商密系列——从甲乙方视角谈商用密码测评(一)

C0 为什么写这些文章

从事密评工作一年多,期间从事了诸多类型的项目,省级IDC,各部的OA和定制化系统等。在这个过程中耗费时间的并不是技术问题,而是和甲方或者被评测方的对接,因为密评作为近年来出现的事物,各方对其的认识不够,导致想要通过密评的人也不知道需要做些什么。故萌生出了写一系列文章,帮助非行内人员理解密评。

C1 术语定义、系列文章结构

这系列文章是针对非行内人员了解和认识密评所写的,所以我会介绍说明相应的技术,但不会涉及技术细节,同时尽量采取简明的叙述方式让阅读轻松明了。以下是为了方便阅读所使用的一些简称和术语:
  • 密评:全称“商用密码应用安全性评估”,系列文章中使用简称。
  • 密码:指加密、哈希等密码技术,日常概念中登录用的“密码”文章中统一称为口令。
  • 甲方:指系统的实际使用方。
  • 乙方:指应用系统的开发方,一般是开发公司或者集成公司。
  • 第三方:指密评公司。
  • 商密证书:指通过国家密码管理局质量检测后颁发的证书,全称为商用密码产品认证证书(或“商用密码产品型号证书”),想要通过密评务必要使用具备商密证书的软硬件密码产品,否则可能导致高风险项。 系列文章会分为三块,首先是这篇密评的基础介绍,其次是密评的各层面要求的指标,最后说明密评的量化评估规则。其中密评各层面的指标中会穿插高风险判定指引的的高风险项。

C3 密评相关概念

3.1 为什么要进行密评

简要的说,《密码法》、《网络安全法》、《网络安全等级保护条例》等法律强调了等级
保护三级及以上信息系统、关键信息基础设施都要做密评。

​3.2 密评通过的条件

密评通过需要满足GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,同
时根据《商用密码应用安全性评估量化评估规则》得分60以上,且无《信息系统密码应用
高风险判定指引》中的高风险项即为通过。
60分以上,且无高风险项是通过密评的条件。

参考文件

3.3密评公司、密码厂商等

国家密码管理局维护的《商用密码应用安全性评估试点机构目录》中的机构才有实施密评
的资质,共计48家。(https://www.oscca.gov.cn/sca/xwdt/2021-06/11/content_1060863.shtml)
经过认证,具备商密证书的产品可以在商用密码认证业务网上查询到。(http://service.scctc.org.cn)

3.4配合密评的人员

密评实施人员会在密评前期和现场询问关于系统各方面的情况:
1、机房物理情况,需要进入机房查验————机房管理人员
2、了解系统的物理服务器位置,管理方式,以及网络架构和采用的相关密码产品等————系统运维人员
3、系统采用的数据库,以及数据库的结构以及对应数据存储在哪张表单,以及数据存储的加密方式等————开发人员
4、关于密码设备和密钥管理相关的制度————甲方单位

结语

这篇文章定义了后续文章使用的术语和结构,同时阐述了为什么要进行密评和通过密评的
条件,以及密评相关的基础知识等。后续会根据国家标准GB/T 39786-2021《信息安全
技术 信息系统密码应用基本要求》讲述密评各层面的指标。
发表评论

相关文章