隨著(zhù)《中華人民共和國網(wǎng)絡(luò )安全法》、《中華人民共和國密碼法》和《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》即等保2.0的相繼發(fā)布和正式實(shí)施，以及當下嚴峻的網(wǎng)絡(luò )安全形勢，網(wǎng)絡(luò )數據的保密性、完整性、可用性需求逐漸提高。密碼技術(shù)作為網(wǎng)絡(luò )安全的核心技術(shù)，合理運用密碼技術(shù)可以達到防泄密、防篡改、防假冒和抗抵賴(lài)的需求。因此，創(chuàng )新發(fā)展和掌握網(wǎng)絡(luò )安全核心技術(shù)，是牢牢掌握網(wǎng)絡(luò )安全主動(dòng)權，爭奪網(wǎng)絡(luò )空間話(huà)語(yǔ)權的重要舉措。與等保1.0相比，2.0提高了密碼技術(shù)的應用要求，對相關(guān)條款的測評方法也提出了更高的標準。

2016年11月7日，《中華人民共和國網(wǎng)絡(luò )安全法》（以下簡(jiǎn)稱(chēng)“網(wǎng)絡(luò )安全法”）正式發(fā)布，2017年6月1日起施行；2019年12月1日,等保2.0開(kāi)始實(shí)施；《中華人民共和國密碼法》（以下簡(jiǎn)稱(chēng)“密碼法”）于2019年10月26日通過(guò)表決，2020年1月1日起正式實(shí)施。這些法律法規有效地保障了網(wǎng)絡(luò )安全，維護了網(wǎng)絡(luò )空間主權和國家安全、社會(huì )公共利益，保護公民、法人和其他組織的合法權益，促進(jìn)了經(jīng)濟社會(huì )信息化健康發(fā)展。

(一) 網(wǎng)絡(luò )安全法

 “網(wǎng)絡(luò )安全法”總則第十條中明確，“維護網(wǎng)絡(luò )數據的完整性、保密性和可用性”。第二十一條中表明“國家實(shí)行網(wǎng)絡(luò )安全等級保護制度，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改，且需要采取數據分類(lèi)、重要數據備份和加密等措施”。以上內容均可以通過(guò)正確、有效地使用密碼技術(shù)來(lái)滿(mǎn)足相應的需求，其中使用密碼技術(shù)對數據加密可以防數據泄露，使用密碼技術(shù)的完整性功能可以防止攻擊者對數據的篡改。

(二) 密碼法

 “密碼法”是我國歷史上第一部密碼大法，旨在規范密碼應用和管理，促進(jìn)密碼事業(yè)發(fā)展，保障網(wǎng)絡(luò )與信息安全?！懊艽a法”第八條表明“公民、法人和其他組織可以依法使用商用密碼保護網(wǎng)絡(luò )與信息安全”。第二十七條“法律、行政法規和國家有關(guān)規定要求使用商用密碼進(jìn)行保護的關(guān)鍵信息基礎設施，其運營(yíng)者應當使用商用密碼進(jìn)行保護，自行或者委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關(guān)鍵信息基礎設施安全檢測評估、網(wǎng)絡(luò )安全等級測評制度相銜接，避免重復評估、測評”。同時(shí)建立了以國產(chǎn)密碼為核心的密碼體系：1）國家建立和完善商用密碼標準體系；2）推進(jìn)商用密碼檢測認證體系建設；3）商用密碼產(chǎn)品的檢測認證；4）關(guān)鍵信息基礎設施由商用密碼檢測機構開(kāi)展商用密碼應用安全性評估；5）采用商用密碼技術(shù)從事電子政務(wù)電子認證服務(wù)。

(三) 等保2.0

“等保2.0”在傳統信息系統模型的基礎上不僅增加了新技術(shù)的擴展要求，保護對象覆蓋更全面，還強化了密碼技術(shù)的應用和管理要求，包括通信傳輸、數據存儲、身份鑒別、產(chǎn)品采購、使用和密鑰管理中均有密碼相關(guān)的要求。

隨著(zhù)密碼法的發(fā)布和等保2.0強化了密碼方面的要求，我們有必要更好地使用密碼技術(shù)夯實(shí)安全基礎、滿(mǎn)足多方合規、保證整體安全。我們測評機構也應加強對密碼相關(guān)要求項的測評，結合網(wǎng)絡(luò )安全法、密碼法和密碼相關(guān)的國家標準、行業(yè)標準，探索更合理的方式開(kāi)展等保2.0密碼相關(guān)要求的測評。

(一) 密碼相關(guān)條款分布

以等保2.0的三級安全通用要求為例，在十個(gè)層面中，有五個(gè)層面，共十三個(gè)安全要求項包含了密碼技術(shù)和管理的要求。

(二) 相關(guān)條款及測評方法簡(jiǎn)述

1. 安全通信網(wǎng)絡(luò )

8.1.2.2 通信傳輸a) 應采用校驗技術(shù)或密碼技術(shù)保證通信過(guò)程中數據的完整性。

8.1.2.2 通信傳輸b) 應采用密碼技術(shù)保證通信過(guò)程中數據的保密性。

在網(wǎng)絡(luò )通信中，通常需要對通信數據進(jìn)行完整性驗證，從而防止通信過(guò)程中因線(xiàn)路故障或惡意攻擊導致的通信數據篡改；保密性則是對數據做加密處理，在網(wǎng)絡(luò )通信中實(shí)現防竊聽(tīng)。主要檢查通信過(guò)程中使用的是何種加密傳輸協(xié)議，使用的算法套件是否具有安全隱患。

