1.2 密码应用安全性评估的基本原理

商用密码应用安全性评估（简称“密评”）是指在采用商用密码技术、产品和服务集成建设的网络与信息系统中，对其密码应用的合规性、正确性、有效性等进行评估。如同风险评估是信息安全管理过程的重要组成部分一样，密评也是密码应用管理过程的重要组成部分和不可缺失的环节。

本节简要介绍信息安全管理过程和风险评估方法，详细阐述密评在密码应用管理中的定位，及其与产品检测、系统安全、风险评估的关系。

1.2.1 信息安全管理过程

信息是一种重要资产，需要得到妥善保护和安全管理。人们在长期信息安全实践中逐渐认识到，纯粹依靠技术手段建立信息安全保障体系，不可能达到对整个系统的安全保护。管理因素在信息安全中的重要性逐渐得到提升，在信息安全中发挥着不可或缺的作用。信息安全管理给出了一套可以被管理层理解的制度框架和一系列安全管理要项，并指导组织（信息系统的责任方）通过采用适当的控制措施，建立完善的信息安全管理体系。

1．信息安全管理标准

国际上重要的信息安全管理标准有ISO/IEC TR13335、BS7799、NIST SP800系列等。其中，英国标准协会（BSI）制定的BS7799标准的影响力最为广泛，基本上已经成为国际公认的信息安全管理体系认证标准。2000年12月，BS7799-1通过国际标准化组织（ISO）认可，正式成为国际标准ISO/IEC 17799，这是通过ISO表决最快的一个标准，足见世界各国对该标准的关注和接受程度。2005年，改版后的BS7799-2成为ISO/IEC 27001，即信息安全管理体系要求。我国信息安全管理标准GB/T 22080-2016《信息技术安全技术信息安全管理体系要求》就是等同采用的国际标准ISO/IEC 27001:2013。

这些信息安全管理标准提出了有效实施信息安全管理的建议，介绍了信息安全管理的方法和程序。用户可以参照信息安全管理标准制定自己的安全管理计划和实施步骤，为规划、实施和估量有效的安全管理实践提供参考依据。在信息安全管理标准中，信息安全不再是人们传统观念上的安全，即添加防火墙或路由器等简单的设备就可保证安全，而是一种系统和全局的观念。

信息安全管理标准基于风险管理的思想，指导组织建立信息安全管理体系。信息安全管理体系是一个系统化、程序化和文件化的管理体系，基于系统、全面、科学的安全风险评估，体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规及其他合同方要求，强调全过程和动态控制，本着成本控制与风险平衡的原则，合理选择安全控制方式保护组织所拥有的关键信息资产，使信息风险的发生概率和危害降低到可接受水平，确保信息的保密性、完整性和可用性，保持组织业务运作的持续性。

2．PDCA管理循环

PDCA（Plan-Do-Check-Act）管理循环，即“计划-实施-检查-改进”管理循环，是一种经典的信息安全过程管理方式。PDCA管理循环由美国质量管理专家休哈特博士首先提出，由美国质量管理专家戴明采纳、宣传并获得普及，所以又称作“戴明环”。

在ISO/IEC 27001-2005中，PDCA管理循环成为标准所强调的，用于建立、实施信息安全管理体系并持续改进其有效性的方法。PDCA管理循环被ISO 9001、ISO 14001等国际管理体系标准广泛采用，是保证管理体系持续改进的有效模式。PDCA管理循环鼓励其用户强调下列内容的重要性：理解组织的信息安全要求，以及为信息安全建立方针和目标的需求；在管理组织整体业务风险背景下实施和运行控制；监控并评审信息安全管理体系的业绩和有效性；在目标测量的基础上持续改进。PDCA管理循环如图1-2所示，“计划-实施-检查-改进”四个步骤组成一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效螺旋上升。

PDCA管理循环的四个阶段可简单描述如下：

1）计划（Plan）阶段——建立信息安全管理体系环境

计划阶段是PDCA管理循环的“启动器”，目的是确保正确建立信息安全管理体系的范围和详略程度，识别并评估所有的信息安全风险，为这些风险制定适当的处理计划，给出风险评估和最终的信息系统安全控制方案。计划阶段所有重要活动都应当记录，并形成文档，以备将来追溯和控制更改情况。

在计划阶段，需要在安全策略的指导下对信息安全管理体系所涉及范围进行风险评估，通过安全设计产生最终的信息系统安全控制方案，用于指导随后的实施阶段。安全设计的任务之一是获取系统安全组件。系统安全组件可以是技术的，也可以是非技术的。非技术组件一般指制度方面，包括各种规章、条例、操作守则等；技术组件在物理形态上一般是计算机软/硬件，这些软/硬件可以自行开发或委托开发，也可以以商业采购或政府采购形式获得。对于需要商业采购或政府采购的产品，在安全控制方案中应给出候选产品列表。

