建立完善商用密碼應(yīng)用安全性評估體系 推動商用密碼規(guī)范應(yīng)用

（一）體制機制與法規(guī)依據(jù)逐步成熟規(guī)范《密碼法》首次確立了密評工作的法律地位?！睹艽a法》第二十七條對關(guān)鍵信息基礎(chǔ)設(shè)施使用商用密碼和開展密評提出了明確要求，并在第三十七條對違反該要求的行為明確了罰則，這從根本上建立起了密評制度，也是開展密評工作最基本的法律依據(jù)。隨著《密碼法》的貫徹實施，密評工作也得到了越來越多的關(guān)注和認可，成為了密碼應(yīng)用推進工作的重要抓手。新修訂的《條例》對密評工作提出了更加具體和細化的要求。在落實《密碼法》要求的基礎(chǔ)上，《條例》第三十八條進一步明確了關(guān)鍵信息基礎(chǔ)設(shè)施“三同步”、每年定期評估以及備案管理的具體要求：“……運營者應(yīng)當(dāng)使用商用密碼進行保護，制定商用密碼應(yīng)用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設(shè)、同步運行商用密碼保障系統(tǒng)，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估?！\行后每年至少進行一次評估，評估情況按照國家有關(guān)規(guī)定報送國家密碼管理部門或者關(guān)鍵信息基礎(chǔ)設(shè)施所在地省、自治區(qū)、直轄市密碼管理部門備案。”對于與網(wǎng)絡(luò)安全等級保護制度的銜接，《條例》第四十一條規(guī)定：“網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全等級保護制度要求，使用商用密碼保護網(wǎng)絡(luò)安全。國家密碼管理部門根據(jù)網(wǎng)絡(luò)的安全保護等級，確定商用密碼的使用、管理和應(yīng)用安全性評估要求，制定網(wǎng)絡(luò)安全等級保護密碼標(biāo)準(zhǔn)規(guī)范?！边@及時回應(yīng)了社會對于等級保護對象開展密碼應(yīng)用與安全性評估的關(guān)切，為等級保護對象開展密評提供了基本遵循。除了《密碼法》和《條例》外，相關(guān)部門規(guī)章和規(guī)范性文件也對密碼應(yīng)用和密評作出了明確規(guī)定，包括國務(wù)院辦公廳印發(fā)的《國家政務(wù)信息化項目建設(shè)管理辦法》、公安部印發(fā)的《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見》、財政部印發(fā)的《政務(wù)信息系統(tǒng)政府采購管理暫行辦法》等，與上述法律法規(guī)一起，共同構(gòu)成了密評工作的法律依據(jù)和制度支撐。（二）技術(shù)體系與標(biāo)準(zhǔn)規(guī)范不斷健全完善2018年初，為指導(dǎo)密評試點工作開展，國家密碼管理局發(fā)布了密碼行業(yè)標(biāo)準(zhǔn)GM/T-0054《信息系統(tǒng)密碼應(yīng)用基本要求》。2018年以來，基于GM/T-0054開展的密碼應(yīng)用和安全性評估工作，充分驗證了密評工作的科學(xué)性和可行性。該標(biāo)準(zhǔn)也在2021年上升為國家標(biāo)準(zhǔn)GB/T-39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》，結(jié)合密評工作實踐對內(nèi)容進行了優(yōu)化，更為科學(xué)合理。為了配合GB/T-39786的實施，更好地指導(dǎo)和規(guī)范密評活動，中國密碼學(xué)會密評聯(lián)委會組織制定了《信息系統(tǒng)密碼應(yīng)用測評要求》《信息系統(tǒng)密碼應(yīng)用測評過程指南》《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》《商用密碼應(yīng)用安全性評估量化評估規(guī)則》《商用密碼應(yīng)用安全性評估報告模板》等5項指導(dǎo)性文件，其中前2項已正式發(fā)布為密碼行業(yè)標(biāo)準(zhǔn)GM/T-0115和GM/T-0116。相比于原有的符合性判定“一票否決”的規(guī)則，新的密評標(biāo)準(zhǔn)框架豐富了密評結(jié)果的出具過程，提出了“量化評估＋風(fēng)險判定”的綜合判定思路。量化評估是為了“保量”，即商用密碼應(yīng)用應(yīng)當(dāng)達到一定的程度，便于縱向和橫向的比較；風(fēng)險判定是為了“保質(zhì)”，即守住信息系統(tǒng)的安全底線。此外，為了規(guī)范密評實施和判定活動，中國密碼學(xué)會密評聯(lián)委會還組織編制了《商用密碼應(yīng)用安全性評估FAQ》，以問答形式解釋了密評過程中常見問題，并確立了定期更新機制，不斷應(yīng)對技術(shù)發(fā)展和應(yīng)用情況的變化，以持續(xù)保持密評標(biāo)準(zhǔn)體系的活力。