2022年,“密评”(即“商用密码应用安全性评估”)成了各行业关注的热词。
在《密码法》的要求下,在国标《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)的指导下,各地各行业积极、严谨地开展密评工作,将是推动密码应用的良好开端。各行业纷纷出台了相关标准、要求,将密评工作提上日程,关键信息基础设施、政务信息系统、等保三级以上信息系统建设,都要“过密评”。
面对各式各样的产品和众说纷纭的方案,究竟密评该如何过?应该遵照哪些技术标准?关注哪些要点?有哪些误区?我们带你一探究竟。
这些“误区”要辨别
1、误区一:业务系统零改造,信息系统免集成,即可通过密评
现状:有些厂家提出业务系统零改造过密评的方案,还有些密码服务厂商抓住了客户信息系统改造难度大、成本高的痛点,打出“信息系统免集成,即可通过密评”的宣传口号。
专家解读:事实上信息系统开展密评工作主要目的在于推动密码应用的合规性、正确性、有效性。在常见的密码应用中的安全性问题包括:密码技术被弃用(例如完全未用密码)、密码技术被乱用(例如简化使用密码协议导致出现安全漏洞)、密码技术被误用(例如使用固定值而非随机数作为初始向量)。这一切都指向“用”,即信息系统要正确调用密码产品、密码服务。不针对信息系统实际情况、重要数据安全需求等加以分析,进而适当改造信息系统以“用”密码,是难以全面保障信息系统安全,也难以通过密评。
2、误区二:忽略应用层,只靠物理、网络层也能过密评
现状:部分厂商向客户提出“应用层不拿分,靠其他几层拿分也能及格”的说辞。
专家解读:根据《商用密码应用安全性评估量化评估规则》第6部分整体结论判定,整体量化评估结果是百分制,应用和数据安全占30分。只有达到分数阈值、且没有高风险项,才能判定被测信息系统基本符合GB/T39786-2021相应等级要求。目前执行的阈值是60分,这意味着如果应用和数据层完全不拿分,就只剩下10分的机动空间;更重要的是,应用和数据安全涉及5项高风险项,如果完全不加以考虑,很容易碰到高风险“一票否决”。
3、误区三:密评是针对密码产品的测评
现状:一些机构疑问:“如果系统中没有应
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
