Image
全國統一服務(wù)熱線(xiàn)
0351-4073466

信息系統密評改造:從數字轉型和網(wǎng)絡(luò )安全頂層設計出發(fā)

編輯:2023-04-25 16:07:16

密碼是新時(shí)代網(wǎng)絡(luò )空間的安全基石,是全社會(huì )數字轉型成敗的關(guān)鍵,是現代化國家之重器。這是國家推進(jìn)密評密改工作的基礎邏輯,也是責任單位切實(shí)履行密評法定責任所需要具備的基本認知,二者高度統一。

+ + + + + + + + + + + 

近年來(lái)國家陸續發(fā)布《網(wǎng)絡(luò )安全法》、《密碼法》、《保守國家秘密法(修訂)》、《關(guān)鍵信息基礎設施安全保護條例》、《數據安全法》、《電子簽名法》、《商用密碼應用安全性評估管理辦法》(試行)等,為網(wǎng)絡(luò )安全和密碼應用提供了法律保障。

自2021年開(kāi)始,國家正式通過(guò)商用密碼應用安全性評估(簡(jiǎn)稱(chēng)“密評”),針對當前密碼應用不廣泛、不規范、不安全的現狀,大力促進(jìn)以國家認可的密碼技術(shù)為基礎,以整體性、規范性和協(xié)同性為原則的密碼規范使用和管理,推動(dòng)科學(xué)規范的網(wǎng)絡(luò )安全密碼屏障體系盡快形成,保證密碼在網(wǎng)絡(luò )和信息系統中的有效使用,打造以密碼為基石的網(wǎng)絡(luò )空間新安全架構,牢牢守住網(wǎng)絡(luò )安全最后一道防線(xiàn)。

商用密碼應用安全評估與國家正在推進(jìn)實(shí)施的網(wǎng)絡(luò )安全等級保護、涉密信息系統分級保護、關(guān)鍵信息基礎設施保護等一起共同構成我國信息安全評估與管理的四項基本制度;除了密評本身對于密碼應用安全提出系統性的要求,其他三項基本制度也都從各自角度分別對密碼安全應用提出了明確的法定要求。

為此,根據 GB/T 39786-2021的要求,結合密碼保障體系建設和服務(wù)的專(zhuān)業(yè)經(jīng)驗,建議從數字轉型和網(wǎng)絡(luò )安全頂層設計出發(fā),引入《密碼應用服務(wù)中臺》為中心,對接全域密碼設備和服務(wù),規劃建設統一的《密碼安全保障基礎平臺》,面向全域密碼應用和管理,以全新的平臺化模式總成交付,通過(guò)對全域密碼應用的全程追蹤、總體管控和統一服務(wù),提高密碼應用管理與服務(wù)的集約化和精細化水平,全面掌握密評合規和密碼應用安全保障的主動(dòng)權,固本清源,切實(shí)守住網(wǎng)絡(luò )安全的最后一道防線(xiàn)。

+ + + + + 

密改要則


密評最終目的是要系統性地推進(jìn)和規范全域密碼應用,只有真正領(lǐng)會(huì )GB/T 39786-2021的要求,從密碼服務(wù)、應用、管理同步進(jìn)行,實(shí)現對全域密碼應用的全程追蹤、總體管控和統一服務(wù),才能從根本上真正滿(mǎn)足密評合規所要求的整體性、協(xié)同性和規范性要求。實(shí)踐中需要切實(shí)把握規范化、體系化、主動(dòng)性和成長(cháng)性等幾個(gè)基本要則:

· 規范化。選用國家認可的密碼算法、技術(shù)、產(chǎn)品和服務(wù),確保密碼服務(wù)可用。這一條涉及密評高風(fēng)險項聚集的領(lǐng)域,需要首先保證。

 · 體系化。保持全域密碼應用的全程追蹤和總體管控,確??芍?、可管、可控。這一條涉及密評完備性和協(xié)同性,是克服密碼碎片化、避免疏漏的關(guān)鍵。

 · 成長(cháng)性。網(wǎng)絡(luò )信息系統是發(fā)展的,密改方案需支持動(dòng)態(tài)擴展,確保其延續性。密評年檢制決定了密改的長(cháng)期性,必須在正確軌道上保持開(kāi)放敏捷性設計。

