“密評”全稱“密碼應用安全性評估”,是指在采用密碼技術、產品和服務集成建設的網絡和信息系統中,對其密碼應用的合規性、正確性和有效性進行評估。開展密評,是國家相關法律法規提出的明確要求,是網絡安全運營者的法定責任和義務。
密碼應用是否合規、正確、有效,涉及密碼算法、協議、產品、技術體系、密鑰管理、密碼應用多個方面。通過密評可以及時發現在密碼應用過程中存在的問題,為網絡和信息安全提供科學的評價方法,逐步規范密碼的使用和管理,從根本上改變密碼應用不廣泛、不規范、不安全的現狀,確保密碼在網絡和信息系統中得到有效應用,切實構建起堅實可靠的網絡安全密碼保障。
為了更加深入的了解“密評”,了解“密評”人員心中的商用密碼,我們邀請到了三位密評機構的專家,并就以下問題展開采訪。
(注:以下內容為真實調研,具體密評機構不便透露,敬請諒解)
心目中的商用密碼是怎樣的?
密評機構一:原先我們對商用密碼的認知大部分停留在密碼機或者CA等面向某一應用解決單一問題的產品,但自從商用密碼應用工作開展推進以來,我們發現商用密碼的應用也可以看成一個整體,只是分工或者側重不同。我們必須開始用一個整體的視角來看待商用密碼,在業務中選擇一種合適的密碼保護手段。
密評機構二:密碼是國之重器,是保障網絡安全的核心技術和基礎支撐。商用密碼還有五個缺一不可的、與特點、能力、過程相關的側面:
A.用途。商用密碼用于保護不涉及國家秘密的信息系統,商用密碼為信息系統構建“最低破壞代價”,踐行“破壞收益遠遠小于破壞代價”。
B.表現。至少包括密碼算法、密碼技術、密碼產品、密碼服務和密鑰管理五個維度。
C.能力。國內密碼學家們按照國產商用密碼體系的“理論自信”、“技術自信”、“產品自信”,從無到有建立了分級分類的評價指標體系。
D.適用范圍。關鍵信息基礎設施、政務信息系統、等級保護三級及以上信息系統需要使用商用密碼。影響國家安全、政治穩定、經濟運行的金融及重要領域,不涉及國家秘密的信息系統,必須使用商用密碼保護,應該經得起密碼應用安全性評估。
E.落實過程。即“同步規劃、同步建設、同步運行、定期評估”。
密評機構三:我國對密碼實行分類管理,密碼分為核心密碼、普通密碼和商用密碼,核心密碼、普通密碼屬于國家秘密,商用密碼是指對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品。公民、法人和其他組織均可依法用商用密碼保護網絡與信息安全。
怎么看待密評市場?
密評機構一:目前來看密評市場整體剛起步,但我們希望他穩步推進而不是爆發式增長。爆發式的增長可能會讓業主方猝不及防,在理解不夠的情況下認識不到密評工作的開展對其日常信息安全工作所帶來的幫助;同時密評機構人員培養容易斷檔,導致為了實施項目而實施項目,難以起到商用密碼應用推進工作宣傳隊的作用。
密評機構二:推進密碼應用相關的市場至少包括二級,一級是密碼檢測機構間圍繞密碼應用方案評估、信息系統安全性評估而競爭的技術服務市場;另一級是信息系統責任單位、政府職能監管部分、信息系統供應單位,應圍繞“關鍵信息基礎設施、政務信息系統、等級保護三級及以上信息系統”的“供應鏈優化”“建設工程”競爭的供應鏈選擇市場。
未來應該嚴格杜絕三種現象——“做等保送密評”、“湊夠60分消來文字表達高風險”、“報告與系統風馬牛不相及”。第一級市場價值有五種來源,“去除非國家批準的商用密碼算法”、“去除非國家核準的密碼技術”、“去除非國家認證的密碼產品”、“分辨密碼技術和密碼產品錯誤應用場景”、“切斷密碼服務風險傳遞鏈條”,最后兩個必須依據密碼原理。消除了“科學認識”發現的“新風險”,就是創造產業價值;不能因為商用利益分配的點滴得失,踏進背離“產業價值前進方向”的誤區。第二級市場不是一個獨立的市場,目前的現狀是與信息系統軟件供應、集成建設工程、安全硬件產品供應重合。第二級市場還沒有真正做到充分尊重“三同步一評估”這個科學落實密碼應用的規律,運行源頭還需要深入優化。
密評機構三:根據《密碼法》,“運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。”所以密評是法律的要求,運營者有義務委托具有資質的密評機構對重要信息系統開展商用密碼評估工作;另一方面,目前數據安全越來越被重視,而保證數據安全性的主要技術就是密碼技術,驗證密碼技術是否落實到位的方式就是進行密評。
在測評工程中,用戶對密碼的認知和配合程度怎么樣?
密評機構一:目前業主方對密評的了解程度還不夠,密評的實際作用相比預期存在折扣。客戶當前主要承擔項目組織實施的角色,由用戶發起業務部門、業務開發單位、安全運維單位和密評機構共同推進實施。我們看到用戶想通過密評工作開展過程來快速吸收密碼知識和密碼合規要求的意愿是十分明顯的,但現在能給用戶從思路上把整體框架搭建好,并能清晰的講解清楚密評和密碼建設的人員實在太少。
密評機構二:先從“配合”來說,有兩個極端比例,一極是高度配合,另一極是推脫。一些信息化相關的從業人員的認知不夠,太多數是對政策條例條文很熟悉,對密碼應用需要“合規、正確、有效”也有很高的認同,但商用密碼有四性——“機密性、完整性、真實性、不可否認性”,不同的保護對象、不同的工作環境、不同的業務關注點,是無法構建“千篇一律解決方案”的。
密評機構三:參差不齊,目前極少部分用戶還認為密碼就是用戶口令,部分用戶把密碼技術片面的認為是對數據進行加密,因此配合程度一般,有些產品開發人員都不清楚自己的數據用什么算法加密。
在密評過程中最大的問題/困難是什么?
