密码是我们党和国家的“命门”“命脉”,密码工作是保障网络与信息安全的核心技术和基础支撑,直接关系国家政治安全、经济安全、国防安全和信息安全。采用国产密码产品或直接对现有信息系统进行密码改造,是提高信息系统安全性的必经之路。本文将从密码应用安全建设意义出发,结合密码应用安全建设过程中存在问题提出相关建议。

一、密码应用安全建设的重要意义

近年来,随着《中华人民共和国网络安全法》《中华人民共和国密码法》等法律法规的陆续出台,网络安全、密码应用受到社会各界的广泛关注,尤其是“商用密码应用安全性评估”机制的确立,让各重点行业逐渐意识到密码技术在企业安全防护体系中的重要作用。但是,由于各行业信息化发展程度不同,一些重要领域的网络和信息系统仍存在密码应用不规范、密码保障体系不健全等突出问题,密码应用安全建设迫在眉睫。

概念

定义

商用密码应用安全性评估

商用密码应用安全性评估(简称“密评”),指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性等进行评估。

密码应用安全建设

密码应用安全建设(又称“密评建设”或“密评改造”)指由集成商或代理商对用户单位信息系统为了有效符合“密评”而进行的项目集成实施或改造工作。

二、密码应用安全建设存在的问题

(一)顶层统筹规划性较弱

一是对于密码应用安全建设工作认知有待提高。随着商用密码应用安全性评估工作的推进,大多数密码应用单位已经开始意识到密码建设的重要性,但是,普遍还没有意识到密码应用安全建设是落实“以密码技术为核心和基础支撑,融合其他安全技术共同构建安全环境”国家要求的开始。二是密码应用安全建设工作全局视野有待加强。在短期内,密码应用单位可以将“满足密评要求”作为阶段性目标,但长远看,密码应用还要涉及体系、技术、产品、应用、管理、检测、服务、运维、应急等多方面的内容,所以密码应用安全建设工作要具有全局观念、大局意识,合规并非最终目的,而是企业安全体系建设的开始。

(二)密码建设行业性较为缺失

随着密码行业的共同探索,业内已初步形成以“密评”为核心的密码应用建设方案,但由于各重点行业信息化发展水平不一,商用密码技术应用情况不平衡,相同领域每家单位密码应用情况也不尽相同,尤其是在密码应用安全建设工作开展前没有对信息系统实际情况进行考察评估,未对管理制度、业务发展、数据安全、传统安全、特殊场景等实际情况进行有效的适配,脱离具体信息系统实际情况,而生硬地使用已经成型固定密码应用安全建设方案,导致密码应用安全建设工作达不到预期效果。

(三)密码专业型人才紧缺

密码行业蓬勃发展,密码应用安全建设工作依赖有经验的专业密码人才,而我国密码科学与技术专业2021年才列入普通高等学校本科专业目录的新专业名单,密码方面人力储备严重不足。正是因为缺少既能分析密码,又能懂测评要求的专业密码人才,致使密码应用单位对密码应用安全建设工作了解不足,密码应用安全建设工作几乎完全依赖于密码应用安全建设服务提供商,密码应用安全建设服务提供商的工作量进一步加重。

三、密码应用安全建设的对策建议

为进一步提升密码应用安全建设发展水平,本文提出以下四点对策建议。

(一)密码应用单位

1.重安全,健全密码防护体系

一是提升安全认识。要统筹安排好《信息系统密码应用基本要求》学习贯彻工作,做到重点教育与集中培训相结合,严格过程考核,同时要突出重点,使密码应用人才深刻理解与密码应用安全建设相关的各项政策规定,提升工作的能力和水平。二是健全密码应用体系,以密码法和相关标准为主要依据,建立健全密码应用工作发展目标与实际需求相适应的制度体系。此外,密码应用单位应拉近与密码应用安全建设服务提供商的供需双向距离,形成合力。

2.明需求,落实密码应用建设

一是,密码应用单位应站在行业角度,关注不同行业中对信息系统密码应用相关标准要求,明确信息系统业务需求,结合自身情况从整体上进行密码应用工作的规划设计,做到密码应用安全建设工作的正确性、有效性、合法性、长期性。二是,在明确安全需求之后,应尽快将密码算法、技术、产品尽快落实于新建信息系统,优先选用获得国密认证的密码技术、密码产品和密码服务,避免后续因密评需求而重复采购建设。

(二)密码应用安全建设服务提供商

密码应用安全建设服务提供商应不断提高自身能力水平,提高信息系统与密码产品的匹配度。

1.加强密码适配研究,提高产品服务能力

密码应用安全建设服务提供商以“加强密码产品适配研究,提高密码服务能力”为核心原则,以适配自身管理和服务机制为重点工作,以相关技术标准为主要依据,以整体提升自身服务能力为最终目标开展相关工作。从被测主体的信息系统出发,从GB/T 39786-2021《信息系统密码应用基本要求》要求的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行及应急处置等层面,进行密码应用需求分析,做好前期密码应用安全建设准备和密码应用安全建设方案的编制,得出最适合密码应用单位的解决方案。

2.做好场景差异分析,兼顾未来发展需求

一是,密码应用安全建设服务提供商在密码应用安全建设工作中使用相关密码产品时,要针对已建的信息系统,开展差距分析,梳理保护对象、应用场景及防护现状,总结当前差异形成密码应用需求,根据密码应用需求设计密码应用方案,有的放矢地去使用具体的密码产品。二是,随着数字化转型的不断推进,业务系统中智能化物联网设备大量增加,逐渐成为开展密评的重要节点。密码应用安全建设服务提供商在编制密码应用安全建设方案时,不仅需要适配主体现阶段的业务系统,还应兼顾其未来一段时间的密评业务需求。(张也、武洲铭)

声明:本文来自赛瑞评测,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。