2）实施（Do）阶段——实施并运行信息安全管理体系

实施阶段的任务是以适当的优先权进行管理运作，执行所选择的控制，用以管理计划阶段所识别的信息安全风险。对于那些被评估认为是可接受的风险，可以不必采取进一步的措施；对于不可接受的风险，则需要实施所选择的控制。计划的成功实施需要有效的管理系统，并且要依据规定的方式方法监控这些活动。在不可接受的风险被降低或转移之后，还会有一部分剩余风险，应对这部分风险进行监视，确保风险导致的影响和破坏被快速识别并得到适当管理。

实施阶段需要分配适当的资源（人员、时间和资金等）运行信息安全管理体系以及所有的安全控制。这包括将所有已实施的控制文件化，以及对信息安全管理体系文件的积极维护。在实施阶段需要监视风险变化，识别新的风险可能对业务产生的影响。

3）检查（Check）阶段——监视并评审信息安全管理体系

检查阶段是PDCA管理循环的关键阶段，是信息安全管理体系分析运行效果、寻求改进机会的阶段。应通过多种方式检查信息安全管理体系是否运行良好，如果发现某些控制措施不合理、不充分，就要采取纠正措施，防止信息系统处于不可接受的风险状态。例如，执行程序和其他控制，以快速检测处理结果中存在的错误，评审信息安全管理体系的有效性，评估剩余风险和可接受风险的等级，审核执行管理程序是否适当、是否符合标准以及是否按照预期的目的进行工作，评审记录并报告可能影响信息安全管理体系有效性的所有活动、事件。

检查阶段与计划阶段相辅相成。从管理循环的角度讲，这两个阶段是管理循环的主要驱动。从信息保障的角度讲，检查体现了主动防御的理念。检查阶段的实质是在运行期检查已实施的风险控制措施是否行之有效，这实质上也是风险评估活动，因此风险评估在信息安全管理中并不是仅在计划阶段才会用到。

4）改进（Act）阶段——改进信息安全管理体系

改进阶段是根据检查阶段的结论来改进系统。如果评审无问题，则继续执行；若评审有问题，则按照既定方案修正；如果存在不符合项，则采用纠正措施，就是另一次的PDCA管理循环。要把改进放在信息安全管理体系持续完善的大背景下，以长远的眼光来谋划，确保改进不仅能够解决眼前问题，还要杜绝类似事故再发生，或者降低其再发生的可能性。

1.2.2 信息安全风险评估

1．信息安全风险评估定义

信息系统的安全风险，是由来自于自然、环境或人为的威胁，利用系统存在的脆弱性，给系统造成负面影响的潜在可能。

GB/T 20984-2007《信息安全技术 信息安全风险评估规范》对信息安全风险评估的定义是：依据有关信息技术标准，对业务和信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估信息系统资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。在NIST SP 800-12中有这样的描述：“信息安全风险评估是分析和解释风险的过程，包括三个基本活动：确定评估范围和方法，搜集和分析风险相关数据，解释风险评估结果。”

总的来说，信息安全风险评估是确定和认识信息系统安全风险，并对风险进行分析，根据选定的标准对风险进行评价，从而为进一步处置风险提供科学依据的过程。

2．信息安全风险评估的目的和用途

风险评估的目的是评价目标实体的安全风险。根据既定的风险接受准则判定风险是否被接受：对于可接受风险，只做标识、监视而不做额外控制；对于不可接受风险，采取措施将其降低到可接受程度。

风险评估贯穿于信息系统生命周期各个阶段，信息系统生命周期各阶段涉及的风险评估的原则和方法是一致的，由于各阶段实施的内容、对象、安全需求不同，风险评估的对象、目的、要求等各方面也有所不同，即风险评估在不同阶段发挥不同的作用。具体而言，在计划（Plan）阶段，通过风险评估以确定系统的安全目标；在实施（Do）阶段，通过风险评估以确定系统的安全目标达成与否；在检查（Check）阶段，也就是运行维护阶段，要不断地实施风险评估以识别系统面临的不断变化的风险，从而确定安全措施的有效性，确保安全目标得以实现。因此，每个阶段风险评估的具体实施应根据该阶段的特点有所侧重。

3．信息安全风险评估的基本要素

了解信息安全风险基本要素及各要素间的关系是信息安全风险评估的基础。信息安全风险评估的基本要素包括资产、威胁、脆弱性、风险和安全措施，信息安全风险评估围绕这五个要素进行。

资产（Asset）是对组织有价值的信息或者资源，是安全策略保护的对象，主要指通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。资产包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。

