“密評(píng)”全稱(chēng)“密碼應(yīng)用安全性評(píng)估”�����,是指在采用密碼技術(shù)�、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中�,對(duì)其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估。開(kāi)展密評(píng)����,是國(guó)家相關(guān)法律法規(guī)提出的明確要求,是網(wǎng)絡(luò)安全運(yùn)營(yíng)者的法定責(zé)任和義務(wù)����。
密碼應(yīng)用是否合規(guī)、正確���、有效�����,涉及密碼算法�、協(xié)議����、產(chǎn)品、技術(shù)體系�、密鑰管理、密碼應(yīng)用多個(gè)方面��。通過(guò)密評(píng)可以及時(shí)發(fā)現(xiàn)在密碼應(yīng)用過(guò)程中存在的問(wèn)題����,為網(wǎng)絡(luò)和信息安全提供科學(xué)的評(píng)價(jià)方法,逐步規(guī)范密碼的使用和管理���,從根本上改變密碼應(yīng)用不廣泛��、不規(guī)范����、不安全的現(xiàn)狀�,確保密碼在網(wǎng)絡(luò)和信息系統(tǒng)中得到有效應(yīng)用����,切實(shí)構(gòu)建起堅(jiān)實(shí)可靠的網(wǎng)絡(luò)安全密碼保障���。
為了更加深入的了解“密評(píng)”,了解“密評(píng)”人員心中的商用密碼����,我們邀請(qǐng)到了三位密評(píng)機(jī)構(gòu)的專(zhuān)家,并就以下問(wèn)題展開(kāi)采訪(fǎng)���。
(注:以下內(nèi)容為真實(shí)調(diào)研����,具體密評(píng)機(jī)構(gòu)不便透露,敬請(qǐng)諒解)
心目中的商用密碼是怎樣的�����?
密評(píng)機(jī)構(gòu)一:原先我們對(duì)商用密碼的認(rèn)知大部分停留在密碼機(jī)或者CA等面向某一應(yīng)用解決單一問(wèn)題的產(chǎn)品���,但自從商用密碼應(yīng)用工作開(kāi)展推進(jìn)以來(lái)��,我們發(fā)現(xiàn)商用密碼的應(yīng)用也可以看成一個(gè)整體���,只是分工或者側(cè)重不同。我們必須開(kāi)始用一個(gè)整體的視角來(lái)看待商用密碼��,在業(yè)務(wù)中選擇一種合適的密碼保護(hù)手段���。
密評(píng)機(jī)構(gòu)二:密碼是國(guó)之重器����,是保障網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐�����。商用密碼還有五個(gè)缺一不可的、與特點(diǎn)�����、能力�����、過(guò)程相關(guān)的側(cè)面:
A.用途�。商用密碼用于保護(hù)不涉及國(guó)家秘密的信息系統(tǒng)�����,商用密碼為信息系統(tǒng)構(gòu)建“最低破壞代價(jià)”���,踐行“破壞收益遠(yuǎn)遠(yuǎn)小于破壞代價(jià)”���。
B.表現(xiàn)。至少包括密碼算法����、密碼技術(shù)、密碼產(chǎn)品�����、密碼服務(wù)和密鑰管理五個(gè)維度。
C.能力��。國(guó)內(nèi)密碼學(xué)家們按照國(guó)產(chǎn)商用密碼體系的“理論自信”����、“技術(shù)自信”、“產(chǎn)品自信”��,從無(wú)到有建立了分級(jí)分類(lèi)的評(píng)價(jià)指標(biāo)體系��。
D.適用范圍����。關(guān)鍵信息基礎(chǔ)設(shè)施、政務(wù)信息系統(tǒng)�、等級(jí)保護(hù)三級(jí)及以上信息系統(tǒng)需要使用商用密碼。影響國(guó)家安全�����、政治穩(wěn)定��、經(jīng)濟(jì)運(yùn)行的金融及重要領(lǐng)域���,不涉及國(guó)家秘密的信息系統(tǒng)�����,必須使用商用密碼保護(hù)�����,應(yīng)該經(jīng)得起密碼應(yīng)用安全性評(píng)估����。
E.落實(shí)過(guò)程�。即“同步規(guī)劃、同步建設(shè)��、同步運(yùn)行����、定期評(píng)估”。
密評(píng)機(jī)構(gòu)三:我國(guó)對(duì)密碼實(shí)行分類(lèi)管理����,密碼分為核心密碼、普通密碼和商用密碼���,核心密碼��、普通密碼屬于國(guó)家秘密�����,商用密碼是指對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品���。公民�、法人和其他組織均可依法用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全�。
怎么看待密評(píng)市場(chǎng)?
