中国科学院大学密码学院教授:密码技术理论和工程联系紧密。只有产学研用协同发力,提高产品规模,增强产品适应能力,才能在实际应用中优化提升密码技术。2020年1月开始施行的《中华人民共和国密码法》,为密码行业的发展奠定了良好基础,创造了发展机遇。密码技术研究人才的培养问题,也逐渐得到了社会的重视。如今密码学科迎来了新机遇和新挑战。只要认认真真学习、踏踏实实攻关,就能推动密码技术研究和应用再上台阶,为网络安全保驾护航。
密码体系是网络安全环境的基础,密码评测是密码体系建设优良最重要的条件,密码应用与密码评测工作同为网络安全环境建设的重要部分,意义重大。
网络安全防范性
随着全球信息化的飞速发展,整个世界正在迅速地融为一体,大量建设的各种信息化系统已经成为国家和政府的关键基础设施。众多的企业、组织、政府部门与机构都在组建和发展自己的网络,并连接到上,以充分共享、利用网络的信息和资源。
整个国家和社会对网络的依赖程度也越来越大,网络已经成为社会和经济发展的强大推动力,其地位越来越重要。但是,当资源共享广泛用于政治、军事、经济以及科学各个领域的同时,也产生了各种各样的问题,其中安全问题尤为突出。
不仅涉及个人利益、企业生存、金融风险等问题,还直接关系到社会稳定和等诸多方面,因此是信息化进程中具有重大战略意义的问题。了解网络面临的各种威胁,防范和消除这些威胁,实现真正的已经成为网络发展中最重要的事情之一。
法制需求
中华人民共和国网络安全法》就是现行信息化建设特别是网络安全工作的法律基础。在此基础上诸如《电子商务法》、《数据安全法》、《个人信息保护法》、《电子签名法》、《密码法》、《网络安全等级保护条例》等相关法律都在颁布、修订或制订中。其中所有的法律或条例都明确要求要采用密码对系统、环境、数据等进行安全保护。
《中华人民共和国密码法》出台:
01
《网络安全等级保护条例》对于密码更是做了详实的要求说明,密码要求涉及【物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理】十个方面,达到全覆盖。同时对【云计算、移动互联网、物联网、工业控制系统】这样新型的应用形式给出了密码应用要求。同时特别强调【在可能涉及法律责任认定的应用中,应采用密码技术提供数据证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖】。
02
国家推进密码检测认证体系建设,制定密码检测、认证规则。密码检测、认证机构应当依法取得相关资质,并依照法律、法规的规定和密码检测、认证规则开展密码检测、认证。
03
国家对关键信息基础设施的密码应用安全性进行分类分级评估,按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查。
所以:密码应用和密码测评是落实《网络安全法》,践行依法治网重要保障。
业务应用:
业务在安全技术层面重点涉及保密、完整、可靠,在体系层面认证、授权、责任认定,在结果层面涉及真实、关联、合法(业务需求【三三原则】),而这三个层面的实现保障手段非密码技术莫属,而密码评测又是确实保障密码技术在落实“三三原则”时是否达到合规、正确、有效的最可行方法(有明确的标准和规范)。
密码保障业务安全、密码评测保障密码体系完善,二者结合才能建立完善的网络安全环境。