密评之技术要求详解

密评简介

1. 密评定义：全称商用密码应用安全评估, 是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
2. 密评对象：重要信息系统、关键信息基础设施、网络安全等保三级及以上的系统。
3. 评测依据：GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
   参考标准：

• 《信息系统密码应用测评要求》
• 《信息系统密码应用测评过程指南》
• 《信息系统密码应用高风险判定指引》
• 《商用密码应用安全性评估量化评估规则》

4. 基本要求
   密评基本要求主要包含两部分：技术要求和管理要求。

• 基本要求框架
  

• 密评评分
  在密评中，采用技术要求70分+管理要求30分的模式。通过密评 = 60分以上+无高风险项。
  在技术要求中：物理和环境安全（10分）、网络和通信安全（20分）、设备和计算安全（10分）、应用和数据安全（30分）

5. 评测过程：
   

6. 评测报告：
   评测最后阶段由评测机构编写评测报告，评测报告一般一式4份，1份提交国家密码管理局、1份提交被评测单位所属省部密码管理部门、1份提交委托单位、1份由评测机构留存。

密评技术要求

密评主要针对涉及到商用密码的网络和信息系统。这里的商用密码指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术、密码产品和密码服务。

• 密码技术：采用特定变换的方法对信息进行加密保护、安全认证的技术。如SM3哈希算法、SM4分组密码算法、SM2公钥密码算法等。
• 密码产品：实现密码功能、承载密码技术的实体，包括密码机、密码芯片和模块等。
• 密码服务：基于密码技术和产品，实现密码功能，提供密码保障的行为。

密改：又称国密改造，是通过密评的重要一步，被评测信息系统需要经过密改，从而支持国产商用密码，并达到安全、合规、正确、有效的要求。从密评技术要求上分析，需要在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面上借助商用密码技术、产品或服务，实现密改。
业界主推的密改技术路径主要有三条：“免”改造、“重”改造和“易”改造。

• 免改造：信息系统无需进行密改，只需简单配置
• 重改造：信息系统调用复杂的基础密码产品接口完成密改，如对接服务器密码机、签名验证服务器等
• 易改造：信息系统使用针对密评研发的专业密码服务产品，无改动或较少改动信息系统来实现密改。

密码应用技术架构

技术要求重点分析：
根据密评技术要求中的评测指标，密评重点集中在以下两点：

• 信息系统实体身份真实性/身份鉴别、重要数据机密性、重要数据完整性以及操作行为的不可否认性。
• 密钥生命周期安全：密钥生成、使用、存储、备份、恢复、归档、导入导出以及销毁等
  其中，密钥生命周期安全可以借助服务器密码机或者密钥管理系统来完成，因此信息系统密改工作集中在第一点。密码应用技术架构整体也是围绕技术要求的四个方面来规划和落地。

物理和环境安全

物理和环境安全：对重要物理区域（如：机房）出入人员采用密码技术进行身份鉴别，并对门禁进出记录、视频监控数据进行完整性保护。

• 身份鉴别：机房需要部署国密门禁读卡器，通过国密门禁IC卡和国密门禁读卡器，基于国密算法，实现用户身份鉴别。读卡器和门禁卡必须具有国家密码管理部门颁发的认证证书。如：光电安辰国密门禁设备等
• 重要数据完整性：门禁记录数据、视频监控记录数据存储需要保证完整性。如：门禁记录通过门禁管理系统进行完整性保护、视频监控记录通过视频监控管理系统进行完整性保护。这类系统一般采用内置密码卡或者外接密码机的方式，并通过SM3-HMAC对重要数据进行完整性保护。
  注：密码机、密码卡和视频监控管理系统需要具有国家密码管理部门颁发的认证证书

网络和通信安全

网络和通信安全：对业务系统网络通信实体，采用密码技术进行身份鉴别，并对传输数据进行机密性和完整性保护。

• 身份鉴别： 登录业务系统采用国密浏览器，浏览器到安全网关等通信实体双方通过国密SSL协议进行身份鉴别，通过国密SSL证书使用SM2、SM3和SM4算法实现通信双方真实性，后端需要采用具备商用密码产品认证证书的安全网关。
• 通信数据完整性：浏览器与安全网关之间通信采用国密SSL，使用ECC_SM4_CBC_SM3实现数据传输的完整性，后端需要采用具备商用密码产品认证证书的安全网关。
• 通信数据的机密性：浏览器与安全网关之间通信采用国密SSL，使用ECC_SM4_CBC_SM3实现数据传输的机密性，后端需要采用具备商用密码产品认证证书的安全网关。
  注：国密SSL需要支持国密双证（签名证书+加密证书）

设备和计算安全

设备和计算安全：运维管理员在对业务系统进行运维时，需要采用密码技术进行身份鉴别，并保障网络环境中服务器、应用程序、访问记录等重要数据的完整性。

• 身份鉴别：对于远程运维人员采用SSL VPN安全网关进行身份鉴别；对于内部运维人员，采用基于密码技术的身份认证堡垒机进行身份鉴别。
• 重要数据完整性：堡垒机访问记录完整性保护，调用密码产品基于SM3-HMAC密码算法实现完整性保护；业务系统等服务器访问记录以及重要业务日志完整性保护，采用专门的日志服务器，借助服务器密码机采用HMAC-SM3密码算法对访问记录/日志进行计算并定期进行校验。
  日志服务完整性生成和校验，功能流程如下：
  

应用和数据安全

应用和数据安全：用户和管理员在访问业务系统时，需要采用密码技术进行身份鉴别，对重要业务数据传输的机密性和完整性、重要业务数据存储的机密性和完整性进行保护。应用和数据安全是密改的重要一环。

• 身份鉴别：业务系统登录使用双因子认证，采用用户名/口令和Ukey进行身份鉴别，业务人员私钥和数字证书保存在Ukey中。后端通过SM4算法对口令进行加密存储，通过SM2算法对UKey签名进行验证，密码算法由密码机提供。UKey和密码机需要具有商用密码产品认证证书
• 机密性：业务数据需要采用SM4进行加密传输，后端需要对数据进行SM4加密存储。密码算法由具有商用密码产品认证证书的密码机或密码卡提供。
• 完整性：业务数据通过SM3-SM2进行数字签名后传输，后端通过调用基础密码产品进行签名验证。业务数据存储完整性通过对存储数据进行SM3-SM2签名或者SM3-HMAC哈希值进行保存完成。密码算法由具有商用密码产品认证证书的密码机或密码卡提供。

双因子认证UKey流程：

结语

本文未对密评管理要求做深入介绍，只针对技术要求中需要进行密改的地方进行了详细介绍。密评重点考察信息系统中商用密码使用的合规性、正确性和有效性。应用和数据安全是密改的重中之重，也是重改造的地方，其他方面可以通过采购合规的密码产品或服务达到易改造、免改造的效果。

参考