密評(píng)機(jī)構(gòu)一:目前來(lái)看密評(píng)市場(chǎng)整體剛起步��,但我們希望他穩(wěn)步推進(jìn)而不是爆發(fā)式增長(zhǎng)�。爆發(fā)式的增長(zhǎng)可能會(huì)讓業(yè)主方猝不及防,在理解不夠的情況下認(rèn)識(shí)不到密評(píng)工作的開(kāi)展對(duì)其日常信息安全工作所帶來(lái)的幫助�����;同時(shí)密評(píng)機(jī)構(gòu)人員培養(yǎng)容易斷檔���,導(dǎo)致為了實(shí)施項(xiàng)目而實(shí)施項(xiàng)目����,難以起到商用密碼應(yīng)用推進(jìn)工作宣傳隊(duì)的作用。
密評(píng)機(jī)構(gòu)二:推進(jìn)密碼應(yīng)用相關(guān)的市場(chǎng)至少包括二級(jí)����,一級(jí)是密碼檢測(cè)機(jī)構(gòu)間圍繞密碼應(yīng)用方案評(píng)估、信息系統(tǒng)安全性評(píng)估而競(jìng)爭(zhēng)的技術(shù)服務(wù)市場(chǎng)�����;另一級(jí)是信息系統(tǒng)責(zé)任單位���、政府職能監(jiān)管部分、信息系統(tǒng)供應(yīng)單位�,應(yīng)圍繞“關(guān)鍵信息基礎(chǔ)設(shè)施、政務(wù)信息系統(tǒng)����、等級(jí)保護(hù)三級(jí)及以上信息系統(tǒng)”的“供應(yīng)鏈優(yōu)化”“建設(shè)工程”競(jìng)爭(zhēng)的供應(yīng)鏈選擇市場(chǎng)。
未來(lái)應(yīng)該嚴(yán)格杜絕三種現(xiàn)象——“做等保送密評(píng)”�����、“湊夠60分消來(lái)文字表達(dá)高風(fēng)險(xiǎn)”����、“報(bào)告與系統(tǒng)風(fēng)馬牛不相及”���。第一級(jí)市場(chǎng)價(jià)值有五種來(lái)源,“去除非國(guó)家批準(zhǔn)的商用密碼算法”���、“去除非國(guó)家核準(zhǔn)的密碼技術(shù)”�����、“去除非國(guó)家認(rèn)證的密碼產(chǎn)品”�、“分辨密碼技術(shù)和密碼產(chǎn)品錯(cuò)誤應(yīng)用場(chǎng)景”��、“切斷密碼服務(wù)風(fēng)險(xiǎn)傳遞鏈條”����,最后兩個(gè)必須依據(jù)密碼原理。消除了“科學(xué)認(rèn)識(shí)”發(fā)現(xiàn)的“新風(fēng)險(xiǎn)”���,就是創(chuàng)造產(chǎn)業(yè)價(jià)值���;不能因?yàn)樯逃美娣峙涞狞c(diǎn)滴得失,踏進(jìn)背離“產(chǎn)業(yè)價(jià)值前進(jìn)方向”的誤區(qū)���。第二級(jí)市場(chǎng)不是一個(gè)獨(dú)立的市場(chǎng)����,目前的現(xiàn)狀是與信息系統(tǒng)軟件供應(yīng)、集成建設(shè)工程��、安全硬件產(chǎn)品供應(yīng)重合��。第二級(jí)市場(chǎng)還沒(méi)有真正做到充分尊重“三同步一評(píng)估”這個(gè)科學(xué)落實(shí)密碼應(yīng)用的規(guī)律���,運(yùn)行源頭還需要深入優(yōu)化�。
密評(píng)機(jī)構(gòu)三:根據(jù)《密碼法》��,“運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)��,自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估����?��!彼悦茉u(píng)是法律的要求�����,運(yùn)營(yíng)者有義務(wù)委托具有資質(zhì)的密評(píng)機(jī)構(gòu)對(duì)重要信息系統(tǒng)開(kāi)展商用密碼評(píng)估工作����;另一方面,目前數(shù)據(jù)安全越來(lái)越被重視���,而保證數(shù)據(jù)安全性的主要技術(shù)就是密碼技術(shù)����,驗(yàn)證密碼技術(shù)是否落實(shí)到位的方式就是進(jìn)行密評(píng)�。
在測(cè)評(píng)工程中,用戶(hù)對(duì)密碼的認(rèn)知和配合程度怎么樣�?
