对商用密码应用安全建设市场的研究与思考

delay 2022-05-27
专栏 发布于 2022-05-27 17:39:17 阅读 366 评论 0

作为一名一直奋战在第一线的网络安全从业人员,作者始终对于一些新业务方向和市场发展保持高度关注。近一段时间以来,特别对商用密码应用安全性评估(简称“密评”)涉及的政策文件、法律法规、技术标准、产品技术、解决方案,以及市场情况进行了比较系统地学习和研究,并与该领域的同事、朋友和用户进行了深入探讨,深感信息系统密评建设任重而道远。特写此文,与君分享。

首先,因作者本人知识水平有限、实践经验不足,其中观点难免会有偏颇之处,敬请大家谅解、批评指正。

其次,是关于本文的一些术语、用语的约定或定义:①“密评”,指的是由密评机构或密评公司对用户单位信息系统密码应用的合规性、正确性和有效性进行评估和测评工作。②“密评建设”,或“密评改造”,本文又称为“密码应用安全建设”,指的是由集成商或代理商对用户单位信息系统为了有效符合“密评”而进行的项目集成实施或改造工作。

接下来,将直接进入正文。经过持续调研,结合实际情况,作者认为,要想真正搞清楚密评建设的市场环境和发展趋势,还是要共同回顾一下信息系统等级保护建设和商用密码管理的发展历程。

等级保护建设发展简述

时光如白驹过隙,弹指一挥间,我国网络安全市场建设已经走过了20多个春秋。可以认为,整个信息系统等级保护建设的历程,写就了我国网络安全市场的发展史。

从1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》 (国务院第147号令),到1999年《计算机信息系统安全保护等级划分准则》(GB 17859-1999),再到2003年的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文件,随之而来的是66号文、43号文、861号文等一系列等级保护指导文件密集发布,直至2008年开始等级保护国家标准陆续颁布,信息系统等级保护建设逐步迈入了标准化、规范化和体系化。

2014年2月27日,中央网络安全和信息化领导小组成立,我国网络安全和信息化迈入了一个全新时代。此时,距离2003年中办发[2003]27号文的发布,已经过去了超过十年,这一阶段可以认为是我国信息安全发展的第一个黄金十年。

值得一提的是,自中央网信办成立以后,国家围绕网络安全工作的顶层设计进一步加强,新政频出,加之在资本市场热炒和推波助澜下,我国信息安全市场建设很快进入了第二个黄金十年。尤其是2017年6月1日,《中华人民共和国网络安全法》的正式施行,更是让国家网络安全工作开展有了法理依据,为党政机关、企事业单位管理者依法治网、依法管网,化解网络安全风险提供了超级武器。此后,网络安全市场发展更是如火如荼:等级保护2.0系列标准相继发布;网络安全新技术新方向发展迅速,诸如安全运营、互联网营销等新业务模式相继涌现。另一方面,市场竞争日趋激烈,企业面临前所未有的经营压力,继而对资本市场的依赖程度空前。这对于创始人团队来说或许也是一种无奈吧!

商用密码管理发展简述

与此同时,伴随着整个信息安全市场发展的同一历史节点,国家商用密码算法研制和应用推广的脚步也一直没有停歇。

1999年10月,《商用密码管理条例》正式由国务院颁布施行,标志着我国商用密码管理从此走上了法治化的轨道;2003年9月,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文件,第一次明确提出“加强以密码技术为基础的信息保护和网络信任体系建设”。

自2013年开始,鉴于美国“棱镜计划”被曝光,加之不断被披露的“后门”事件,以及中美贸易摩擦持续升级等外部因素,关键技术领域自主可控被战略性提出。诚然,作为我国三大“撒手锏”技术之一的“密码技术”成为了国家重要战略性资源。这使得我国商用密码管理的进程明显加快。

