局根据《商用密码检测机构管理办法》进行管理,在《信息安全技术 信息系统密码应用基本要求》、《信息系统密码应用测评过程指南》等文件的指导依规开展“密评”工作。相关工作人员会根据被测系统的定级情况,审查系统密码应用设计方案或系统安全设计方案中,密码应用设计部分的密码防护措施,是否满足密码使用要求或规定。具体而言,“密评”的工作流程主要包括以下四个环节,依次为:测评机构为开展测评进行前期的准备性工作。由网络运营者提供或填写系统信息调研表,帮助测评机构了解并熟悉被测系统的实际情况,根据调研信息,分析调查结果,及时完善调研内容,同时准备好测评所需的各项工具。测评机构制定测评的具体方案。根据被测系统的定级情况,测评机构选择相应等级的基本要求项作为测评指标,并根据系统的实际情况确定适用的资产对象、测评指标、工具接入点等,并编制成详细的密码测评方案。测评机构依据测评方案开展现场测评工作。通过访谈、配置核查、工具测试、实地察看、文档审查等手段,获取被测系统边界内所有实现密码算法、密码技术、密码产品、密码系统使用的实际情况,并对测评结果进行记录和确认。测评机构分析测评记录并完成报告。在现场测评工作完成后,测评机构会对现场测评的记录进行分析,依据《商用密码应用安全性评估量化评估规则》对测评项目进行打分,依据《信息系统密码应用高风险判定指引》对高风险进行判定,综合整体测评结果,最后依据《商用密码应用安全性评估报告模板》编制测评报告。“密改”厂商的角色是什么?
先前提到,如果在“密评”过程中测评机构发现了不合格以及需进一步提高的环节,被测系统的运营者则需要对其进行相应的商用密码应用改造,即进行“密改”,以确保被测系统满足商用密码应用安全性的评估要求。从密码产业链的上下游看,“密改”带来的市场机会,主要由下游应用层的密码厂商所占有。一众密码领域的上市公司以及创业企业,正积极为以政府、金融、国央企为代表的各类客户提供国密合规改造的解决方案。具体来说,“密改”厂商为客户提供的服务主要包括以下三个方面:
商用密码应用方案设计
对被测系统当前商用密码的应用情况进行评估与风险排查,确认现状与相关标准的差距,然后结合客户系统的实际情况,制定密码应用的整体方案。
商用密码测评合规整改
帮助客户梳理改造要点,明确改造方案,辅助或作为集成商向客户销售相应的密码产品,帮助客户完成信息系统密码应用的改造,使其满足“密评”相关标准的要求。
商用密码测评工作协同
协调密码测评机构,对密码应用方案进行评审,辅助客户完成前期的资料准备,并配合现场测评工作的开展,帮助用户通过“密评”并取得过审报告
除了作为技术咨询方为客户提供相关服务外,在合规整改环节中,“密改”厂商还可以根据改造需求向客户销售自研或集成的各类软硬件产品。就《信息安全技术 信息系统密码应用基本要求》中规定的四项技术要求,“密改”可能涉及的密码产品主要包括:
物理和环境安全(10分)
国密CPU卡、国密门禁管理系统、视频监控一体机等。
网络和通信安全(20分)
SSL VPN安全网关、IP Sec VPN、国密SSL通道加密、服务器密码机、灾备系统等。
设备和计算安全(10分)
U-Key数字证书、国密动态令牌、国密堡垒机、服务器密码机、SSL VPN安全网关、日志审计系统等。
应用和数据安全(30分)
U-Key数字证书、国密动态令牌、服务器密码机、签名验签服务器、SSL VPN安全网关、国密SSL通道加密、数据库加密与备份、文件加密、密钥管理系统、密码资源池等。
除了以上产品之外,有不少创业厂商还针对不同行业客户的实际场景推出了创新型的密码产品,如观源科技推出的国密HTTPS自适应网关系统、炼石网络推出的CASB数据加密平台。这些产品可以同时满足多项国密应用的技术要求,替代多款传统的密码产品,因此在改造成本与轻量化交付上具有一定的优势。航行观点
航行资本持续关注并看好与“密评”“密改”相关的市场机会。我们认为,目前国家层面与“密评”“密改”相关的法律法规与标准规范已更加健全,“以评促改”的基调已经确定,随着各行业部门落地政策的不断出台,2024年将是市场需求得到验证/实现的关键年份。
尽管《密码法》早在2019年便已颁布,并提及了相关单位需要进行信息系统密码应用安全性评估的要求,但彼时与“密评”的配套标准规范仍不完善。这种不完善,一方面体现在强制性的欠缺,不仅没有规定相关单位需要完成“密改”的时限,而且也没有赋予国家密码管理局对违规单位进行处罚的权力;另一方面,彼时“密评”管理体系也并不健全,缺乏对测评机构的管理办法与开展测评工作的具体标准。与此同时,政府、央国企等“密评”核心对象的预算收紧,导致部分被测系统的运营者参与主动进行“密改”的积极性不强,因此信息系统商用密码应用的整体进展非常缓慢,并且出现了严重的发展不均衡情况。这种不均衡,一方面体现在行业的不均衡上,即政府、金融等合规压力较大行业客户的“密改”进度要显著快于其他行业客户,另一方面还体现在地理的不均衡上,即华东、华南等发达地区省份的“密改”进度要显著快于其他地区省份。直到2023年,以修订后的《商用密码管理条例》正式开始施行为标志,“密评”“密改”的相关工作才具备真正全面落地的条件。
综合考虑相关政策文件的规定、客户的实际预算、以及厂商的报价情况,我们预计,到2027年,若按ARR的口径计算,商用密码应用改造的市场规模将会达到120亿左右。对于“密改”厂商而言,为了更好地握住窗口期机会,我们认为至少需要考虑以下三方面因素:
第一,依托密码产品创新,为客户提供更高效的合规改造解决方案,减少对原有密码应用与业务系统的改造,帮助客户以最低成本满足合规要求。
第二,依托商业模式创新,积极探索“密码即服务”等新模式,将改造项目带来的一次性收入变为长期运维的可持续收入,持续改善公司的盈利水平。
第三,依托渠道模式创新,灵活采取与客户直签或与代理商、集成商签单等多种落单模式,高效捕捉不同地区、不同行业客户的增量需求,避免陷入围绕存量客户的压价竞争。
关于未来,我们也期待商用密码的应用,能像很多的网络安全场景一样,逐渐从合规驱动走向实战导向,让越来越多具有实际业务需求的政企客户,享受到越来越好的商用密码产品和服务。
作者:航行研究院
*本公众号仅作为学习和研究使用,不构成对任何人的投资和建议,您直接或间接基于本公众号内容做出的投资应自行承担风险,航行资本及作者不对此承担任何责任。*以上信息均为航行资本基于网络公开信息渠道整理,航行资本不为以上信息的真实性、准确性做任何保证。*本公众号上所转载或引用内容均标注来源及出处,仅代表原作者本人,不代表航行资本立场。转载或引用内容的版权归原作者所有。如涉嫌侵权,请及时联系我们,我们将及时更正或删除有关内容。
还没有评论,来说两句吧...