三方合谋米尚生态——测评中心说点什么

“秘密评估”的全称是“密码应用安全评估”,是指对密码技术、产品和服务融合构建的网络和信息系统中密码应用的合规性、正确性和有效性的评估。进行保密评估是国家相关法律法规提出的明确要求,是网络安全运营者的法律责任和义务。

密码应用是否合规、正确、有效,涉及密码算法、协议、产品、技术系统、密钥管理、密码应用。通过秘密评估,可以及时发现密码应用中存在的问题,为网络和信息安全提供科学的评估方法,逐步规范密码的使用和管理,从根本上改变密码使用不广泛、不规范、不安全的现状,使密码在网络和信息系统中得到有效应用,构建坚实可靠的网络安全密码保障。

为了更深入地了解“密评”以及“密评”人员心目中的商业密码,我们邀请了三位密评机构的专家就以下问题进行了访谈。

(注:以下内容为真实调查,具体保密评估机构不便透露。请理解)

心目中的商用密码是怎样的?

密评机构一:起初,我们对商用密码的大部分了解都停留在解决某个应用单一问题的产品上,比如密码机或CA。但是自从商用密码的应用推广后,我们发现商用密码的应用也可以看成一个整体,只是分工或侧重点不同。我们必须开始从整体的角度看待商业密码,在商业中选择合适的密码保护方法。

密评机构二:密码是国家最重要的设备,是保障网络安全的核心技术和基础支撑。商业密码还有五个与特性、功能和流程相关的不可或缺的方面:

A.使用。商业密码用于保护不涉及国家机密的信息系统。商业密码为信息系统构建了“最低的损害成本”,实践证明“损害收益远远小于损害成本”。

B.性能。它至少包括五个维度:密码算法、密码技术、密码产品、密码服务和密钥管理。

C.能力。国内密码学家根据国内商用密码系统的“理论信心”、“技术信心”和“产品信心”,建立了从无到有的分类评价指标体系。

D.适用范围。关键信息基础设施、政务信息系统、三级及以上信息系统需要使用商用密码。影响国家安全、政治稳定和经济运行的金融和重要领域,以及不涉及国家秘密的信息系统,必须采用商业密码进行保护,并应能经受密码应用的安全评估。

E.实施过程。即“同步规划、同步建设、同步运营、定期评估”。

密评机构三:中国对密码实行分类管理,分为核心密码、普通密码和商用密码。核心密码和普通密码属于国家秘密,而商用密码是指用于对不涉及国家秘密的信息进行加密保护或安全认证的密码技术和密码产品。公民、法人和其他组织可以依法使用商业密码保护网络和信息安全。

怎么看待密评市场?

密评机构一:目前,保密评估市场整体刚刚起步,但我们希望它稳步推进,而不是爆发。爆炸式的增长可能会让业主措手不及,在认识不足的情况下,没有意识到保密评估给日常信息安全工作带来的帮助;同时,涉密评估机构的人才培养容易被打破,导致以实施项目为目的而实施项目,难以发挥宣传团队促进t

密评机构二:与推广密码应用相关的市场至少包括两个层面。第一个层面是技术服务市场,密码测试机构围绕密码应用方案和信息系统安全的评估展开竞争。另一级是信息系统责任单位、政府职能监管部门和信息系统供应单位。市场应围绕“关键信息基础设施、政务信息系统、三级及以上防护信息系统”、“供应链优化”和“建设项目”的竞争性供应链进行选择。

今后要严格杜绝三种现象,——、“保底交货做秘密评估”、“做足60分用文字表达高风险”、“报告与制度无关”。一级市场价值的来源有五个,即去除未经国家批准的商用密码算法、去除未经国家批准的密码技术、去除未经国家认证的密码产品、区分密码技术和密码产品的错误应用场景、切断密码服务的风险传导链。最后两个必须基于密码原理。消除“科学认识”发现的“新风险”,意味着创造产业价值;因为无法分配商业利益。

得失,踏进背离“产业价值前进方向”的误区。第二级市场不是一个独立的市场,目前的现状是与信息系统软件供应、集成建设工程、安全硬件产品供应重合。第二级市场还没有真正做到充分尊重“三同步一评估”这个科学落实密码应用的规律,运行源头还需要深入优化。

密评机构三:根据《密码法》,“运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”所以密评是法律的要求,运营者有义务委托具有资质的密评机构对重要信息系统开展商用密码评估工作;另一方面,目前数据安全越来越被重视,而保证数据安全性的主要技术就是密码技术,验证密码技术是否落实到位的方式就是进行密评。

在测评工程中,用户对密码的

认知和配合程度怎么样?

密评机构一:目前业主方对密评的了解程度还不够,密评的实际作用相比预期存在折扣。客户当前主要承担项目组织实施的角色,由用户发起业务部门、业务开发单位、安全运维单位和密评机构共同推进实施。我们看到用户想通过密评工作开展过程来快速吸收密码知识和密码合规要求的意愿是十分明显的,但现在能给用户从思路上把整体框架搭建好,并能清晰的讲解清楚密评和密码建设的人员实在太少。

密评机构二:先从“配合”来说,有两个极端比例,一极是高度配合,另一极是推脱。一些信息化相关的从业人员的认知不够,太多数是对政策条例条文很熟悉,对密码应用需要“合规、正确、有效”也有很高的认同,但商用密码有四性——“机密性、完整性、真实性、不可否认性”,不同的保护对象、不同的工作环境、不同的业务关注点,是无法构建“千篇一律解决方案”的。

密评机构三:参差不齐,目前极少部分用户还认为密码就是用户口令,部分用户把密码技术片面的认为是对数据进行加密,因此配合程度一般,有些产品开发人员都不清楚自己的数据用什么算法加密。

在密评过程中最大的问题/困难

是什么?