2. 安全計算環(huán)境

身份鑒別

8.1.4.1 身份鑒別c) 當進(jìn)行遠程管理時(shí)，應采取必要的措施防止鑒別信息在網(wǎng)絡(luò )傳輸過(guò)程中被竊聽(tīng)。

若使用SSH或HTTPS協(xié)議進(jìn)管理，且其中使用了安全的算法套件，通常都是符合的。對于應用系統可能在前端使用一些其他方式對用戶(hù)鑒別信息加密傳輸，并配合后端解密。這一點(diǎn)需要根據應用實(shí)際情況來(lái)看。

8.1.4.1 身份鑒別d) 應采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶(hù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來(lái)實(shí)現。

采用雙因素進(jìn)行身份鑒別，其中一種需使用密碼技術(shù)。這里的密碼技術(shù)包括且不僅包括動(dòng)態(tài)口令、使用數字證書(shū)的智能密碼鑰匙或智能IC卡等。

動(dòng)態(tài)口令技術(shù)：應使用密碼技術(shù)生成動(dòng)態(tài)口令（一次一密的HMAC）。若為手機短信驗證碼，也應使用密碼技術(shù)生成。

數字證書(shū)技術(shù)：檢查智能密碼鑰匙、智能IC卡中的數字證書(shū)，并進(jìn)行驗簽試驗。

數據傳輸完整性、保密性

8.1.4.7 數據完整性a) 應采用校驗技術(shù)或密碼技術(shù)保證重要數據在傳輸過(guò)程中的完整性，包括但不限于鑒別數據、重要業(yè)務(wù)數據、重要審計數據、重要配置數據、重要視頻數據和重要個(gè)人信息等。

8.1.4.8 數據保密性a) 應采用密碼技術(shù)保證重要數據在傳輸過(guò)程中的保密性，包括但不限于鑒別數據、重要業(yè)務(wù)數據和重要個(gè)人信息等；

對于管理設備和應用的數據傳輸，可以直接檢查其傳輸協(xié)議是否使用了加密協(xié)議。在內網(wǎng)環(huán)境中，有些應用未使用加密協(xié)議，但是相關(guān)的重要信息使用了其他方式進(jìn)行完整性或保密性保護，如使用信源加密代替信道加密。系統中使用數字簽名技術(shù)進(jìn)行完整性保護時(shí)，則可以使用相應的公鑰對抓取的簽名結果進(jìn)行驗證。

數據傳輸保密性：在加密機上截取加密前后的數據，來(lái)驗證數據是否加密傳輸。若輸入和輸出加密機前后的數據分別是明、密文，且加密后的數據格式符合預期，則可以判定為符合。傳輸傳輸完整性：使用抓包工具截取數據包，模擬中間人攻擊，并將其中的重要數據篡改后發(fā)包，從而驗證系統是否可以探測數據包被破壞。

數據存儲完整性、保密性

8.1.4.7數據完整性b) 應采用校驗技術(shù)或密碼技術(shù)保證重要數據在存儲過(guò)程中的完整性，包括但不限于鑒別數據、重要業(yè)務(wù)數據、重要審計數據、重要配置數據、重要視頻數據和重要個(gè)人信息等。

8.1.4.8 數據保密性b) 應采用密碼技術(shù)保證重要數據在存儲過(guò)程中的保密性，包括但不限于鑒別數據、重要業(yè)務(wù)數據和重要個(gè)人信息等。

數據存儲完整性，通過(guò)檢查保護完整性的數據格式（如簽名長(cháng)度、MAC長(cháng)度）符合預期；數據存儲保密性，可以直接查看存儲數據是否為明文存儲，存儲的數據格式是否符合預期。

3. 安全管理中心

8.1.5.4 集中管控b) 應能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò )中的安全設備或安全組件進(jìn)行管理。

檢查管理安全設備或安全組件前是否建立安全信息傳輸通道，如使用SSH、HTTPS協(xié)議的傳輸路徑。若使用了相應安全傳輸通道，檢查所使用的協(xié)議的密碼套件是否存在使用具有安全風(fēng)險的密碼算法。

4. 安全建設管理

8.1.9.3 產(chǎn)品采購和使用b) 應確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼管理主管部門(mén)的要求。

檢查信息系統中所使用到的密碼產(chǎn)品或服務(wù)供應商是否具有國密局頒發(fā)的 “商用密碼產(chǎn)品銷(xiāo)售許可證”或 “電子認證服務(wù)使用密碼許可證”。

新出臺的“密碼法”的第26條也明確，重要的商用密碼產(chǎn)品，應當依法列入網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄，由具備資格的機構檢測認證合格后，方可銷(xiāo)售或者提供。商用密碼服務(wù)使用網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品的，也是要取得該商用密碼服務(wù)認證合格的。具體內容可以之后參考“密碼法”相關(guān)內容。

8.1.9.7 測試驗收b) 應進(jìn)行上線(xiàn)前的安全性測試，并出具安全測試報告，安全測試報告應包含密碼應用安全性測試相關(guān)內容。

訪(fǎng)談建設負責人和查閱相關(guān)安全測試報告，在系統上線(xiàn)前是否經(jīng)過(guò)由第三方檢測機構進(jìn)行密碼應用安全性測試。

5. 安全運維管理

8.1.10.9 密碼管理a) 應遵循密碼相關(guān)國家標準和行業(yè)標準。

8.1.10.9 密碼管理b) 應使用國家密碼管理部門(mén)認證核準的密碼技術(shù)和產(chǎn)品。

可以與相關(guān)負責人了解密鑰方面是如何管理的，是否遵循相關(guān)標準，并檢查系統中使用的密碼產(chǎn)品是否具有商用密碼產(chǎn)品型號證書(shū)。該證書(shū)中通常會(huì )說(shuō)明該產(chǎn)品所遵循的規范等。