
信息系統密評改造:從數字轉型和網絡安全頂層設計出發
編輯:2023-04-25 16:07:16
密碼是(shi)新(xin)時(shi)代(dai)網絡(luo)空間的安(an)全(quan)基石(shi),是(shi)全(quan)社會數字(zi)轉型成敗的關(guan)鍵,是(shi)現代(dai)化國(guo)(guo)家(jia)之重器。這是(shi)國(guo)(guo)家(jia)推(tui)進密評密改工(gong)作的基礎(chu)邏輯,也是(shi)責任(ren)單位切實履行密評法定責任(ren)所需(xu)要具備的基本認知,二者高度統一。 + + + + + + + + + + + 近年來國家陸續發布《網(wang)絡(luo)安全(quan)(quan)(quan)法》、《密碼(ma)(ma)法》、《保(bao)守國家秘密法(修訂)》、《關鍵信息(xi)基礎設施安全(quan)(quan)(quan)保(bao)護條例》、《數據安全(quan)(quan)(quan)法》、《電(dian)子簽名法》、《商用(yong)密碼(ma)(ma)應(ying)用(yong)安全(quan)(quan)(quan)性(xing)評估管理辦法》(試(shi)行(xing))等(deng),為網(wang)絡(luo)安全(quan)(quan)(quan)和密碼(ma)(ma)應(ying)用(yong)提供了(le)法律(lv)保(bao)障。 自(zi)2021年開始,國家正(zheng)式通(tong)過(guo)商用密(mi)碼(ma)(ma)(ma)應(ying)用安(an)全(quan)(quan)性(xing)評估(簡稱“密(mi)評”),針對當前密(mi)碼(ma)(ma)(ma)應(ying)用不廣泛、不規(gui)范(fan)、不安(an)全(quan)(quan)的(de)(de)現狀,大力促進以國家認可(ke)的(de)(de)密(mi)碼(ma)(ma)(ma)技(ji)術為(wei)基礎,以整體性(xing)、規(gui)范(fan)性(xing)和協同性(xing)為(wei)原則的(de)(de)密(mi)碼(ma)(ma)(ma)規(gui)范(fan)使用和管理,推動科學規(gui)范(fan)的(de)(de)網(wang)絡(luo)安(an)全(quan)(quan)密(mi)碼(ma)(ma)(ma)屏障(zhang)體系(xi)盡(jin)快(kuai)形(xing)成(cheng),保證密(mi)碼(ma)(ma)(ma)在網(wang)絡(luo)和信(xin)息(xi)系(xi)統中的(de)(de)有效(xiao)使用,打造以密(mi)碼(ma)(ma)(ma)為(wei)基石(shi)的(de)(de)網(wang)絡(luo)空間新安(an)全(quan)(quan)架構,牢(lao)牢(lao)守住(zhu)網(wang)絡(luo)安(an)全(quan)(quan)最(zui)后(hou)一道防線。 商用(yong)(yong)密(mi)碼(ma)(ma)應用(yong)(yong)安全(quan)評(ping)估與(yu)國家正(zheng)在(zai)推進實施(shi)的(de)網絡安全(quan)等(deng)級保護、涉密(mi)信息(xi)系(xi)統分級保護、關(guan)鍵信息(xi)基(ji)(ji)礎設施(shi)保護等(deng)一起共(gong)同構成我(wo)國信息(xi)安全(quan)評(ping)估與(yu)管理(li)的(de)四項基(ji)(ji)本制度(du)(du);除了(le)密(mi)評(ping)本身(shen)對于(yu)密(mi)碼(ma)(ma)應用(yong)(yong)安全(quan)提出(chu)系(xi)統性的(de)要求,其他(ta)三項基(ji)(ji)本制度(du)(du)也都從各自角度(du)(du)分別(bie)對密(mi)碼(ma)(ma)安全(quan)應用(yong)(yong)提出(chu)了(le)明確的(de)法定要求。 為此,根據(ju) GB/T 