密評(píng)機(jī)構(gòu)一:目前業(yè)主方對(duì)密評(píng)的了解程度還不夠,密評(píng)的實(shí)際作用相比預(yù)期存在折扣��??蛻?hù)當(dāng)前主要承擔(dān)項(xiàng)目組織實(shí)施的角色,由用戶(hù)發(fā)起業(yè)務(wù)部門(mén)���、業(yè)務(wù)開(kāi)發(fā)單位���、安全運(yùn)維單位和密評(píng)機(jī)構(gòu)共同推進(jìn)實(shí)施。我們看到用戶(hù)想通過(guò)密評(píng)工作開(kāi)展過(guò)程來(lái)快速吸收密碼知識(shí)和密碼合規(guī)要求的意愿是十分明顯的�,但現(xiàn)在能給用戶(hù)從思路上把整體框架搭建好,并能清晰的講解清楚密評(píng)和密碼建設(shè)的人員實(shí)在太少。
密評(píng)機(jī)構(gòu)二:先從“配合”來(lái)說(shuō)�,有兩個(gè)極端比例,一極是高度配合�����,另一極是推脫�。一些信息化相關(guān)的從業(yè)人員的認(rèn)知不夠,太多數(shù)是對(duì)政策條例條文很熟悉����,對(duì)密碼應(yīng)用需要“合規(guī)、正確�、有效”也有很高的認(rèn)同,但商用密碼有四性——“機(jī)密性���、完整性�、真實(shí)性���、不可否認(rèn)性”,不同的保護(hù)對(duì)象�、不同的工作環(huán)境、不同的業(yè)務(wù)關(guān)注點(diǎn)�����,是無(wú)法構(gòu)建“千篇一律解決方案”的。
密評(píng)機(jī)構(gòu)三:參差不齊����,目前極少部分用戶(hù)還認(rèn)為密碼就是用戶(hù)口令,部分用戶(hù)把密碼技術(shù)片面的認(rèn)為是對(duì)數(shù)據(jù)進(jìn)行加密�����,因此配合程度一般����,有些產(chǎn)品開(kāi)發(fā)人員都不清楚自己的數(shù)據(jù)用什么算法加密。
在密評(píng)過(guò)程中最大的問(wèn)題/困難是什么�?
密評(píng)機(jī)構(gòu)一:目前遇到的主要困難是用戶(hù)方很少有密碼應(yīng)用情況的日常臺(tái)賬,所以前期溝通了解需要業(yè)主協(xié)調(diào)各業(yè)務(wù)�����、開(kāi)發(fā)�、運(yùn)維單位都到場(chǎng)。
密評(píng)機(jī)構(gòu)二:當(dāng)前密評(píng)過(guò)程中存在很多行業(yè)共識(shí)角度的困難�����,有源于保障費(fèi)用受限的問(wèn)題,也有受限于認(rèn)知水平的問(wèn)題�,還有非良性競(jìng)爭(zhēng)引起的問(wèn)題。不同能力的人員和機(jī)構(gòu)��,解決問(wèn)題/困難的范圍也是不同的��。
密評(píng)機(jī)構(gòu)三:最大的困難是取證困難�����,有些產(chǎn)品是成熟產(chǎn)品�����,現(xiàn)場(chǎng)配合人員不知道數(shù)據(jù)存放在哪個(gè)表里�,即使看到數(shù)據(jù)也需要查看代碼才能確定使用的是哪種算法,但一般廠(chǎng)商是不會(huì)提供源代碼的��,所以很難判定����。
現(xiàn)場(chǎng)企業(yè)通過(guò)率怎么樣?
