“商密”市场风起,深度剖析“密评”的前世今生
发布时间 2022-05-09商用密码管理发展简述
1999年10月,《商用密码管理条例》正式由国务院颁布施行,标志着我国商用密码发展和管理从此走上了法治化的轨道。
2003年9月,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文件,第一次明确提出“加强以密码技术为基础的信息保护和网络信任体系建设”。
2013年6月,“棱镜计划”被曝光,加之后续不断被披露的“后门”事件,导致国际形势复杂程度日益加剧,我国关键技术领域自主可控被战略性提出。这使得国家商用密码管理的进程明显加快。
在密码算法层面上,国家密码管理局先后颁布了一系列商用密码算法,包括SM1、SM2、SM3、SM4、SM7、SM9以及祖冲之密码算法(ZUC)等。其中,SM1、SM4、SM7以及祖冲之密码算法(ZUC)属于对称加密算法,SM2、SM9属于非对称密码算法,而SM3是密码杂凑算法,即哈希算法。SM1、SM7算法不公开,需要通过专用加密芯片接口进行调用;SM2、SM3、SM4和SM9算法均已被采纳为ISO/IEC国际标准。
在制度文件层面上,从2018年中办、国办联合发布的《金融和重要领域密码应用与创新发展工作规划(2018-2022)》(厅字[2018]36号),到2019年《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》(国办发〔2019〕57号),再到2020年《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960号)等一系列指导文件陆续出台,为我国商用密码应用推广提供了强有力的制度支撑,注入了强劲的发展动能。
特别是2020年1月1日《中华人民共和国密码法》的正式施行,更是为密码产业的规模化发展提供了重大机遇,也为商用密码应用市场的发展提供了广阔舞台。同时,作为指导商用密码应用与安全性评估工作的基础性标准,《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)也已经于2021年10月1日正式实施,这对于规范和引导信息系统合规、正确、有效应用密码,切实开展密评建设工作具有重要意义。
信息系统密评的必要性
“密评”全称为商用密码应用安全性评估,指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
概括地讲,开展密评工作的必要性包括以下三个方面:
1、应对网络安全形势的实际需求
密码是重要领域网络和信息系统关键设备自主可控的必选项,不用密码或者不用自主可控的密码,就好比一个房子,其他部分建得再牢,但锁是简易锁,或者钥匙是别人的,不可能安全可控。
通过开展密评工作,能够及时发现在密码应用过程中存在的问题,为网络安全建设提供科学的评价方法,继而逐步规范密码的使用和管理,从根本上改变密码应用不广泛、不规范、不安全的现状,确保密码在信息系统中得到有效应用,有效构建起坚实可靠的密码应用安全保障体系。
2、国家相关法律法规的明确要求
《中华人民共和国网络安全法》第十条:建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
《中华人民共和国密码法》第二十七条:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
《商用密码应用安全性评估管理办法(试行)》第三条:涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系,实施商用密码应用安全性评估。第十条:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
《国家政务信息化项目建设管理办法》第十五条:项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。
3、相关责任主体的法定职责
密评工作的责任主体是涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位。密评对象包括基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。
因此,开展密评工作是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。
密评建设工作的要诀
1、数据分类分级,密评建设之前提
众所周知,数据分类分级是密评建设工作的前提。无论是物理和环境、设备和计算、网络和通信层面,还是应用和数据层面,均强调的是对重要数据的安全保护工作。尤其是在应用和数据层面,更是明确要求保证信息系统重要数据在传输、存储过程的机密性和完整性;如访问控制信息、鉴别数据、重要业务数据、重要审计数据、个人敏感信息均是信息系统和网络中的重要数据。
通过数据分类分级管理,能够厘清数据资产、确定数据重要性及敏感程度,知晓重要数据存储在哪里,以便按照密评要求对其实行保护,满足密评工作对于重要数据的安全保护要求,防控数据风险、保障数据交易、释放数据价值。
2、避免触碰红线,做到安全合规
《信息系统密码应用高风险判定指引》是由中国密码学会密评联委会发布的指导文件,是密评工作中的重要参考基线,也就是涉及到高风险的测评项,均为一票否决项(共16项),即常说的密评建设中的红线。
因此,在实际密评建设项目的方案设计、集成实施中必须有效规避或消除16条一票否决项,避免触碰红线,保障密码应用的安全性、合规性。
3、应用系统开发改造,绕不过去的坎
当前,对应用系统进行开发改造来满足密评的要求,的确是个绕不过去的坎,也是密评建设工作的一个关键点。
我们已经了解,密评建设要做到安全、合规,无论是已有信息系统,还是新建信息系统,都必须与服务器密码机、签名验签服务器、时间戳服务器等密码类产品进行对接开发,即第三方应用系统直接调用此类密码产品的标准API接口,来满足数据加解密、数据完整性保护、数据签名/验签(身份鉴别)、权威时间标记等技术要求。
密码应用安全建设已经成为我国网络安全建设的第三大合规市场,除了传统密码厂商,还有许多企业也已经或正在进入这个赛道,并陆续推出自己的密码卡、服务器密码机、安全认证网关等密码类产品。由此,在未来的3~5年时间里,密码应用安全建设的市场格局可能会出现网络安全企业与传统密码厂商之间既相互竞争,又相互融合的新局面。
启明星辰作为网络安全产业中主力经典产业板块的龙头企业,同时也是新兴前沿产业板块的引领企业和可持续健康业务模式和健康产业生态的支柱企业,将重点布局和把握新的市场发展机遇,凭借自身独特优势和过硬技术实力,加强核心技术攻关,持续推进国家商密事业稳健前行。
小贴士
①“密评”,指的是由密评机构对用户单位信息系统密码应用的合规性、正确性和有效性进行检测和评估工作。
②“密评建设”,或“密评改造”,本文又称为“密码应用安全建设”,指的是由集成商或代理商对用户单位的信息系统为了有效符合“密评”而进行的项目集成实施或改造工作。
京公网安备11010802024551号