《商用密碼應用安全性評估管理辦法》

2023年11月1日正式施行

《中華人民共和國密碼法》《商用密碼管理條例》中均提到商用密碼應用安全性評估，而《商用密碼應用安全性評估管理辦法》（以下簡稱《辦法》）的出臺就是細化商用密碼應用安全性評估工作主體、方式程序、備案等方面要求，吸收繼承商用密碼應用安全性評估試點經驗做法，結合工作實際，注重合法性、合理性和可操作性，力求做到內容完備、邏輯嚴密。

《辦法》共21條，從總體要求、程序和內容要求、實施規范、監督檢查及法律責任以及其他事項分別進行了闡述。《辦法》中明確要求，重要網絡與信息系統運行前，應當通過商用密碼應用安全性評估，未通過評估的重要網絡與信息系統應當進行商用密碼改造，直至通過評估后才可投入運行。而運行后的重要網絡與信息系統也應當每年至少開展一次商用密碼應用安全性評估，未通過評估的系統應當進行改造，并在改造期間采取必要措施保證安全。

商用密碼應用安全性評估工作從密碼應用技術和密碼安全管理兩個方面考量。天融信在協助客戶進行商用密碼應用安全性評估的實踐中，大部分重要網絡與信息系統運營者已具備較強的商用密碼應用能力，而部分運營者雖然已具備基礎的商用密碼應用能力，但在一些細節問題上仍存在一定不足，這也是進行密碼改造的關鍵問題。

在此，天融信基于在各行業中開展商用密碼應用安全性評估的實踐積累，梳理了密評工作開展常見典型問題及建議，與業界同仁共同分享。

★密碼應用技術的問題及建議★

1、物理和環境安全

存在問題：在項目實踐中，機房管理通常已部署電子門禁系統，機房管理人員已具備非接觸卡，實現門禁卡的“一卡一密”。但對于外來人員通常只需填寫《機房出入登記表》，并沒有給予同等的密碼防護要求。

改造建議：建議根據GM/T 0036—2014 《采用非接觸卡的門禁系統密碼應用技術指南》規范，基于 SM4 算法對人員身份進行鑒別，對機房管理人員和訪客防護措施并重。

2、網絡和通信安全

存在問題：在項目實踐過程中，許多客戶的通信傳輸已采用流量加密、隧道加密等技術，但由于應用系統、瀏覽器沿革問題，一些系統并未采用國密證書、算法，不符合《中華人民共和國密碼法》《商用密碼管理條例》《商用密碼應用安全性評估管理辦法》等有關法律法規和政策文件要求。

改造建議：建議在網絡接入區部署具有商密認證證書的SSL VPN安全網關，實現對通信實體的身份鑒別，保證通信過程中數據的完整性和機密性，保障網絡邊界訪問控制信息的完整與安全。

3、設備和計算安全

存在問題：在項目實踐過程中，所有客戶均有堡壘機登錄日志的留存意識，也將系統訪問控制信息本地化存儲。然而對于留存下的日志、涉及到的訪問控制信息，并沒有采用密碼技術保證日志記錄的完整性。

改造建議：建議調用服務器密碼機使用 HMAC-SM3 算法保證堡壘機、應用服務器和數據庫服務器的日志記錄完整性，調用簽名驗簽服務器的 SM2 算法對重要可執行程序來源真實性和完整性進行驗證。

4、應用和數據安全

存在問題：在項目實踐過程中，應用和數據安全領域通常是與密評工作差距較大的部分，也是客戶需要進行密評改造工作的重點。在應用和數據安全領域中，問題主要體現在登錄系統用戶的身份真實性驗證環節未采用密碼技術、信息系統應用的訪問控制信息的完整性有所欠缺、重要數據傳輸和存儲的完整性與機密性有待提升、業務數據操作的不可否認性難以保證等。

改造建議：建議為客戶配備USBKey或協同簽名系統，對登錄用戶展開身份鑒別，保證應用系統用戶身份的真實性；調用密碼設備或密碼服務平臺提供的加解密服務、簽名驗簽服務實現重要數據的機密性和完整性保護；對關鍵數據操作進行數字簽名，保障業務數據操作的不可否認性。

★密碼安全管理的問題及建議★

1、管理制度

存在問題：在項目實踐過程中，客戶在實際環境中雖然具備部分密碼應用管理相關制度，但是缺乏細化的規則、密碼應用方案、操作流程、執行記錄等。

改造建議：應依據客戶實際環境進行管理體系的整體規劃建設，制定密碼應用安全管理制度和操作規程。在制定管理制度過程中，需把控多方的管理制度、設計密碼應用方案、審計規劃、操作規程及執行情況等。

2、人員管理

存在問題：在項目實踐過程中，許多客戶的密碼應用崗是兼職人員負責，由于崗位人員的相關考核、培訓不足，因而無法指導密評體系建設。

改造建議：應建立明確崗位職責的密碼應用崗位管理制度，并加強安全意識培訓、定期進行人員考核等。

3、應急處置

存在問題：在項目實踐過程中，客戶缺乏密碼應用的應急策略，因而不具備事件處置的應急手段。

改造建議：應建立密碼應用應急機制，包括制定應急策略、準備應急資源、完善應急處置流程以及事件處置上報流程等。

商用密碼應用安全性評估是加強和規范商用密碼應用的重要抓手。《辦法》細化落實“三同步一評估”要求，體現商用密碼應用安全性評估系統性原則，明確商用密碼應用安全性評估實施依據，為未來密評工作的開展指出了更清晰的路徑。

天融信推出滿足合規要求的密碼產品、完善的商用密碼應用安全解決方案以及專業的全流程商用密碼應用安全性評估咨詢服務，為客戶提供商用密碼應用安全建設的同時，協助客戶開展自評估等相關工作。目前天融信在政府、交通、運營商等行業均已具備項目落地成功案例，幫助客戶成功通過商用密碼應用安全性評估，獲得客戶的一致好評。

未來，天融信將充分發揮自身技術實力與服務優勢，積極投身到商用密碼應用安全建設中去，為各行業客戶的商用密碼應用安全保駕護航。