密评机构一:目前遇到的主要困难是用户方很少有密码应用情况的日常台账,所以前期沟通了解需要业主协调各业务、开发、运维单位都到场。

密评机构二:当前密评过程中存在很多行业共识角度的困难,有源于保障费用受限的问题,也有受限于认知水平的问题,还有非良性竞争引起的问题。不同能力的人员和机构,解决问题/困难的范围也是不同的。

密评机构三:最大的困难是取证困难,有些产品是成熟产品,现场配合人员不知道数据存放在哪个表里,即使看到数据也需要查看代码才能确定使用的是哪种算法,但一般厂商是不会提供源代码的,所以很难判定。

现场企业通过率怎么样?

密评机构一:目前商用密码的应用程度还是比较低的,客户很担心自己没有拿到合格的结论或者评估后判分太低会面临商密主管部门的监管压力,在此我们也是建议用户开始关注商用密码应用建设工作,可以考虑从易入难进行逐步的整改。

密评机构二:非常低。2020年1月1日后,规划建设的信息化项目好一点,但到目前没遇到一例“符合”《信息系统密码应用基本要求》的案例,我们测评且认定“基本符合”的比例在3~5%左右。2020年1月1日前规划建设的信息化项目,我们测评且认定“不符合”的比例是100%。

密评机构三:由于密评工作刚刚起步,很多老系统未采用国密目前通过比较低,百分之九十的系统通过不了,目前基本上是30分左右。提高通过率还需要一个过程,同时也需要政策的要求。

问个敏感话题:现在密评费用高吗?

听从业者传密评+方案的价格很高?

密评机构一:其实当前密评的费用在浙江省还是比较合理的,相对软测或者等保测评的收费会略高点。当前密码人才急缺,导致又能分析密码,又能懂合规要求,同时又要能给用户提出中肯的参考意见的人员就更缺乏了;同时目前密评工作开展中没有一个全面的自动化工具平台,全是密评人员人工来做出分析的,所以基于上述,密评当前费用会高于一些日常所见的安全检测。

密评机构二:按落实“以评促改、以评促建、以评促用”的需要,依照国家密码管理局测评机构管理能力和机构管理暂行办法,质量管控和成本测算中包含多个维度,且密评费用高低与密评过程中企业的价值取向也相关。所谓从业者传“密评+方案的价格很高”,大概率是其内涵、质量以及背后工作量和现实责任之间的差异。

密评机构三:密评的检查项比等保要少,但对于密评工程师的要求比较高,而且目前能做密评的机构少,因此密评目前的费用要比等保要高。

从行业招聘数据看,密评工程师

需求量是最多的,怎么看待密码

人才问题?

密评机构一:当前密码人才急缺,又能分析密码、又能懂合规要求、同时又要能给用户提出中肯的参考意见的人员非常缺乏,这就需要从业人员不断学习、更新自己的知识库,同时也期望高校能培养更多的相关行业的人才。

密评机构二:国家推进密码应用,所需要的密码人才,包括太多维度,算法设计人才,安全性分析人才,密码检测人才,密码产品设计人才,包括密码产品企业的售前售后、咨询和维护岗位,等等都有大量的用工需求,都急需社会培养并供应人才。密评工程师是近两年从密码检测人才中,随“商用密码应用安全性评估”开展而新出现的第三方技术服务人员。可以用一句概括:“密码科学人才奠基,密码应用人才弄潮,密码检测人才制衡”。

密评机构三:以前只有研究生阶段才开始有密码方面的专业,所以现阶段密码人才紧缺,还需要现有从业人员的不断学习,还有高校的培养。

数观天下评语:

与行业专家的对话中不难看出,“密评”人员是最了解密码市场的,他们心中的商用密码不仅仅是一个简单的概念,更是一种保护手段,一种核心技术,一种基础支撑。目前,数据安全越来越被重视,而密评市场刚刚起步,保证数据安全性的主要技术就是密码技术,而验证密码技术是否落实到位的方式就是进行密评。但密评市场还存在较大的问题,“做等保送密评”,“凑够60分消来文字表达高风险”,“报告与系统风马牛不相及”,类似这样的问题要严格杜绝。密评市场不是一个独立的市场,专家们更希望它能够稳步推进而不是爆发式增长,保证密评人才不断档,充分且深刻的理解密评工作的开展对日常信息安全工作所带来的帮助。密评专家们表示,用户想通过密评工作开展过程来快速吸收密码知识和密码合规要求的意愿是十分明显的,但现在能给用户从思路上把整体框架搭建好,并能清晰的讲解清楚密评和密码建设的人员实在太少。目前密评过程中存在很多行业共识角度的困难,企业现场通过率也较低,各企业要更加快速且详细的开展密评建设工作。密评的检查项比等保要少,但对于密评工程师的要求比较高,而且目前能做密评的机构少,这也就可以理解为什么密评目前的费用要比等保高。从行业数据来看,密码人才紧缺,且我们所需要的密码人才需要多维度,唯有从业人员的不断学习,加之社会培养并供应人才,才能在各方面达到并维持平衡。

作者

综合分析师:高骢珊

注:以上内容来源于真实调研,数观天下进行整理。

标签: 三方#生态#中心 

标签

发表评论