誤區一���:業務系統零改造����,信息系統免集成���,即可顺利获得密評
現狀��:有些廠家提出業務系統零改造過密評的方案��,還有些密碼服務廠商抓住了客戶信息系統改造難度大����、成本高的痛點����,打出“信息系統免集成����,即可顺利获得密評”的宣傳口號。
專家解讀���:事實上信息系統召开密評工作主要目的在於有助于密碼應用的合規性��、正確性����、有效性。在常見的密碼應用中的安全性問題包括����:密碼技術被棄用����(例如完全未用密碼)����、密碼技術被亂用��(例如簡化使用密碼協議導致出現安全漏洞)���、密碼技術被誤用���(例如使用固定值而非隨機數作為初始向量)。這一切都指向“用”���,即信息系統要正確調用密碼產品����、密碼服務。不針對信息系統實際情況����、重要數據安全需求等加以分析��,進而適當改造信息系統以“用”密碼��,是難以全面保障信息系統安全����,也難以顺利获得密評。
誤區二����:忽略應用層���,只靠物理����、網絡層也能過密評
現狀���:部分廠商向客戶提出“應用層不拿分��,靠其他幾層拿分也能及格”的說辭。
專家解讀����:根據����《商用密碼應用安全性評估量化評估規則》第6部分整體結論判定����,整體量化評估結果是百分制��,應用和數據安全佔30分。只有達到分數閾值����、且沒有高風險項���,才能判定被測信息系統基本符合GB/T39786-2021相應等級要求。现在執行的閾值是60分���,這意味着如果應用和數據層完全不拿分����,就只剩下10分的機動空間;更重要的是���,應用和數據安全涉及5項高風險項��,如果完全不加以考慮���,很容易碰到高風險“一票否決”。
誤區三���:密評是針對密碼產品的測評
現狀���:一些组织疑問����:“如果系統中沒有應用密碼技術或密碼產品����,是不是就不需要過密評��,或者可以直接顺利获得密評?”
專家解讀���:密評是針對應用方業務系統的測評��,看密碼是否得到合規����、正確����、有效的應用����,而非針對密碼產品的檢測。按照相關法律法規規定����,關鍵信息基礎設施��、政務信息系統����、等保三級以上信息系統需要同步規劃���、同步建設���、同步運營密碼保障系統��,定期進行密評����,這項要求與其當前是否使用密碼無關。如果上述業務系統完全未用到密碼��,那麼在密評中“高風險項”是肯定存在的����,因而肯定無法顺利获得密評。
誤區四��:劃定測評對象範圍模糊
現狀��:一些组织疑惑等保定級的範圍和密評範圍是否一致����,在做密碼測評的時候是要所有的系統測試顺利获得才算顺利获得密評嗎?如何劃定測評對象範圍?
專家解讀���:密評當前沒有獨立的定級���,而是依賴等保定級的。因而在劃定測評範圍的時候���,原則上應與等保定級的範圍一致。如果等保定級系統里有多個應用或多個子系統���,密評時會針對每個應用或子系統都做測評���,最終分數判定需綜合考慮所有應用或子系統在相應層次的密碼應用情況。詳情可參照GM/T 0115���《信息系統密碼應用測評要求》。
誤區五��:採購一些密碼設備並部署上���,就滿足了密評要求
現狀���:召开密評工作必然離不開密碼設備的建設工作����,密碼設備的採購數量����、採購金額必然是各行業關注的重點之一。部分密碼設備廠商基於自身產品推廣��,宣稱“採購一些密碼設備����、一類產品即可顺利获得 密碼應用測評” 。
專家解讀����:密評工作的目標是“以評促用”����,脫離信息系統的當前狀況去談產品的配用是不科學的。對於已建的信息系統���,第一时间召开差距分析���,梳理保護對象��、應用場景及防護現狀���,總結當前差距形成密碼應用需求���,根據密碼應用需求設計密碼應用措施���,才能談得上需要什麼樣的產品來實現這些措施。
誤區六���:包過密評
現狀���:密評工作對於各行業來說屬於新業務���、新要求��,在缺乏有效參考經驗的情況下����,一些銷售人員為了爭取商業機會����,打出“包過密評”包票。
專家解讀����:這樣的宣傳雖然可能給了用戶顺利获得“密評”的信心���,但能否顺利获得密評���,是由正規測評组织給出結論為標誌的。密碼測評组织絕不會在尚未分析任何情況之前就去判定“符合”;同樣的����,協助用戶做密碼應用的廠商���,也只有在充分分析用戶業務����、梳理密碼應用需求之後����,才能明確有哪些GB/T 39786規定的密碼應用要求未得到滿足��,此前的“包票”都只能是噱頭。即便明確了需求����,是否能夠設計出既滿足了密碼應用需求����、又不對業務造成太大影響的技術措施���,仍是要具體問題具體分析。科學的說法��,是專業密碼廠商會竭盡所能幫助用戶顺利获得“密評”���,但在未充分分析情況之前的“包票”����,都是過於誇張的。
誤區七���:已建設的CA認證產品和密評關係認知不明
現狀���:一些组织疑惑現有的CA電子簽名��、數據保護等和密評是什麼關係?
專家解讀��:基於公鑰密碼的電子簽名����,是當前主流的密碼應用技術之一。行業現階段為無紙化業務而召开的電子簽名����、數據保護等工作��,同樣屬於密碼技術應用����,能夠解決重要數據的真實性��、完整性和不可否認性��,為合規密碼應用建設打下了良好基礎。但如前所述���,並非一類密碼應用技術就可解決所有問題����,因此也不能有“用了電子簽名就一定能過密評”的認識。
誤區八���:只用對新機房進行密碼應用改造
現狀���:隨着信息化开展���,部分组织在原有機房難以支撐信息化應用的情況下��,採用了多機房並行的情況。針對此類情況��,组织認為只對新機房召开密碼應用改造��,就可以完成商業密碼密評工作。
專家解讀����:GB/T 39786規定的物理環境安全要求���,是所有物理環境都需要滿足的。因此如果多機房����,每個機房都要根據完整的測評單元召开評估工作����,綜合的物理環境安全得分值是取加權平均���,而非只有一個機房合規就能得到全部的分數。對於高風險項����,如果任何一個機房存在高風險����,則是“一票否決”。