威胁（Threat）是可能对资产或组织造成损害的意外事件的潜在因素，即某种威胁源成功利用特定弱点对资产造成负面影响的潜在可能。威胁类型包括人为威胁（故意或无意）和非人为威胁（自然和环境）。识别并评估威胁时需要考虑威胁源的动机和能力。风险评估关心的是威胁发生的可能性。

脆弱性（Vulnerability）也称为漏洞，即可能被威胁利用的资产或若干资产的薄弱环节。薄弱环节一旦被利用，就可能对资产造成损害。脆弱性本身并不能构成伤害，它只是被威胁利用来实施影响的一个条件。在风险评估过程中要识别脆弱性，并评估脆弱性的严重性和可被利用的容易程度。

风险（Risk）即威胁发生时，给组织带来的直接或间接的损失或伤害。风险可以用其发生的概率和危害的大小来度量。

安全措施（Security Measure）是保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制。

风险评估中基本要素的关系如图1-3所示，图1-3中方框部分的内容为风险评估的基本要素。风险评估基本要素应包括战略、业务、资产、威胁、脆弱性、安全措施和风险，并基于以上要素开展风险评估。

开展风险评估时，应考虑基本要素之间的以下关系：

①组织的发展战略依赖业务实现，业务重要性与其在战略中所处的地位相关；

②业务的开展需要资产作为支撑，而资产会暴露出脆弱性；

③安全措施的实施要考虑需保障的业务以及所应对的威胁；

④风险的分析与计算，应综合考虑业务、资产、脆弱性、威胁和安全措施等基本因素。

1.2.3 密码应用安全性评估的定位

1．密码应用安全性评估在密码应用管理中的定位

在信息安全管理标准BS7799中，信息安全管理采用“计划-实施-检查-改进”循环，即PDCA管理循环保证管理体系持续改进。同样，如图1-4所示，密码应用管理过程应遵循信息安全管理科学规律，采用“计划-实施-检查-改进”循环，以保证密码应用管理体系的持续改进。密码应用安全性评估是保障密码应用合规、正确、有效的重要手段，它使密码应用管理过程构成闭环，促进密码应用管理体系持续改进。密码应用安全性评估活动贯穿于密码应用管理过程整个生命周期。

在计划（Plan）阶段，应详细梳理分析信息系统所包含的网络平台、应用系统和数据资源的信息保护需求，定义密码应用安全需求，设计密码应用总体架构和详细方案，也就是设计出具体的密码应用方案，包括拟使用的密码组件、密码产品、协议、服务等密码支撑资源。根据《商用密码应用安全性评估管理办法（试行）》的要求，在信息系统规划阶段，信息系统责任方应当依据密码技术标准，制定密码应用方案，组织专家或委托具有相关资质的测评机构进行评估。对密码应用方案的评估是保证计划（Plan）阶段有效性（密码应用方案的合理性）的必要手段，密码应用方案通过评估或者整改通过后，可进入系统建设阶段，也就是信息安全管理的实施（Do）阶段。

在实施（Do）阶段，信息系统责任方需要按照计划（Plan）阶段产出的密码应用方案实施系统建设。由于密码技术只有得到合规、正确、有效应用，才能发挥安全支撑作用，因此，信息系统应用开发商要具备正确规范使用密码支撑资源的基本能力，并应系统了解、提炼用户实际安全需求，细化密码应用方案，确保在调用密码支撑资源建设安全应用的过程中做到“正确规范”，避免发生弃用、乱用、误用密码技术的情况。

在检查（Check）阶段，密码应用安全性评估包括初次评估、定期评估和应急评估三种情况。针对已经建设完成的信息系统，责任方应当进行密码应用安全性评估，即初次评估，评估结果作为项目建设验收的必备材料，评估通过后，方可投入运行。系统投入运行后，信息系统责任方应当定期开展密码应用安全性评估，即定期评估。其中，关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年应至少评估一次。当系统发生密码相关重大安全事件、重大调整或特殊紧急情况时，信息系统责任方应当及时开展密码应用安全性评估，即应急评估，并依据评估结果进行应急处置。

若评估未通过，信息系统责任方应当限期整改并重新组织评估，也就是进入信息安全管理的改进（Act）阶段，进入新一轮的PDCA管理循环。只有系统整改完成，并通过重新评估后方可投入运行。

从图1-4可以看出，密码应用管理形成了一个完整的循环，且密码应用安全性评估过程是其中重要的组成部分。密码应用安全性评估能够保证各个阶段密码应用的有效性，并能够持续改进密码在信息系统中应用的安全性，保障密码应用动态安全，为信息系统的安全提供坚实的基础支撑。