首先,在密码算法层面上,国家密码管理局先后颁布了一系列商用密码算法,包括SM1、SM2、SM3、SM4、SM7、SM9以及祖冲之密码算法(ZUC)等。其中,SM1、SM4、SM7以及祖冲之密码算法(ZUC)属于对称加密算法,SM2、SM9属于非对称密码算法,而SM3是密码杂凑算法,即哈希算法。SM1、SM7算法不公开,需要通过专用加密芯片接口进行调用;SM2、SM3、SM4和SM9算法均已被采纳为ISO/IEC国际标准。有关密码学算法技术发展和作用原理介绍,可以参考由霍炜、郭启全和马原主编,由电子工业出版社出版的《商用密码应用与安全性评估》一书。

其次,在制度文件层面上,从2018年中办、国办联合发布的《金融和重要领域密码应用与创新发展工作规划(2018-2022)》(厅字[2018]36号),到2019年《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》(国办发〔2019〕57号),再到2020年《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960号)等一系列指导文件陆续出台,为我国商用密码应用推广提供了强有力的制度支撑,注入了强劲的发展动能。

特别是2020年1月1日《密码法》的正式施行,更是为密码产业的规模化发展提供了重大机遇,也为商用密码应用市场的发展提供了广阔舞台。同时,作为指导商用密码应用与安全性评估工作的基础性标准,《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)也已经于2021年10月1日正式实施。这对于规范和引导信息系统合规、正确、有效应用密码,切实开展密评建设工作具有重要意义。

您的等保三级系统密评了吗

“密评”全称是:商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。概括地讲,开展密评工作的必要性包括以下三个方面:

  • 应对网络安全形势的实际需求:

    密码是重要领域网络和信息系统关键设备自主可控的必选项,不用密码,或者不用自主可控的密码,就好比一个房子,其他部分建得再牢,但锁是简易锁,或者钥匙是别人的,不可能安全可控。

    通过开展密评工作,能够及时发现在密码应用过程中存在的问题,为网络安全建设提供科学的评价方法,继而逐步规范密码的使用和管理,从根本上改变密码应用不广泛、不规范、不安全的现状,确保密码在信息系统中得到有效应用,有效构建起坚实可靠的密码应用安全保障体系。

  • 国家相关法律法规的明确要求:

    《中华人民共和国网络安全法》第十条:建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

    《中华人民共和国密码法》第二十七条:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。

    《商用密码应用安全性评估管理办法(试行)》第三条:涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系,实施商用密码应用安全性评估。第十条:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。

    《国家政务信息化项目建设管理办法》第十五条:项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。

  • 相关责任主体的法定职责:

    密评工作的责任主体是涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位。密评对象包括基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。因此,开展密评工作是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。

密评建设工作的关键点

  • 数据分类分级,密评建设之前提:

    众所周知,数据分类分级是密评建设工作的前提。无论是物理和环境、设备和计算、网络和通信层面,还是应用和数据层面,均强调的是对重要数据的安全保护工作。尤其是在应用和数据层面,更是明确要求保证信息系统重要数据在传输、存储过程的机密性和完整性;诸如,访问控制信息、鉴别数据、重要业务数据、重要审计数据、个人敏感信息均是信息系统和网络中的重要数据。

    通过数据分类分级管理,能够厘清数据资产、确定数据重要性及敏感程度,知晓重要数据存储在哪里,以便按照密评要求对其实行保护,满足密评工作对于重要数据的安全保护要求,防控数据风险、保障数据交易、释放数据价值。

  • 避免触碰红线,做到安全合规:

    《信息系统密码应用高风险判定指引》是由中国密码学会密评联委会发布的指导文件,是密评工作中的重要参考基线,也就是涉及到高风险的测评项,均为一票否决项(共16项),即常说的密评建设中的红线。

    因此,在实际密评建设项目的方案设计、集成实施中必须有效规避或消除16条一票否决项,避免触碰红线,保障密码应用的安全性、合规性。

  • 应用系统开发改造,绕不过去的坎:

