密评观点|关基系统物理环境密评改造必要性

在《密码法》的要求下，在国标《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）的指导下，政务、金融、能源、教育等行业陆续开展密评工作，并出台相关标准、要求及密改建设方案。关键信息基础设施、政务信息系统、等保三级以上信息系统需要通过密评后才能进行等保测评。

随着新修订的《商用密码管理条例》的颁布，密码技术成为守护信息安全的重要防御手段，是维护国家网络安全提供坚强法治的重要保障，国家已经确定了通过商用密码来解决信息安全的路线。通过密评检测密码应用的合规性、正确性和有效性，及时发现在密码应用过程中存在的问题，对业务系统的密码应用进行优化改造，确保密码在网络和信息系统中得到有效应用，切实构建起坚实可靠的网络安全密码保障。

密评工作开展至今，很多业主单位面对众说纷纭的改造方案和各式各样的密评建议，如：“业务系统零改造，信息系统免集成”、“忽略物理环境也能过密评”、“包过密评”、“只改业务系统就能过密评”、“忽略应用层，只靠物理、网络层也能过密评”等众多方案和说法。将业主单位代入了只做部分整改就能做密评的误区，由于物理和环境的密改创新应用厂商较少，而传统的密码厂家缺少这一部分的解决方案，在方案交流时会引导业主单位忽略这一部分的整改，导致部分单位忽略了物理与环境层面的整改。

密评对技术要求的测评项和分数分别是：物理和环境10分、网络和通信20分、设备与计算10分、应用与数据30分；根据《商用密码应用安全性评估量化评估规则》第6部分整体结论判定，只有达到分数阈值、且没有高风险项，才能判定被测信息系统基本符合GB/T39786-2021相应等级要求。其中身份鉴别是密评中的高风险项，在4个层面中均有涉及，忽略哪一个层面的整改，在密评时就会碰到高风险被“一票否决”。

针对以上这类观点是对GB/T 39786-2021的解读不够准确以及对《商用密码应用安全性评估量化评估规则》的评分不够了解。《关键信息保护条例》中明确提出：运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。物理和环境是关基系统中重点要保护的部分，需要密码技术和密码设备做防护，也是关基系统“过密评”的重点测评部分。

某能源行业在密改的比选方案中强调物理和环境层面进行密评改造的重要性，要求下属单位在做密评项目改造时重点做物理和环境，加强对关键基础设备的安全防护，对密码设备提出了更高的要求，要求密码设备需满足密评四级要求。物理与环境作为关键基础系统密码应用安全性评估的一个重要环节，是推进密码技术应用的关键要素、保障关基系统设备和信息数据安全，为网络安全与信息安全提供重要的安全保障。

近日，国家密码管理局局务会议审议通过《商用密码应用安全性评估管理办法》，《办法》的制定细化《密码法》、《条例》关于商用密码应用安全性评估工作主体、方式、程序、备案等方面要求。密评作为落实《中华人民共和国密码法》的重要举措，及时发现在密码应用过程中存在的问题，为网络和信息安全提供科学的评价方法，逐步规范密码的使用和管理，从根本上改变密码应用不广泛、不规范、不安全的现状，确保密码在网络和信息系统中得到有效应用，切实构建起坚实可靠的网络安全密码保障。