密評(píng)機(jī)構(gòu)一:目前商用密碼的應(yīng)用程度還是比較低的���,客戶(hù)很擔(dān)心自己沒(méi)有拿到合格的結(jié)論或者評(píng)估后判分太低會(huì)面臨商密主管部門(mén)的監(jiān)管壓力�,在此我們也是建議用戶(hù)開(kāi)始關(guān)注商用密碼應(yīng)用建設(shè)工作��,可以考慮從易入難進(jìn)行逐步的整改���。
密評(píng)機(jī)構(gòu)二:非常低����。2020年1月1日后�����,規(guī)劃建設(shè)的信息化項(xiàng)目好一點(diǎn)��,但到目前沒(méi)遇到一例“符合”《信息系統(tǒng)密碼應(yīng)用基本要求》的案例���,我們測(cè)評(píng)且認(rèn)定“基本符合”的比例在3~5%左右�。2020年1月1日前規(guī)劃建設(shè)的信息化項(xiàng)目���,我們測(cè)評(píng)且認(rèn)定“不符合”的比例是100%����。
密評(píng)機(jī)構(gòu)三:由于密評(píng)工作剛剛起步�,很多老系統(tǒng)未采用國(guó)密目前通過(guò)比較低���,百分之九十的系統(tǒng)通過(guò)不了,目前基本上是30分左右����。提高通過(guò)率還需要一個(gè)過(guò)程,同時(shí)也需要政策的要求�。
問(wèn)個(gè)敏感話(huà)題:現(xiàn)在密評(píng)費(fèi)用高嗎?聽(tīng)從業(yè)者傳密評(píng)+方案的價(jià)格很高�?
密評(píng)機(jī)構(gòu)一:其實(shí)當(dāng)前密評(píng)的費(fèi)用在浙江省還是比較合理的,相對(duì)軟測(cè)或者等保測(cè)評(píng)的收費(fèi)會(huì)略高點(diǎn)�。當(dāng)前密碼人才急缺,導(dǎo)致又能分析密碼���,又能懂合規(guī)要求���,同時(shí)又要能給用戶(hù)提出中肯的參考意見(jiàn)的人員就更缺乏了;同時(shí)目前密評(píng)工作開(kāi)展中沒(méi)有一個(gè)全面的自動(dòng)化工具平臺(tái)��,全是密評(píng)人員人工來(lái)做出分析的��,所以基于上述�����,密評(píng)當(dāng)前費(fèi)用會(huì)高于一些日常所見(jiàn)的安全檢測(cè)。
密評(píng)機(jī)構(gòu)二:按落實(shí)“以評(píng)促改����、以評(píng)促建����、以評(píng)促用”的需要,依照國(guó)家密碼管理局測(cè)評(píng)機(jī)構(gòu)管理能力和機(jī)構(gòu)管理暫行辦法���,質(zhì)量管控和成本測(cè)算中包含多個(gè)維度��,且密評(píng)費(fèi)用高低與密評(píng)過(guò)程中企業(yè)的價(jià)值取向也相關(guān)����。所謂從業(yè)者傳“密評(píng)+方案的價(jià)格很高”����,大概率是其內(nèi)涵、質(zhì)量以及背后工作量和現(xiàn)實(shí)責(zé)任之間的差異��。
密評(píng)機(jī)構(gòu)三:密評(píng)的檢查項(xiàng)比等保要少�����,但對(duì)于密評(píng)工程師的要求比較高,而且目前能做密評(píng)的機(jī)構(gòu)少�,因此密評(píng)目前的費(fèi)用要比等保要高。
從行業(yè)招聘數(shù)據(jù)看����,密評(píng)工程師需求量是最多的,怎么看待密碼人才問(wèn)題��?