 · 主動(dòng)性。密評是手段,不是目標,密改需要與數字轉型和網(wǎng)絡(luò )安全規劃融合。以密碼為內生安全基因構建網(wǎng)絡(luò )安全新體系,才是密評工作的真正目的,也是密評合規的底層邏輯。

密改需求分類(lèi)


綜上所述。需求分類(lèi)歸納如下:

1. 規范完備的密碼服務(wù)功能體系

檢測定位不合格的密碼算法、技術(shù)、產(chǎn)品和服務(wù),選配國家認可的密碼算法、技術(shù)、產(chǎn)品和服務(wù)。比如具有國密型號的服務(wù)器密碼機/密碼卡、數字證書(shū)系統(CA)、簽名驗簽服務(wù)器、時(shí)間戳服務(wù)器、協(xié)同簽名系統、電子簽章系統、安全認證網(wǎng)關(guān)、SSL VPN/IPsec VPN、多因素認證系統、統一認證系統,以及具有工信部許可的CA電子認證服務(wù)等等。滿(mǎn)足全域對真實(shí)性、機密性、完整性和不可否認性等密碼服務(wù)保障能力的需求,構成規范完整、科學(xué)專(zhuān)業(yè)的密碼服務(wù)功能體系。

2. 科學(xué)系統的密碼服務(wù)管理體系

針對全域的密碼應用統一管理,除了基本信息的登記備案,還需要實(shí)現服務(wù)方、依賴(lài)方(調用方)和管理方三者及其相關(guān)策略的統一管理與協(xié)調一致,避免密碼服務(wù)在管理上出現漏洞。

3. 安全穩定的密碼受控服務(wù)體系

對接全域密碼服務(wù)的功能和管理體系,按照設定的訪(fǎng)問(wèn)策略,面向密碼應用方提供安全可控和穩定高效的差異化密碼服務(wù),在密碼產(chǎn)品安全合規的同時(shí),確保全域密碼應用體系的結構性安全,并具備適當的應急保障能力。

4. 獨立權威的密碼服務(wù)數據體系

針對全域碎片化的密碼服務(wù)數據進(jìn)行匯總梳理和完整性保護,并針對密碼服務(wù)情況提供權威的查詢(xún)展示和審計服務(wù)。

5. 便捷高效的密碼服務(wù)運行體系

全程跟蹤展示密碼應用情況;保障平臺高質(zhì)量安全運行;支持平臺運營(yíng)日常維護以及用戶(hù)自助服務(wù)的極簡(jiǎn)高效;提供第三方開(kāi)發(fā)者二次開(kāi)發(fā)和仿真調測環(huán)境等。

6. 支持多樣化用戶(hù)終端場(chǎng)景

密碼客戶(hù)端需要適配多樣化用戶(hù)終端場(chǎng)景,比如手機、電腦、pad等終端設備;SDK、插件、APP、小程序、專(zhuān)用客戶(hù)端等終端軟件形態(tài);支持外接USBKey或者內置密碼軟件模塊;支持主流操作系統和信創(chuàng )平臺等等,確保用戶(hù)體驗。

7. 支持靈活擴展專(zhuān)項密碼應用系統

要求無(wú)縫擴展提供各種密碼類(lèi)專(zhuān)項服務(wù),滿(mǎn)足特定項目對于密碼服務(wù)的個(gè)性化定制。比如身份治理、電子簽署、電子合同、電子證照、電子存證等。

8. 支持基于密碼的網(wǎng)絡(luò )安全新體系

支持平滑演進(jìn)為電子認證、零信任框架、區塊鏈網(wǎng)絡(luò )等以密碼為基石的網(wǎng)絡(luò )安全新體系,充分發(fā)揮密碼的核心基礎價(jià)值,守住新形勢下網(wǎng)絡(luò )安全的最后一道防線(xiàn)。

總之,密評不只是政策紅利和法定責任,以密碼為內生安全基因構建網(wǎng)絡(luò )安全新體系的未來(lái)已經(jīng)來(lái)到,責任單位盡早統籌規劃統一的密碼應用安全保障體系,并據此安排分步實(shí)施落實(shí),避免陷入“盲人摸象,欲速則不達”的誤區。

來(lái)源:數觀(guān)天下

Image
Image
版權所有:山西科信源科技股份有限公司
咨詢(xún)熱線(xiàn):0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區)太原市小店區南中環(huán)街529 號清控創(chuàng )新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F