39786-2021的(de)(de)要求,結合密(mi)碼(ma)保(bao)(bao)障(zhang)(zhang)體系建(jian)(jian)設(she)和服務(wu)的(de)(de)專業經驗,建(jian)(jian)議(yi)從數字轉型和網絡安(an)全頂層設(she)計出發,引(yin)入《密(mi)碼(ma)應用(yong)(yong)(yong)服務(wu)中臺》為中心,對接(jie)全域(yu)密(mi)碼(ma)設(she)備和服務(wu),規劃建(jian)(jian)設(she)統一(yi)的(de)(de)《密(mi)碼(ma)安(an)全保(bao)(bao)障(zhang)(zhang)基(ji)礎(chu)平臺》,面(mian)向全域(yu)密(mi)碼(ma)應用(yong)(yong)(yong)和管(guan)理(li),以全新的(de)(de)平臺化(hua)模式總成(cheng)交付,通過對全域(yu)密(mi)碼(ma)應用(yong)(yong)(yong)的(de)(de)全程(cheng)追(zhui)蹤、總體管(guan)控和統一(yi)服務(wu),提高(gao)密(mi)碼(ma)應用(yong)(yong)(yong)管(guan)理(li)與服務(wu)的(de)(de)集約化(hua)和精(jing)細化(hua)水平,全面(mian)掌握(wo)密(mi)評(ping)合規和密(mi)碼(ma)應用(yong)(yong)(yong)安(an)全保(bao)(bao)障(zhang)(zhang)的(de)(de)主動權,固本清(qing)源,切實守住網絡安(an)全的(de)(de)最后一(yi)道防線。 + + + + + 密改要則 密(mi)(mi)(mi)(mi)評(ping)最終目(mu)的(de)(de)是要(yao)(yao)系統(tong)性(xing)地推進和(he)規(gui)范(fan)全域密(mi)(mi)(mi)(mi)碼應用,只(zhi)有真(zhen)正領會GB/T 39786-2021的(de)(de)要(yao)(yao)求,從(cong)密(mi)(mi)(mi)(mi)碼服務、應用、管理同(tong)步進行,實(shi)現(xian)對全域密(mi)(mi)(mi)(mi)碼應用的(de)(de)全程(cheng)追蹤、總體(ti)管控和(he)統(tong)一服務,才能從(cong)根本(ben)上真(zhen)正滿足密(mi)(mi)(mi)(mi)評(ping)合規(gui)所要(yao)(yao)求的(de)(de)整體(ti)性(xing)、協同(tong)性(xing)和(he)規(gui)范(fan)性(xing)要(yao)(yao)求。實(shi)踐(jian)中需要(yao)(yao)切實(shi)把握(wo)規(gui)范(fan)化、體(ti)系化、主動性(xing)和(he)成長性(xing)等幾個基本(ben)要(yao)(yao)則: · 規范化。選(xuan)用國家認可的密碼算法、技術、產品和服(fu)務(wu),確保密碼服(fu)務(wu)可用。這一條涉及密評(ping)高風險(xian)項聚集的領(ling)域,需要首(shou)先(xian)保證。 · 體系化。保(bao)持(chi)全(quan)域密碼(ma)應(ying)用的全(quan)程追蹤和總體管(guan)控,確(que)保(bao)可(ke)知、可(ke)管(guan)、可(ke)控。這一條涉及密評完(wan)備性和協同性,是克服密碼(ma)碎片化、避免疏(shu)漏的關鍵。 · 成長性。網(wang)絡(luo)信息系(xi)統是發展(zhan)的,密(mi)改(gai)方(fang)案需支持動態擴(kuo)展(zhan),確保(bao)其延(yan)續性(xing)。密(mi)評(ping)年(nian)檢制決定(ding)了密(mi)改(gai)的長(chang)期性(xing),必須在正確軌道上保(bao)持開(kai)放敏捷性(xing)設計。 · 主動性。密(mi)(mi)評是(shi)手段,不是(shi)目標,密(mi)(mi)改需要與數字轉型和網(wang)絡安(an)全規(gui)(gui)劃融合。以密(mi)(mi)碼為內生安(an)全基因構建網(wang)絡安(an)全新體系,才(cai)是(shi)密(mi)(mi)評工作的(de)(de)真正目的(de)(de),也(ye)是(shi)密(mi)(mi)評合規(gui)(gui)的(de)(de)底層邏輯。 密改需求分類 綜(zong)上所述。需求分類歸納如下: 1. 規范完備的密碼服務功能體系 檢測(ce)定位不合(he)格(ge)的(de)(de)(de)密碼(ma)算法、技(ji)術、產(chan)品(pin)和服(fu)(fu)(fu)務(wu),選配國(guo)家認(ren)可(ke)的(de)(de)(de)密碼(ma)算法、技(ji)術、產(chan)品(pin)和服(fu)(fu)(fu)務(wu)。