密評(píng)機(jī)構(gòu)一:當(dāng)前密碼人才急缺��,又能分析密碼�����、又能懂合規(guī)要求����、同時(shí)又要能給用戶(hù)提出中肯的參考意見(jiàn)的人員非常缺乏,這就需要從業(yè)人員不斷學(xué)習(xí)�、更新自己的知識(shí)庫(kù),同時(shí)也期望高校能培養(yǎng)更多的相關(guān)行業(yè)的人才���。
密評(píng)機(jī)構(gòu)二:國(guó)家推進(jìn)密碼應(yīng)用�����,所需要的密碼人才�,包括太多維度,算法設(shè)計(jì)人才�����,安全性分析人才����,密碼檢測(cè)人才�,密碼產(chǎn)品設(shè)計(jì)人才,包括密碼產(chǎn)品企業(yè)的售前售后�、咨詢(xún)和維護(hù)崗位,等等都有大量的用工需求��,都急需社會(huì)培養(yǎng)并供應(yīng)人才�����。密評(píng)工程師是近兩年從密碼檢測(cè)人才中����,隨“商用密碼應(yīng)用安全性評(píng)估”開(kāi)展而新出現(xiàn)的第三方技術(shù)服務(wù)人員。可以用一句概括:“密碼科學(xué)人才奠基�,密碼應(yīng)用人才弄潮,密碼檢測(cè)人才制衡”�。
密評(píng)機(jī)構(gòu)三:以前只有研究生階段才開(kāi)始有密碼方面的專(zhuān)業(yè),所以現(xiàn)階段密碼人才緊缺��,還需要現(xiàn)有從業(yè)人員的不斷學(xué)習(xí)��,還有高校的培養(yǎng)����。
評(píng)語(yǔ):
與行業(yè)專(zhuān)家的對(duì)話(huà)中不難看出,“密評(píng)”人員是最了解密碼市場(chǎng)的����,他們心中的商用密碼不僅僅是一個(gè)簡(jiǎn)單的概念,更是一種保護(hù)手段���,一種核心技術(shù)���,一種基礎(chǔ)支撐。目前����,數(shù)據(jù)安全越來(lái)越被重視�����,而密評(píng)市場(chǎng)剛剛起步��,保證數(shù)據(jù)安全性的主要技術(shù)就是密碼技術(shù)����,而驗(yàn)證密碼技術(shù)是否落實(shí)到位的方式就是進(jìn)行密評(píng)���。但密評(píng)市場(chǎng)還存在較大的問(wèn)題���,“做等保送密評(píng)”����,“湊夠60分消來(lái)文字表達(dá)高風(fēng)險(xiǎn)”,“報(bào)告與系統(tǒng)風(fēng)馬牛不相及”���,類(lèi)似這樣的問(wèn)題要嚴(yán)格杜絕�����。密評(píng)市場(chǎng)不是一個(gè)獨(dú)立的市場(chǎng)��,專(zhuān)家們更希望它能夠穩(wěn)步推進(jìn)而不是爆發(fā)式增長(zhǎng)��,保證密評(píng)人才不斷檔��,充分且深刻的理解密評(píng)工作的開(kāi)展對(duì)日常信息安全工作所帶來(lái)的幫助����。密評(píng)專(zhuān)家們表示,用戶(hù)想通過(guò)密評(píng)工作開(kāi)展過(guò)程來(lái)快速吸收密碼知識(shí)和密碼合規(guī)要求的意愿是十分明顯的�����,但現(xiàn)在能給用戶(hù)從思路上把整體框架搭建好����,并能清晰的講解清楚密評(píng)和密碼建設(shè)的人員實(shí)在太少。目前密評(píng)過(guò)程中存在很多行業(yè)共識(shí)角度的困難���,企業(yè)現(xiàn)場(chǎng)通過(guò)率也較低��,各企業(yè)要更加快速且詳細(xì)的開(kāi)展密評(píng)建設(shè)工作�����。密評(píng)的檢查項(xiàng)比等保要少�����,但對(duì)于密評(píng)工程師的要求比較高�����,而且目前能做密評(píng)的機(jī)構(gòu)少����,這也就可以理解為什么密評(píng)目前的費(fèi)用要比等保高。從行業(yè)數(shù)據(jù)來(lái)看����,密碼人才緊缺,且我們所需要的密碼人才需要多維度���,唯有從業(yè)人員的不斷學(xué)習(xí),加之社會(huì)培養(yǎng)并供應(yīng)人才���,才能在各方面達(dá)到并維持平衡�。
文章來(lái)源:等級(jí)保護(hù)測(cè)評(píng)
0531-67800866