首頁 > 關于我們 > 新聞動態 > 深度解讀

“商密”市場風起,深度剖析“密評”的前世今生

發布時間 2022-05-09
眾所周知,密碼作為網絡安全的核心技術和基礎支撐,是構建網絡信任體系的重要基石。而密評工作是對網絡和信息系統中商用密碼應用的合規性、正確性和有效性進行檢測與評估。若想真正厘清密評工作的意義和內容,還是要著重回顧一下我國商用密碼管理的發展歷程。



商用密碼管理發展簡述



1999年10月,《商用密碼管理條例》正式由國務院頒布施行,標志著我國商用密碼發展和管理從此走上了法治化的軌道。


2003年9月,《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)文件,第一次明確提出“加強以密碼技術為基礎的信息保護和網絡信任體系建設”。


2013年6月,“棱鏡計劃”被曝光,加之后續不斷被披露的“后門”事件,導致國際形勢復雜程度日益加劇,我國關鍵技術領域自主可控被戰略性提出。這使得國家商用密碼管理的進程明顯加快。


在密碼算法層面上,國家密碼管理局先后頒布了一系列商用密碼算法,包括SM1、SM2、SM3、SM4、SM7、SM9以及祖沖之密碼算法(ZUC)等。其中,SM1、SM4、SM7以及祖沖之密碼算法(ZUC)屬于對稱加密算法,SM2、SM9屬于非對稱密碼算法,而SM3是密碼雜湊算法,即哈希算法。SM1、SM7算法不公開,需要通過專用加密芯片接口進行調用;SM2、SM3、SM4和SM9算法均已被采納為ISO/IEC國際標準。


在制度文件層面上,從2018年中辦、國辦聯合發布的《金融和重要領域密碼應用與創新發展工作規劃(2018-2022)》(廳字[2018]36號),到2019年《國務院辦公廳關于印發國家政務信息化項目建設管理辦法的通知》(國辦發〔2019〕57號),再到2020年《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》(公網安〔2020〕1960號)等一系列指導文件陸續出臺,為我國商用密碼應用推廣提供了強有力的制度支撐,注入了強勁的發展動能。


特別是2020年1月1日《中華人民共和國密碼法》的正式施行,更是為密碼產業的規?;l展提供了重大機遇,也為商用密碼應用市場的發展提供了廣闊舞臺。同時,作為指導商用密碼應用與安全性評估工作的基礎性標準,《信息安全技術信息系統密碼應用基本要求》(GB/T39786-2021)也已經于2021年10月1日正式實施,這對于規范和引導信息系統合規、正確、有效應用密碼,切實開展密評建設工作具有重要意義。



信息系統密評的必要性



“密評”全稱為商用密碼應用安全性評估,指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中,對其密碼應用的合規性、正確性和有效性進行評估。


概括地講,開展密評工作的必要性包括以下三個方面:


1、應對網絡安全形勢的實際需求


密碼是重要領域網絡和信息系統關鍵設備自主可控的必選項,不用密碼或者不用自主可控的密碼,就好比一個房子,其他部分建得再牢,但鎖是簡易鎖,或者鑰匙是別人的,不可能安全可控。


通過開展密評工作,能夠及時發現在密碼應用過程中存在的問題,為網絡安全建設提供科學的評價方法,繼而逐步規范密碼的使用和管理,從根本上改變密碼應用不廣泛、不規范、不安全的現狀,確保密碼在信息系統中得到有效應用,有效構建起堅實可靠的密碼應用安全保障體系。


2、國家相關法律法規的明確要求


《中華人民共和國網絡安全法》第十條:建設、運營網絡或者通過網絡提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性。


《中華人民共和國密碼法》第二十七條:法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。


《商用密碼應用安全性評估管理辦法(試行)》第三條:涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位應當健全密碼保障體系,實施商用密碼應用安全性評估。第十條:關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,每年至少評估一次。


《國家政務信息化項目建設管理辦法》第十五條:項目建設單位應當落實國家密碼管理有關法律法規和標準規范的要求,同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。


3、相關責任主體的法定職責


密評工作的責任主體是涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位。密評對象包括基礎信息網絡、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制系統、面向社會服務的政務信息系統,以及關鍵信息基礎設施、網絡安全等級保護第三級及以上的信息系統。


因此,開展密評工作是國家相關法律法規提出的明確要求,是網絡安全運營者的法定責任和義務。



密評建設工作的要訣



1、數據分類分級,密評建設之前提


眾所周知,數據分類分級是密評建設工作的前提。無論是物理和環境、設備和計算、網絡和通信層面,還是應用和數據層面,均強調的是對重要數據的安全保護工作。尤其是在應用和數據層面,更是明確要求保證信息系統重要數據在傳輸、存儲過程的機密性和完整性;如訪問控制信息、鑒別數據、重要業務數據、重要審計數據、個人敏感信息均是信息系統和網絡中的重要數據。


通過數據分類分級管理,能夠厘清數據資產、確定數據重要性及敏感程度,知曉重要數據存儲在哪里,以便按照密評要求對其實行保護,滿足密評工作對于重要數據的安全保護要求,防控數據風險、保障數據交易、釋放數據價值。


2、避免觸碰紅線,做到安全合規


《信息系統密碼應用高風險判定指引》是由中國密碼學會密評聯委會發布的指導文件,是密評工作中的重要參考基線,也就是涉及到高風險的測評項,均為一票否決項(共16項),即常說的密評建設中的紅線。


因此,在實際密評建設項目的方案設計、集成實施中必須有效規避或消除16條一票否決項,避免觸碰紅線,保障密碼應用的安全性、合規性。


3、應用系統開發改造,繞不過去的坎


當前,對應用系統進行開發改造來滿足密評的要求,的確是個繞不過去的坎,也是密評建設工作的一個關鍵點。


我們已經了解,密評建設要做到安全、合規,無論是已有信息系統,還是新建信息系統,都必須與服務器密碼機、簽名驗簽服務器、時間戳服務器等密碼類產品進行對接開發,即第三方應用系統直接調用此類密碼產品的標準API接口,來滿足數據加解密、數據完整性保護、數據簽名/驗簽(身份鑒別)、權威時間標記等技術要求。


密碼應用安全建設已經成為我國網絡安全建設的第三大合規市場,除了傳統密碼廠商,還有許多企業也已經或正在進入這個賽道,并陸續推出自己的密碼卡、服務器密碼機、安全認證網關等密碼類產品。由此,在未來的3~5年時間里,密碼應用安全建設的市場格局可能會出現網絡安全企業與傳統密碼廠商之間既相互競爭,又相互融合的新局面。


啟明星辰作為網絡安全產業中主力經典產業板塊的龍頭企業,同時也是新興前沿產業板塊的引領企業和可持續健康業務模式和健康產業生態的支柱企業,將重點布局和把握新的市場發展機遇,憑借自身獨特優勢和過硬技術實力,加強核心技術攻關,持續推進國家商密事業穩健前行。


小貼士


①“密評”,指的是由密評機構對用戶單位信息系統密碼應用的合規性、正確性和有效性進行檢測和評估工作。


②“密評建設”,或“密評改造”,本文又稱為“密碼應用安全建設”,指的是由集成商或代理商對用戶單位的信息系統為了有效符合“密評”而進行的項目集成實施或改造工作。



上一篇 下一篇