（三）機構(gòu)規(guī)模與能力水平持續(xù)壯大提升密評機構(gòu)不僅是密評工作實施開展的主體，還是密碼應(yīng)用推進工作的宣傳隊，因此其專業(yè)水平十分重要。2017年底，第一批密評試點機構(gòu)遴選工作正式開始，經(jīng)培育考核，確定了首批密評試點機構(gòu)。2019年底，第二批密評試點機構(gòu)的遴選正式啟動，吸取第一批密評試點機構(gòu)能力考核的經(jīng)驗，結(jié)合密評試點階段實際密評工作的要求，第二批密評試點機構(gòu)的能力考核進一步完善，在原有的人員能力筆試考核和機構(gòu)條件現(xiàn)場考核基礎(chǔ)上，將密評報告評估和密評實戰(zhàn)能力考核納入能力考核范圍。這其中，實戰(zhàn)能力考核是充分克服了新冠疫情的不利影響，積極探索解決密評實戰(zhàn)能力如何考核的難題，取得了很好的成效，也獲得了參與考核機構(gòu)的積極反饋。實戰(zhàn)能力考核貼近實際，不再是“紙上談兵”，一方面覆蓋了原本理論考試無法涉及的內(nèi)容，對機構(gòu)實戰(zhàn)能力進行了有效評價，另一方面也對密評工作的開展起到了有效的引導(dǎo)和教育作用，將密評機構(gòu)原先對算法、產(chǎn)品進行簡單核查的僵化思路，逐步轉(zhuǎn)變?yōu)槌浞植杉C據(jù)、深入分析數(shù)據(jù)、客觀給出結(jié)果的科學(xué)化、合理化路徑。2020年7月，國家密碼管理局公布了第一批24家密評試點機構(gòu)目錄，并于2021年6月進行目錄更新，其中可面向全國開展密評業(yè)務(wù)的機構(gòu)共48家，另外25家可面向本省本行業(yè)開展密評業(yè)務(wù)，形成了階梯式的密評機構(gòu)層次架構(gòu)。密評試點機構(gòu)規(guī)模不斷擴大、能力逐步提升，為密評工作規(guī)?；?、規(guī)范化發(fā)展提供了重要支撐。二貫徹落實《條例》，進一步完善密評體系《條例》關(guān)于密評的規(guī)定，既是對關(guān)鍵信息基礎(chǔ)設(shè)施運營者密評主體責(zé)任的明確，也對密評體系建設(shè)提出了更高要求，指引著密評體系建設(shè)不斷發(fā)展完善。（一）持續(xù)拓展密評工作深度廣度，不斷增強重要領(lǐng)域密碼應(yīng)用水平在法律法規(guī)層面，可以預(yù)見的是，隨著《條例》發(fā)布，配套的規(guī)章制度也會陸續(xù)出臺，進一步細化對密評機構(gòu)管理和對密評工作管理等要求。在這些法律法規(guī)的具體要求下，密評機構(gòu)和人員的管理將進一步規(guī)范，開展密評的信息系統(tǒng)范圍和數(shù)量將進一步擴大。下一步，在前期金融、政務(wù)等領(lǐng)域開展密碼應(yīng)用和密評工作的良好基礎(chǔ)上，要進一步深入擴展到其他重要領(lǐng)域和行業(yè)，推動密碼應(yīng)用和密評要求在重要領(lǐng)域和行業(yè)落地生根，持續(xù)增強密碼應(yīng)用的廣度和深度。（二）持續(xù)推進標(biāo)準(zhǔn)文件更新出臺，不斷為密評體系注入生命力GB/T-39786針對信息系統(tǒng)提出了通用性的密碼應(yīng)用基本要求，但無法適配于所有類型信息系統(tǒng)和應(yīng)用場景。近些年，國家密碼管理局以密碼行業(yè)標(biāo)準(zhǔn)形式發(fā)布了針對具體應(yīng)用場景的密碼應(yīng)用技術(shù)要求和指南，包括電子保單、網(wǎng)上銀行、遠程移動支付、電子招投標(biāo)、區(qū)塊鏈等。隨著密碼應(yīng)用范圍的不斷擴大，亟需新一批的指導(dǎo)性文件用于指導(dǎo)具體場景的密碼應(yīng)用建設(shè)和安全性評估工作，并適情開展文件的標(biāo)準(zhǔn)化。另外，目前密評體系文件中形成標(biāo)準(zhǔn)的還不多，還需進一步推進已經(jīng)在制標(biāo)過程中的《信息系統(tǒng)密碼應(yīng)用方案設(shè)計指南》和《信息系統(tǒng)密碼應(yīng)用實施指南》等應(yīng)用指導(dǎo)類文件加快成熟，以更好指導(dǎo)密碼應(yīng)用與安全性評估工作。（三）持續(xù)加強技術(shù)手段建設(shè)，不斷提升密評機構(gòu)能力水平在密評實施過程中，目前的工具和手段還不能較好支撐對專門領(lǐng)域（如5G、工業(yè)互聯(lián)網(wǎng)）中的密碼協(xié)議和密碼應(yīng)用情況進行有效檢查，在對信息系統(tǒng)重要數(shù)據(jù)的深入自動分析及密碼應(yīng)用漏洞的探測方面也存在較大欠缺。因此，未來需要圍繞密評實踐過程中的各個技術(shù)驗證點，進一步加強密評業(yè)務(wù)開展的技術(shù)手段建設(shè)。一方面，基于密碼產(chǎn)品/服務(wù)等相關(guān)標(biāo)準(zhǔn)完善現(xiàn)有典型密評工具，同時研制并集成密評新工具，如自動化分析工具、密碼應(yīng)用滲透測試工具，形成可聯(lián)動、可動態(tài)配置、自動化、一體化的密評工具平臺；另一方面，加強密碼應(yīng)用典型風(fēng)險庫和應(yīng)對知識庫建設(shè)，為密評人員的知識培訓(xùn)