密評機構一:目前遇到的主要困難是用戶方很少有密碼應用情況的日常臺賬,所以前期溝通了解需要業主協調各業務、開發、運維單位都到場。
密評機構二:當前密評過程中存在很多行業共識角度的困難,有源于保障費用受限的問題,也有受限于認知水平的問題,還有非良性競爭引起的問題。不同能力的人員和機構,解決問題/困難的范圍也是不同的。
密評機構三:最大的困難是取證困難,有些產品是成熟產品,現場配合人員不知道數據存放在哪個表里,即使看到數據也需要查看代碼才能確定使用的是哪種算法,但一般廠商是不會提供源代碼的,所以很難判定。
現場企業通過率怎么樣?
密評機構一:目前商用密碼的應用程度還是比較低的,客戶很擔心自己沒有拿到合格的結論或者評估后判分太低會面臨商密主管部門的監管壓力,在此我們也是建議用戶開始關注商用密碼應用建設工作,可以考慮從易入難進行逐步的整改。
密評機構二:非常低。2020年1月1日后,規劃建設的信息化項目好一點,但到目前沒遇到一例“符合”《信息系統密碼應用基本要求》的案例,我們測評且認定“基本符合”的比例在3~5%左右。2020年1月1日前規劃建設的信息化項目,我們測評且認定“不符合”的比例是100%。
密評機構三:由于密評工作剛剛起步,很多老系統未采用國密目前通過比較低,百分之九十的系統通過不了,目前基本上是30分左右。提高通過率還需要一個過程,同時也需要政策的要求。
問個敏感話題:現在密評費用高嗎?聽從業者傳密評+方案的價格很高?
密評機構一:其實當前密評的費用在浙江省還是比較合理的,相對軟測或者等保測評的收費會略高點。當前密碼人才急缺,導致又能分析密碼,又能懂合規要求,同時又要能給用戶提出中肯的參考意見的人員就更缺乏了;同時目前密評工作開展中沒有一個全面的自動化工具平臺,全是密評人員人工來做出分析的,所以基于上述,密評當前費用會高于一些日常所見的安全檢測。
密評機構二:按落實“以評促改、以評促建、以評促用”的需要,依照國家密碼管理局測評機構管理能力和機構管理暫行辦法,質量管控和成本測算中包含多個維度,且密評費用高低與密評過程中企業的價值取向也相關。所謂從業者傳“密評+方案的價格很高”,大概率是其內涵、質量以及背后工作量和現實責任之間的差異。
密評機構三:密評的檢查項比等保要少,但對于密評工程師的要求比較高,而且目前能做密評的機構少,因此密評目前的費用要比等保要高。
從行業招聘數據看,密評工程師需求量是最多的,怎么看待密碼人才問題?
密評機構一:當前密碼人才急缺,又能分析密碼、又能懂合規要求、同時又要能給用戶提出中肯的參考意見的人員非常缺乏,這就需要從業人員不斷學習、更新自己的知識庫,同時也期望高校能培養更多的相關行業的人才。
密評機構二:國家推進密碼應用,所需要的密碼人才,包括太多維度,算法設計人才,安全性分析人才,密碼檢測人才,密碼產品設計人才,包括密碼產品企業的售前售后、咨詢和維護崗位,等等都有大量的用工需求,都急需社會培養并供應人才。密評工程師是近兩年從密碼檢測人才中,隨“商用密碼應用安全性評估”開展而新出現的第三方技術服務人員。可以用一句概括:“密碼科學人才奠基,密碼應用人才弄潮,密碼檢測人才制衡”。
密評機構三:以前只有研究生階段才開始有密碼方面的專業,所以現階段密碼人才緊缺,還需要現有從業人員的不斷學習,還有高校的培養。
評語:
與行業專家的對話中不難看出,“密評”人員是最了解密碼市場的,他們心中的商用密碼不僅僅是一個簡單的概念,更是一種保護手段,一種核心技術,一種基礎支撐。目前,數據安全越來越被重視,而密評市場剛剛起步,保證數據安全性的主要技術就是密碼技術,而驗證密碼技術是否落實到位的方式就是進行密評。但密評市場還存在較大的問題,“做等保送密評”,“湊夠60分消來文字表達高風險”,“報告與系統風馬牛不相及”,類似這樣的問題要嚴格杜絕。密評市場不是一個獨立的市場,專家們更希望它能夠穩步推進而不是爆發式增長,保證密評人才不斷檔,充分且深刻的理解密評工作的開展對日常信息安全工作所帶來的幫助。密評專家們表示,用戶想通過密評工作開展過程來快速吸收密碼知識和密碼合規要求的意愿是十分明顯的,但現在能給用戶從思路上把整體框架搭建好,并能清晰的講解清楚密評和密碼建設的人員實在太少。目前密評過程中存在很多行業共識角度的困難,企業現場通過率也較低,各企業要更加快速且詳細的開展密評建設工作。密評的檢查項比等保要少,但對于密評工程師的要求比較高,而且目前能做密評的機構少,這也就可以理解為什么密評目前的費用要比等保高。從行業數據來看,密碼人才緊缺,且我們所需要的密碼人才需要多維度,唯有從業人員的不斷學習,加之社會培養并供應人才,才能在各方面達到并維持平衡。
