马原：走出认知误区，医疗机构如何迎接“密评”挑战？

新闻中心

2022-05-15 13:29:31

导读

医院信息系统里没有使用密码技术，可以不做密评吗？没有使用商用密码或国产密码，在密评中会导致“一票否决”吗？等保和密评要求的部分条款相同，是否能够复用？

“正确认识密码应用与密评工作，帮助医疗机构奠定网络与信息系统安全的基础，维护好最后一道防线。”

2022年4月19日，在由中国医院协会信息专业委员会（CHIMA）指导、HIT专家网主办、北京数字认证股份有限公司承办的“卫生健康行业商用密码应用线上研讨会”上，中国科学院信息工程研究所副研究员、中国密码学会密评联委会副主任委员马原对医疗机构普遍关注的商用密码应用安全性评估工作（也即“密评”）进行了详细介绍，并针对业内对密评的认知误区进行了剖析与澄清。

中国科学院信息工程研究所副研究员、中国密码学会密评联委会副主任委员马原

了解密评体系及测评要点

“商用密码应用安全性评估”，是对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估的活动。自国家密码管理局开展密评试点工作至今，已完成密评体系的构建设计、标准和指导性文件的制定、密评试点机构的认定、密评结果的备案等工作。当前，全国范围内对重要信息系统的密评活动也正在有序开展过程中，这有力促进了密码应用的合规性、正确性和有效性。

“密评工作的整体思路是‘三同步一评估’，也即围绕密码应用方案，项目建设单位应当同步规划、同步建设、同步运行密码保障系统，每一个阶段都需要开展密评。”马原对密评体系进行了介绍：

首先是《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021，以下简称《基本要求》），这是密码应用的纲领性、框架性标准，也是安全性评估的顶层准则。《基本要求》在给出总体性要求的基础上，对密码应用提出了4个方面的技术要求，分别为：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全，以及4个方面的管理要求，分别为：管理制度、人员管理、建设运行、应急处置。

《基本要求》对每一个密码应用的要求项，采用“应”“宜”“可”来表达不同的约束程度。以等保三级系统为例，《基本要求》制定了49条指标，其中“应”30条、“宜”14条、“可”1条，另外还包括“《信息安全技术密码模块安全要求》（GB/T 37092-2018）中关于二级及以上密码产品要求”4条。

其次是《信息系统密码应用测评要求》（GM/T 0115-2021）、《信息系统密码应用测评过程指南》（GM/T 0116-2021），这是为配合《基本要求》的贯彻实施、更好地指导和规范密评工作而制定的两部行业标准，已于2022年5月1日起正式实施。马原说：“在一项完整的密评任务中，GM/T 0115自下而上地提出了对测评活动的要求，GM/T 0116从测评准备、方案编制、现场测评、分析和报告编制全过程对测评活动进行指导。”

此外，中国密码学会密评联委会还组织制定了密评工作的系列指导性文件，包括《信息系统密码应用高风险判定指引》（以下简称《高风险判定指引》）《商用密码应用安全性评估量化评估规则》（以下简称《量化评估规则》）《商用密码应用安全性评估报告模板（2021版）》等。

其中，《高风险判定指引》基于当前密码产品的发展现状，聚焦安全问题被威胁利用后对信息系统（主要是数据资产）造成的影响程度，给出信息系统密码应用过程中可能存在的高风险安全问题、可能的缓解措施和风险评价。《量化评估规则》的主要内容是如何对各应用点进行打分判定并给出定量评估结果，其编制原则是：鼓励使用密码技术，特别鼓励使用合规的密码算法/技术/产品/服务；优先在网络和通信安全、应用和数据安全层面推进密码技术应用。

“系统中是否存在高风险项，以及各应用点的分值情况，这两者共同决定了密评结果。特别是高风险项，具有‘一票否决’的关键作用。”马原介绍，如果量化评估的分数为100分，且风险分析为“无风险”，则评估结论为“符合”；如果量化评估分数大于等于阈值（目前量化评估的阈值设置为60分），且风险分析为“无高风险”，则评估结论为“基本符合”；如果量化评估分数小于阈值，或风险分析为“有高风险”，评估结论则为“不符合”。

