开展国产密码应用和密码应用测评工作的重要意义

李志勇
密码体系是网络安全环境的基础,密码评测是密码体系建设优良最重要的考量,密码应用与密码评测工作同为网络安全环境建设的重要部分,意义重大。

网络安全形势所需:

1、网络空间霸权主义依然存在:互联网主根服务器位于美国,其他12个附属根服务器中的9个在美国,剩余3个部署于美国盟国境内,整体上互联网是由美国霸权控制的网联网。

2、敌对势力意图通过网络扳倒中国的图谋没有改变:西方国家长期制造不利我国的舆论环境,不利情形短期内难以扭转。外国情报机构、黑客组织针对我国的网络攻击层出不穷。

3、关键技术受制于人:中兴事件、华为事件,充分暴露出我国的网络技术及其他信息安全领域的技术受制于人。

4、密码技术不可控:密码技术作为网络安全基础性核心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技术。但前期通用的国际密码算法频繁被爆出漏洞。

所以:建设自主可控、安全领先、整体合规的密码体系迫在眉睫

国家网络安全战略所需:

中共中央办公厅 国务院办公厅下发《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》厅字【2018】36号 明确指出:

【密码】是保障网络安全的核心技术和基础支撑,在维护国家安全、促进经济社会发展、保护人民群众利益中发挥着不可替代的重要作用。并部署在金融和重要领域推进密码全面应用,着力在构建自主可控信息技术体系中推进密码优先发展,构建以密码技术为核心、多种技术相互融合的新网络安全体系,建设以密码基础设施为支撑的新网络安全环境。

全面提升密码基础支撑能力,进一步完善法规制度,促进密码产业发展,规范密码应用,加强事中事后监管,完善密码应用安全性评估审查机制,建立商用密码测评认证和分类检测体系。

所以:密码应用和密码测评成为落实国家网络安全战略的重要手段

法治所需:

我国社会全面进入法治社会,各行各业都需在法治框架下进行工作开展,信息化行业也不例外,《中华人民共和国网络安全法》就是现行信息化建设特别是网络安全工作的法律基础。在此基础上诸如《电子商务法》、《数据安全法》、《个人信息保护法》、《电子签名法》、《密码法》、《网络安全等级保护条例》等相关法律都在颁布、修订或制订中。

其中所有的法律或条例都明确要求要采用密码对系统、环境、数据等进行安全保护。

已经颁布执行的《密码法》明确指出:

【国家推进密码检测认证体系建设,制定密码检测、认证规则。密码检测、认证机构应当依法取得相关资质,并依照法律、法规的规定和密码检测、认证规则开展密码检测、认证。

国家对关键信息基础设施的密码应用安全性进行分类分级评估,按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查。】

另外,《网络安全等级保护条例》对于密码更是做了详实的要求说明,密码要求涉及【物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理】十个方面,达到全覆盖。同时对【云计算、移动互联网、物联网、工业控制系统】这样新型的应用形式给出了密码应用要求。同时特别强调【在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖】。

所以:密码应用和密码测评是落实《网络安全法》,践行依法治网重要保障

业务所需:

业务在安全技术层面重点涉及保密、完整、可靠,在体系层面涉及认证、授权、责任认定,在结果层面涉及真实、关联、合法(业务需求【三三原则】),而这三个层面的实现保障手段非密码技术莫属,而密码评测又是确实保障密码技术在落实“三三原则”时是否达到合规、正确、有效的最可行方法(有明确的标准和规范)。

所以:密码保障业务安全、密码评测保障密码体系完善,二者有机协同,才能建立完善的网络安全环境。

总结:

密码体系是网络安全环境的基础,密码评测是密码体系建设优良最重要的考量,密码应用与密码评测工作同为网络安全环境建设的重要部分,意义重大。希望从业者和应用者要重视密码体系建设的同时,更要重视密码评测工作,切实保障密码体系能被合规建设、正确应用、管理无盲区,防止被误导(当下太多的密码体系建设瑕疵太多,市场痕迹太重)。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论