比(bi)如具有國(guo)密型號的(de)(de)(de)服(fu)(fu)(fu)務(wu)器(qi)密碼(ma)機/密碼(ma)卡、數字(zi)證(zheng)(zheng)書系統(tong)(CA)、簽(qian)名(ming)驗簽(qian)服(fu)(fu)(fu)務(wu)器(qi)、時間戳服(fu)(fu)(fu)務(wu)器(qi)、協(xie)同簽(qian)名(ming)系統(tong)、電子(zi)簽(qian)章系統(tong)、安全(quan)認(ren)證(zheng)(zheng)網關、SSL VPN/IPsec VPN、多因素認(ren)證(zheng)(zheng)系統(tong)、統(tong)一認(ren)證(zheng)(zheng)系統(tong),以及具有工信部(bu)許(xu)可(ke)的(de)(de)(de)CA電子(zi)認(ren)證(zheng)(zheng)服(fu)(fu)(fu)務(wu)等(deng)(deng)等(deng)(deng)。滿足全(quan)域對真(zhen)實性(xing)、機密性(xing)、完(wan)整(zheng)(zheng)性(xing)和不可(ke)否認(ren)性(xing)等(deng)(deng)密碼(ma)服(fu)(fu)(fu)務(wu)保障能力的(de)(de)(de)需求,構成規范完(wan)整(zheng)(zheng)、科學專業(ye)的(de)(de)(de)密碼(ma)服(fu)(fu)(fu)務(wu)功能體系。 2. 科學系統的密碼服務管理體系 針(zhen)對(dui)全域(yu)的密(mi)碼(ma)應(ying)用統一管理(li),除了基(ji)本信息的登記備案,還需要實現服務方、依賴方(調(diao)用方)和管理(li)方三者及其(qi)相關策(ce)略的統一管理(li)與協調(diao)一致(zhi),避免(mian)密(mi)碼(ma)服務在管理(li)上出現漏洞。 3. 安全穩定的密碼受控服務體系 對(dui)接(jie)全(quan)(quan)域密(mi)碼(ma)(ma)服(fu)務的功(gong)能和管理體系,按照設定的訪問策略(lve),面向密(mi)碼(ma)(ma)應用方提供安全(quan)(quan)可控和穩定高效的差異化密(mi)碼(ma)(ma)服(fu)務,在密(mi)碼(ma)(ma)產品安全(quan)(quan)合規的同時,確保(bao)(bao)全(quan)(quan)域密(mi)碼(ma)(ma)應用體系的結構性安全(quan)(quan),并具備適當的應急(ji)保(bao)(bao)障能力。 4. 獨立權威的密碼服務數據體系 針對全域碎片化的(de)密碼(ma)(ma)服務數據進行匯總梳理(li)和完整性保(bao)護,并針對密碼(ma)(ma)服務情況提供權威(wei)的(de)查(cha)詢展示和審計服務。 5. 便捷高效的密碼服務運行體系 全程(cheng)跟蹤展(zhan)示(shi)密碼應(ying)用(yong)情況;保障平臺高質量安(an)全運行;支持平臺運營日常維護(hu)以(yi)及(ji)用(yong)戶自助服務的極簡高效;提供第(di)三(san)方(fang)開發者二次開發和仿真調測環境等。 6. 支持多樣化用戶終端場景 密碼(ma)客戶(hu)端(duan)(duan)需要適配多樣(yang)化用戶(hu)終(zhong)端(duan)(duan)場景,比如(ru)手機、電腦、pad等終(zhong)端(duan)(duan)設(she)備;SDK、插件(jian)、APP、小程序、專(zhuan)用客戶(hu)端(duan)(duan)等終(zhong)端(duan)(duan)軟件(jian)形態;支(zhi)(zhi)持外接USBKey或(huo)者內置密碼(ma)軟件(jian)模塊;支(zhi)(zhi)持主流(liu)操作系統和信創平臺等等,確保用戶(hu)體驗。 7. 支持靈活擴展專項密碼應用系統 要求(qiu)無縫擴展提供各種密碼(ma)類(lei)專項服務,滿(man)足特定項目對于密碼(ma)服務的個(ge)性化(hua)定制(zhi)。比如身份治理、電子簽署、電子合同、電子證(zheng)照、電子存證(zheng)等。 8. 支持基于密碼的網絡安全新體系 支持平滑演(yan)進為電子認證、零信任框架(jia)、區塊鏈網(wang)絡(luo)等以密碼為基(ji)石的網(wang)絡(luo)安全(quan)新體(ti)系,充分發揮密碼的核(he)心基(ji)礎價值,守住新形勢下網(wang)絡(luo)安全(quan)的最后一道防(fang)線。 總之,密評不只是政策紅利和法定責任,以密碼為內生安全基因構建網絡安全新體系的未來已經來到,責任單位盡早統籌規劃統一的密碼應用安全保障體系,并據此安排分步實施落實,避免陷入“盲人摸象,欲速則不達”的誤區。 來源:數觀天(tian)下


咨詢熱線:0351-4073466?
地(di)址:(北區(qu))山西(xi)省太原市迎澤區(qu)新建南路(lu)文源(yuan)巷24號文源(yuan)公務中(zhong)心5層
? ? ? ? ? ?(南區(qu))太原市小店區(qu)南中環街(jie)529 號(hao)清控創新基地A座(zuo)4層
