密码作为国之重器,是保障网络与数据安全的核心技术,是数字经济高质量发展的基础,是推进中国式现代化的重要支撑。近年来,随着《中华人民共和国密码法》《商用密码管理条例》等法律法规的陆续出台,密码应用受到社会各界的广泛关注,尤其是“商用密码应用安全性评估”机制的确立,让各重点行业高度重视密码技术在保障网络安全中的作用,把密码作为国家的重要战略资源,在各个重要应用领域全面推广国产密码应用。
密码应用相关典型网络安全事件频发
密码应用涉及密码算法、技术、产品、服务、密钥管理等多个方面。在当前密码应用实践中,由于密码专业技术人员保障不足,密码应用要求理解把握不到位,密码错用、误用情况经常发生,密码应用安全迫在眉睫。下表整理了近几年部分与密码应用相关的典型网络安全事件。
密码应用安全存在诸多风险
密码应用不广泛,合规风险大
据调查显示,近四分之三的信息系统未使用密码技术进行保护,即使是使用了密码技术的重要系统也有80%以上不符合标准要求,大量使用了存在重大安全风险的算法,应用系统的合规差距大。
密码应用不规范,未有效实施
虽然中央、地方、行业相继出台一些规定和配套制度、要求,但在一些地区和部门并未得到有效实施。一些单位重信息化建设、轻信息安全保护,信息系统密码使用不规范、不正确,在密钥管理、密码系统运行维护等方面存在风险。
密码应用不安全,存在严重安全隐患
大量系统还在使用MD5、SHA1、RSA1024、DES等有风险的密码算法,使用的安全服务也不规范,给信息系统带来严重安全隐患。
密码产品多,系统改造难、成本高
传统改造通过密码设施堆叠实现,密码产品的种类、数量越来越多,各厂商服务接入标准不统一,导致改造难度大、改造工作量大,改造成本高。
密码资源管理分散、难维护
不同密码设备的管理要求和工具不同、专业化程度不同,无法进行密码设施的统一运维管理及密码资源的有效监控,难以实现根据业务量的增长动态调整密码服务资源。
密码专业型人才紧缺
因为缺少既能分析密码,又能懂测评要求的专业密码人才,致使密码应用单位对密码应用安全建设工作了解不足,密码应用安全建设工作几乎完全依赖于密码应用安全建设服务提供商,密码应用安全建设服务提供商的工作量进一步加重。
第三方风险管控保障密码应用安全建设
为进一步提升密码应用安全建设发展水平,解决密码应用不正确、不规范、不安全等问题。道普信息风险管控专家表示,可以借助专业的第三方风险管控服务,利用多种手段进行风险管控,加强密码应用安全建设。
1.密评是发挥密码作用的必要手段
密评是衡量商用密码应用是否合规、正确、有效的重要抓手。开展密评是维护网络空间安全、规范商用密码应用的客观要求,是深化商用密码“放管服”改革、加强事中事后监管的重要手段,也是重要领域网络与信息系统运营者和主管部门必须承担的法定责任。
2.加强国产密码适配研究,提高产品服务能力
伴随国产商用密码技术、标准、产品、服务的高速发展,以国产密码算法为核心的国密改造加速推进。加强密码产品适配研究,提高密码服务能力,以适配自身管理和服务机制为重点工作,以相关技术标准为主要依据,以整体提升自身服务能力为最终目标开展相关工作。
3.编制高质量密码应用方案,有效使用密码产品
密码应用方案编制是信息系统密码应用的起点,它直接决定着信息系统的商用密码应用能否合规、正确、有效地部署实施。针对已建的信息系统,开展差距分析,梳理保护对象、应用场景及防护现状,总结当前差异形成密码应用需求,根据密码应用需求设计高质量的密码应用方案,有的放矢地去使用具体的密码产品。
4.健全密码防护体系,实现密码安全运营
在信息系统规划、建设、运行等全生命周期阶段,保证密码应用合规,减少改造成本和提高商用密码资源利用率,构建全方位密码应用安全保障体系。
推动数字经济高质量发展,推进中国式现代化的进程中,如何更好地规范密码应用和管理、发挥密码在保障网络安全中的核心支撑作用至关重要。密评作为密码应用管理过程的重要组成部分和不可缺失的环节,是发挥密码作用的重要抓手。
道普信息由山东省计算中心所属山东省软件评测中心于2016年通过科研成果转化成立,是全国首批24家商用密码应用安全性评估试点机构之一,基于多年来在密码测评领域的实践与具备的雄厚实力,参编了GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》国家标准。该标准规定了信息系统第一级到第四级的密码应用测评的基本要求,不仅推动了信息系统密码应用的合规性、正确性和有效性,也将促进密码在各个领域的应用和发展。
道普信息风险管控专家强调,对密码应用建设进行统筹管理,在保证密码应用大力推进和普及的同时,做好网络与信息系统的密评工作,确保密码应用的合规、正确、有效。
领取专属 10元无门槛券
私享最新 技术干货