三方共谋商密生态——测评中心有话说
“密评”全称“密码应用安全性评估”,是指在采用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。开展密评,是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。
密码应用是否合规、正确、有效,涉及密码算法、协议、产品、技术体系、密钥管理、密码应用多个方面。通过密评可以及时发现在密码应用过程中存在的问题,为网络和信息安全提供科学的评价方法,逐步规范密码的使用和管理,从根本上改变密码应用不广泛、不规范、不安全的现状,确保密码在网络和信息系统中得到有效应用,切实构建起坚实可靠的网络安全密码保障。
为了更加深入的了解“密评”,了解“密评”人员心中的商用密码,我们邀请到了三位密评机构的专家,并就以下问题展开采访。
(注:以下内容为真实调研,具体密评机构不便透露,敬请谅解)
心目中的商用密码是怎样的?
密评机构一:原先我们对商用密码的认知大部分停留在密码机或者CA等面向某一应用解决单一问题的产品,但自从商用密码应用工作开展推进以来,我们发现商用密码的应用也可以看成一个整体,只是分工或者侧重不同。我们必须开始用一个整体的视角来看待商用密码,在业务中选择一种合适的密码保护手段。
密评机构二:密码是国之重器,是保障网络安全的核心技术和基础支撑。商用密码还有五个缺一不可的、与特点、能力、过程相关的侧面:
A.用途。商用密码用于保护不涉及国家秘密的信息系统,商用密码为信息系统构建“最低破坏代价”,践行“破坏收益远远小于破坏代价”。
B.表现。至少包括密码算法、密码技术、密码产品、密码服务和密钥管理五个维度。
C.能力。国内密码学家们按照国产商用密码体系的“理论自信”、“技术自信”、“产品自信”,从无到有建立了分级分类的评价指标体系。
D.适用范围。关键信息基础设施、政务信息系统、等级保护三级及以上信息系统需要使用商用密码。影响国家安全、政治稳定、经济运行的金融及重要领域,不涉及国家秘密的信息系统,必须使用商用密码保护,应该经得起密码应用安全性评估。
E.落实过程。即“同步规划、同步建设、同步运行、定期评估”。
密评机构三:我国对密码实行分类管理,密码分为核心密码、普通密码和商用密码,核心密码、普通密码属于国家秘密,商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。公民、法人和其他组织均可依法用商用密码保护网络与信息安全。
怎么看待密评市场?
密评机构一:目前来看密评市场整体刚起步,但我们希望他稳步推进而不是爆发式增长。爆发式的增长可能会让业主方猝不及防,在理解不够的情况下认识不到密评工作的开展对其日常信息安全工作所带来的帮助;同时密评机构人员培养容易断档,导致为了实施项目而实施项目,难以起到商用密码应用推进工作宣传队的作用。
密评机构二:推进密码应用相关的市场至少包括二级,一级是密码检测机构间围绕密码应用方案评估、信息系统安全性评估而竞争的技术服务市场;另一级是信息系统责任单位、政府职能监管部分、信息系统供应单位,应围绕“关键信息基础设施、政务信息系统、等级保护三级及以上信息系统”的“供应链优化”“建设工程”竞争的供应链选择市场。
未来应该严格杜绝三种现象——“做等保送密评”、“凑够60分消来文字表达高风险”、“报告与系统风马牛不相及”。第一级市场价值有五种来源,“去除非国家批准的商用密码算法”、“去除非国家核准的密码技术”、“去除非国家认证的密码产品”、“分辨密码技术和密码产品错误应用场景”、“切断密码服务风险传递链条”,最后两个必须依据密码原理。消除了“科学认识”发现的“新风险”,就是创造产业价值;不能因为商用利益分配的点滴得失,踏进背离“产业价值前进方向”的误区。第二级市场不是一个独立的市场,目前的现状是与信息系统软件供应、集成建设工程、安全硬件产品供应重合。第二级市场还没有真正做到充分尊重“三同步一评估”这个科学落实密码应用的规律,运行源头还需要深入优化。
密评机构三:根据《密码法》,“运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”所以密评是法律的要求,运营者有义务委托具有资质的密评机构对重要信息系统开展商用密码评估工作;另一方面,目前数据安全越来越被重视,而保证数据安全性的主要技术就是密码技术,验证密码技术是否落实到位的方式就是进行密评。
在测评工程中,用户对密码的
认知和配合程度怎么样?