2．密码应用安全性评估与信息安全产品检测的关系

采用质量合格的信息安全产品是信息安全保障措施有效的基础，典型的信息安全产品包括安全路由器、防火墙等。建设一个信息系统，在信息安全管理的计划（Plan）阶段，就应完成所需要使用的信息安全产品的选型；在制定密码应用方案时，也应完成所需要使用的密码产品的选型。

产品的质量通常由第三方检测机构依据相关标准实施检测来保证。通过边界划定的方法，密码产品（如密码机、智能IC卡等）可以当作一个“密码模块”，按照密码模块的标准对密码产品自身的安全防护能力进行检测。由于密码模块提供的安全功能比较确定，因此对密码模块的安全性评价可以遵循统一的标准（GM/T 0028-2014《密码模块安全技术要求》及其配套的GM/T 0039-2015《密码模块安全检测要求》），即用统一的标准来度量不同类型密码产品的安全等级。在密码模块的基础上，可以搭建功能更加多样的信息安全产品，如安全路由器。信息安全产品的检测依据信息技术安全评估通用准则（CC）。由于各类信息安全产品的差异性，CC中定义了保护轮廓（PP），并将其作为一类产品的安全功能要求和安全保障要求的特定子集，对该类产品的评估依据该子集进行。CC体系中还有一类角色是安全目标（ST），ST依赖具体实现方案。

信息系统由包括密码产品在内的各类信息安全产品有机组合而成，密码应用安全性评估面向的是整个信息系统。密码应用安全性评估的模式类似于信息产品安全性检测的“CC+PP+ST”模式，GM/T 0054-2018《信息系统密码应用基本要求》及其配套标准是信息系统密码应用准则，类似“CC”的地位；随着密评工作的深入，会出现针对某类型信息系统的密码应用要求类标准，例如“金融IC卡发卡系统密码应用要求”，这相当于“PP”的角色；某个信息系统的密码应用方案则相当于“ST”的角色。由于现阶段针对特定类型信息系统的密码应用要求类标准正在持续完善中，对于没有相应密码应用要求标准的信息系统，应依照GM/T 0054-2018对密码应用方案进行评估。这凸显了密码应用方案的重要性，方案通过评估是开展密码应用安全性评估的基础。

需要注意的是，用户可以根据需求（包括要保护资产的价值和密码产品的使用环境）选择和部署不同等级的密码产品搭建信息系统。但是，密码产品的安全等级与信息系统的安全等级无直接关系，例如，已经采取了完善物理防护设施的信息系统，就不需要再采用具有非常高等级物理防护能力的密码产品。也就是说，若信息系统所在的运行环境相对安全，则可以使用较低安全等级的密码产品；若信息系统所在的运行环境安全风险较高，就应当使用较高安全等级的密码产品。

3．密码应用安全性评估与信息系统安全的关系

在信息系统建设时，按照通过评估的密码应用方案及系统安全方案部署密码产品和信息安全产品，只是确保信息系统安全的基础，动态地进行安全性评估能有效反映和保障信息系统的安全水平。这是因为系统结构性脆弱点，并不是随意部署单个或几个产品就可以弥补的，需要客观、全面地分析系统风险，并利用密码应用安全性评估、网络安全等级保护测评等手段对信息系统的安全进行系统评估。

密码应用安全性评估对信息系统采用的密码算法、密码技术、密码产品和密码服务进行全面规范，对密码应用技术和管理的各个层面提出系统性的要求，并在信息系统规划、建设和运行等阶段规范实施，能够有效保障密码应用的整体安全、系统安全和动态安全。此外，除了要对信息系统的密码应用安全进行评估，还需要对信息系统的业务和服务安全进行评估（如进行网络安全等级保护测评）。需要指出的是，无法通过密码应用安全性评估的系统通常也不安全，因为信息安全的基础——密码的应用安全没有得到保障。

4．密码应用安全性评估与信息安全风险评估的关系

分析信息系统的密码应用安全需求、制定密码应用方案，需要基于信息安全风险评估的结果；进行密码应用安全性评估时，在给出测评结果后，还需判断密码应用是否有效解决了相关的安全问题、是否还存在高风险的情况。

具体来说，测评人员要根据威胁类型和威胁发生频率，判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性；根据资产价值的高低，判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用后，对被测系统的业务信息安全造成的影响程度；综合前两者的结果，测评机构根据自身经验和相关国家标准要求，对被测系统面临的安全风险进行赋值（例如，高、中、低）。如果存在高风险项，则认为信息系统面临高风险；同时也需要考虑多个中低风险叠加可能导致的高风险问题。存在高风险的信息系统不能通过密码应用安全性评估。

可以看出，密码应用安全性评估借鉴了风险评估的原理和方法，测评人员需要具有系统化、专业化的密码应用安全性评估能力和一定的信息安全风险评估能力。