    当前,对应用系统进行开发改造来满足密评的要求,的确是个绕不过去的坎,也是密评建设工作的一个关键点。

    我们已经了解,密评建设要做到安全、合规,无论是已有信息系统,还是新建信息系统,都必须与服务器密码机、签名验签服务器、时间戳服务器等密码类产品进行对接开发,即第三方应用系统直接调用此类密码产品的标准API接口,来满足数据加解密、数据完整性保护、数据签名/验签(身份鉴别)、权威时间标记等技术要求。

    这虽然让我们搞这群等级保护建设的从业人员惊诧不已,但的确是个绕不过去的坎,非做不可。从惊诧,到接受,再到去实践,本身就是一个自我改变、自我适应的过程,无可厚非,但却是密评建设工作的关键点之一。

密评建设发展阶段预测

综合密评建设工作的当前形势及其关键特点,我们不妨从用户需求、政策标准、监督监管、供应供给等四个方面对其发展阶段进行大胆地预测:

  • 开启阶段(之前~2020年):

    大约90%的用户单位和供应商不能够说清楚,或者不明白密评工作的内容;国家有关密评系列标准缺失,不足以支撑密评建设工作;密码产品、技术和服务商业化程度不高,市场需求动能不足,具体表现为项目落地复杂且实施交付难度较高,项目容量不大。

  • 混沌阶段(2021年~2023年):

    大约60%的用户单位和供应商能够明白、理解密评工作的意义和内容;但仍处在为了通过密评而进行密评建设或密评改造的思想意识阶段;国家有关密评系列标准陆续发布,密评建设框架体系逐步形成,市场监督监管和指导力度逐步加大;密评产品、技术和服务商业化能力依然不强,但市场需求旺盛,密评建设项目遍地开花,项目交付质量参差不齐。

  • 理智阶段(2024年~2025年):

    大约20%以上的用户单位和供应商能够正确认识和对待密评工作,并开始按照规划有的放矢地进行密评建设或密评改造工作,以保证密码应用的有效性、安全性与合规性;国家有关密评系列标准持续发布,并获得广泛认知,市场监督监管和指导能力进一步强化;密码产品、技术和服务商业化能力获得突破,其交付模式获得业界认可。

  • 成熟阶段(2026年~以后):

    大约80%的用户单位相继完成部分第三级信息系统密评建设工作,密评建设如同等保建设一样步入常态化、标准化和规范化;国家有关密评系列标准趋于完备,能够有效监督监管和指导密评建设或密评改造工作;供应供给侧出现明显分水岭,传统密码厂商和网络安全企业之间出现既竞争又相互融合的良好局面。

写在最后

当前,密码应用安全建设已经成为国家网络安全建设的第三大合规市场(即等级保护建设、分级保护建设、密码应用安全建设)。除了传统密码厂商,业界众多的网络安全企业(诸如,奇安信、天融信、启明星辰、安恒信息等)也已经进入这个赛道,并陆续推出自己的密码卡、服务器密码机、安全认证网关等密码类产品,其他安全企业也正在跃跃欲试,密码应用安全建设市场可谓是暗潮涌动。

由此,可以预见的是,在未来的3~5年时间里,密码应用安全建设市场的竞争格局一定会出现一个重要的分水岭——即网络安全企业终将会成为项目开发和建设的一股清流,并与传统密码厂商相互竞争、相互交融。

与君共勉

正如前文所述,虽然密码应用安全建设已经成为国家网络安全领域三大合规建设方向之一,但是现阶段密评建设仍然困难重重。例如,相比防火墙、入侵检测、UTM、SOC平台等安全产品而言,当前商用密码产品和服务标准化程度较低,商业化成熟度不高,密码领域专业技术人才更是匮乏,产业界涉及的企业规模大都较小,不能形成规模化效应。

然而,对于我们而言,既然密评建设的号角已经吹响,终归要有人提刀跨马,像个战士一样向前冲,蹚出这条布满荆棘的通天大道。在当前日益复杂的国际国内网络安全形势下,小则为国家密码事业贡献绵薄之力,大则为国家网信事业添砖加瓦!

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!