密评机构一:目前业主方对密评的了解程度还不够,密评的实际作用相比预期存在折扣。客户当前主要承担项目组织实施的角色,由用户发起业务部门、业务开发单位、安全运维单位和密评机构共同推进实施。我们看到用户想通过密评工作开展过程来快速吸收密码知识和密码合规要求的意愿是十分明显的,但现在能给用户从思路上把整体框架搭建好,并能清晰的讲解清楚密评和密码建设的人员实在太少。
密评机构二:先从“配合”来说,有两个极端比例,一极是高度配合,另一极是推脱。一些信息化相关的从业人员的认知不够,太多数是对政策条例条文很熟悉,对密码应用需要“合规、正确、有效”也有很高的认同,但商用密码有四性——“机密性、完整性、真实性、不可否认性”,不同的保护对象、不同的工作环境、不同的业务关注点,是无法构建“千篇一律解决方案”的。
密评机构三:参差不齐,目前极少部分用户还认为密码就是用户口令,部分用户把密码技术片面的认为是对数据进行加密,因此配合程度一般,有些产品开发人员都不清楚自己的数据用什么算法加密。
在密评过程中最大的问题/困难
是什么?
密评机构一:目前遇到的主要困难是用户方很少有密码应用情况的日常台账,所以前期沟通了解需要业主协调各业务、开发、运维单位都到场。
密评机构二:当前密评过程中存在很多行业共识角度的困难,有源于保障费用受限的问题,也有受限于认知水平的问题,还有非良性竞争引起的问题。不同能力的人员和机构,解决问题/困难的范围也是不同的。
密评机构三:最大的困难是取证困难,有些产品是成熟产品,现场配合人员不知道数据存放在哪个表里,即使看到数据也需要查看代码才能确定使用的是哪种算法,但一般厂商是不会提供源代码的,所以很难判定。
现场企业通过率怎么样?
密评机构一:目前商用密码的应用程度还是比较低的,客户很担心自己没有拿到合格的结论或者评估后判分太低会面临商密主管部门的监管压力,在此我们也是建议用户开始关注商用密码应用建设工作,可以考虑从易入难进行逐步的整改。
密评机构二:非常低。2020年1月1日后,规划建设的信息化项目好一点,但到目前没遇到一例“符合”《信息系统密码应用基本要求》的案例,我们测评且认定“基本符合”的比例在3~5%左右。2020年1月1日前规划建设的信息化项目,我们测评且认定“不符合”的比例是100%。
密评机构三:由于密评工作刚刚起步,很多老系统未采用国密目前通过比较低,百分之九十的系统通过不了,目前基本上是30分左右。提高通过率还需要一个过程,同时也需要政策的要求。
问个敏感话题:现在密评费用高吗?
听从业者传密评+方案的价格很高?
密评机构一:其实当前密评的费用在浙江省还是比较合理的,相对软测或者等保测评的收费会略高点。当前密码人才急缺,导致又能分析密码,又能懂合规要求,同时又要能给用户提出中肯的参考意见的人员就更缺乏了;同时目前密评工作开展中没有一个全面的自动化工具平台,全是密评人员人工来做出分析的,所以基于上述,密评当前费用会高于一些日常所见的安全检测。
密评机构二:按落实“以评促改、以评促建、以评促用”的需要,依照国家密码管理局测评机构管理能力和机构管理暂行办法,质量管控和成本测算中包含多个维度,且密评费用高低与密评过程中企业的价值取向也相关。所谓从业者传“密评+方案的价格很高”,大概率是其内涵、质量以及背后工作量和现实责任之间的差异。
密评机构三:密评的检查项比等保要少,但对于密评工程师的要求比较高,而且目前能做密评的机构少,因此密评目前的费用要比等保要高。
从行业招聘数据看,密评工程师
需求量是最多的,怎么看待密码
人才问题?
密评机构一:当前密码人才急缺,又能分析密码、又能懂合规要求、同时又要能给用户提出中肯的参考意见的人员非常缺乏,这就需要从业人员不断学习、更新自己的知识库,同时也期望高校能培养更多的相关行业的人才。
密评机构二:国家推进密码应用,所需要的密码人才,包括太多维度,算法设计人才,安全性分析人才,密码检测人才,密码产品设计人才,包括密码产品企业的售前售后、咨询和维护岗位,等等都有大量的用工需求,都急需社会培养并供应人才。密评工程师是近两年从密码检测人才中,随“商用密码应用安全性评估”开展而新出现的第三方技术服务人员。可以用一句概括:“密码科学人才奠基,密码应用人才弄潮,密码检测人才制衡”。
密评机构三:以前只有研究生阶段才开始有密码方面的专业,所以现阶段密码人才紧缺,还需要现有从业人员的不断学习,还有高校的培养。