对密评工作的几个常见错误认识

“在密评工作试点过程中，通过与用户单位和主管部门的反复沟通，在形成部分共识的同时，我们也发现关于密评存在一些认知误区，需要及时厘清。”马原对几个常见的密评问题进行了总结与解答。

问题一：信息系统里没有使用密码技术，可以不做密评吗？

马原认为，之所以会有这样的疑问产生，根源在于误以为“密评是围绕密码产品来测密码”。实际上，密评的目的是围绕信息系统应该保护的重要数据等来测试密码应用的合规性、正确性和有效性。

“信息系统是否需要进行密评，不在于是否使用了密码技术，而取决于系统内需保护对象的重要程度。”马原说。根据《密码法》《商用密码管理条例》等法律法规以及地方和行业的要求，应对重要信息系统开展密评。

问题二：没有使用商用密码或国产密码，在密评中会导致“一票否决”吗？

马原介绍，决定密评结果的两个因素：一个是“质”，也即不能存在高风险项；一个是“量”，也即量化评估的分数要超过阈值。只要严格对标《高风险判定指引》与《量化评估规则》，确保量化评估分数大于等于阈值，且风险分析为“无高风险”，即可通过密评。

问题三：不使用认证合格的密码产品会导致“一票否决”吗？

“在实际的密评试点过程中，确实会遇到某些业务场景暂时未能找到现成的、认证合格的密码产品，只能转而使用其他产品做支撑的现象。”马原介绍，密评时对此的原则是“有用则用、能用则用”，同时注重“风险评估”。

问题四：等保和密评要求的部分条款相同，是否能够复用？

从顶层设计的角度来看，密评与等保工作是相互衔接、相互补充的关系。“密评的部分条款虽然与等保的内容相同，但在具体测评要求上有所不同。”

马原以“数据传输机密性指标”为例对此进行了说明，并通过对比分析指出，密评的测评实施覆盖从底层密钥到上层业务应用的全部方面，目的是切实打牢密码的基础性作用。“从这一点上说，密评测试实施的力度和深度是很大的。”

医疗机构如何稳步推动密评工作？

当前，从行业调研情况来看，医疗机构对于密评工作的认识深度与重视程度还不足；在密码应用方面，除部分医疗机构在部分业务场景中引入CA系统外，缺乏整体密码应用规划与设计。另一方面，作为与国计民生息息相关的重点领域，医疗行业面临的数据安全与隐私保护难度正日益加大，医疗机构未能采用密码技术，或仅采用不安全的密码技术对重要业务数据和患者隐私数据进行防护，在数据泄漏与防护层面存在较大缺口。

“随着密评工作在医疗行业的逐步开展，这些情况将有很大程度的改观。”马原认为，医疗机构应系统性推进密码应用，通过关键节点的密码应用与风险控制相结合的手段，在密评工作的推动下守牢网络与信息安全的底线。针对医疗机构密评工作的实施推进环节，马原给出以下具体建议：

首先，确定密评的系统边界，一般遵照等保定级边界即可。

第二，确定系统保护的对象，也即密评对象，一般包括机房、网络通道、设备、重要数据、重要用户身份等。“保护对象的覆盖应尽可能全面，避免盲区。”马原说，比如同一应用面向不同用户、存在不同类型的重要数据时，在系统设计中应考虑全面，避免遗漏对高风险项的处理。

第三，关键指标的密码应用要尽可能合规、正确、有效。重点关注《基本要求》中“应”的指标，尽可能选用二级密码模块，重视应用层的密码应用。“应用层的权重高达30分，做得不好可能就无法及格。”

最后，高风险项是“一票否决项”，坚决不能有。应格外注意应用存储加密等无缓解措施的条款；梳理密钥体系，避免密钥泄露、篡改等问题。

（来源：HIT专家网）

“4·15”全民国家安全教育日密码安全宣传挂图

天津“4·15”全民国家安全教育日密码安全宣传挂图

信息系统密码应用两项文件4月1日起正式施行

关于对通过商用密码检测机构（商用密码应用安全性评估业务）资质申请材料审查的机构名单进行公示的通知

电话：13821024385（胡双喜）

邮箱：tjmmlm@126.com

地址：天津市河西区泰山路6号