信息系統(tǒng)密評改造:從數(shù)字轉(zhuǎn)型和網(wǎng)絡(luò)安全頂層設(shè)計出發(fā)
編輯:2023-04-25 16:07:16
密碼是新時代網(wǎng)絡(luò)空間的安全基石,是全社會數(shù)字轉(zhuǎn)型成敗的關(guān)鍵,是現(xiàn)代化國家之重器。這是國家推進密評密改工作的基礎(chǔ)邏輯,也是責任單位切實履行密評法定責任所需要具備的基本認知,二者高度統(tǒng)一。 + + + + + + + + + + + 近年來國家陸續(xù)發(fā)布《網(wǎng)絡(luò)安全法》、《密碼法》、《保守國家秘密法(修訂)》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》、《數(shù)據(jù)安全法》、《電子簽名法》、《商用密碼應(yīng)用安全性評估管理辦法》(試行)等,為網(wǎng)絡(luò)安全和密碼應(yīng)用提供了法律保障。 自2021年開始,國家正式通過商用密碼應(yīng)用安全性評估(簡稱“密評”),針對當前密碼應(yīng)用不廣泛、不規(guī)范、不安全的現(xiàn)狀,大力促進以國家認可的密碼技術(shù)為基礎(chǔ),以整體性、規(guī)范性和協(xié)同性為原則的密碼規(guī)范使用和管理,推動科學規(guī)范的網(wǎng)絡(luò)安全密碼屏障體系盡快形成,保證密碼在網(wǎng)絡(luò)和信息系統(tǒng)中的有效使用,打造以密碼為基石的網(wǎng)絡(luò)空間新安全架構(gòu),牢牢守住網(wǎng)絡(luò)安全最后一道防線。 商用密碼應(yīng)用安全評估與國家正在推進實施的網(wǎng)絡(luò)安全等級保護、涉密信息系統(tǒng)分級保護、關(guān)鍵信息基礎(chǔ)設(shè)施保護等一起共同構(gòu)成我國信息安全評估與管理的四項基本制度;除了密評本身對于密碼應(yīng)用安全提出系統(tǒng)性的要求,其他三項基本制度也都從各自角度分別對密碼安全應(yīng)用提出了明確的法定要求。 為此,根據(jù) GB/T 39786-2021的要求,結(jié)合密碼保障體系建設(shè)和服務(wù)的專業(yè)經(jīng)驗,建議從數(shù)字轉(zhuǎn)型和網(wǎng)絡(luò)安全頂層設(shè)計出發(fā),引入《密碼應(yīng)用服務(wù)中臺》為中心,對接全域密碼設(shè)備和服務(wù),規(guī)劃建設(shè)統(tǒng)一的《密碼安全保障基礎(chǔ)平臺》,面向全域密碼應(yīng)用和管理,以全新的平臺化模式總成交付,通過對全域密碼應(yīng)用的全程追蹤、總體管控和統(tǒng)一服務(wù),提高密碼應(yīng)用管理與服務(wù)的集約化和精細化水平,全面掌握密評合規(guī)和密碼應(yīng)用安全保障的主動權(quán),固本清源,切實守住網(wǎng)絡(luò)安全的最后一道防線。 + + + + + 密改要則 密評最終目的是要系統(tǒng)性地推進和規(guī)范全域密碼應(yīng)用,只有真正領(lǐng)會GB/T 39786-2021的要求,從密碼服務(wù)、應(yīng)用、管理同步進行,實現(xiàn)對全域密碼應(yīng)用的全程追蹤、總體管控和統(tǒng)一服務(wù),才能從根本上真正滿足密評合規(guī)所要求的整體性、協(xié)同性和規(guī)范性要求。實踐中需要切實把握規(guī)范化、體系化、主動性和成長性等幾個基本要則: · 規(guī)范化。選用國家認可的密碼算法、技術(shù)、產(chǎn)品和服務(wù),確保密碼服務(wù)可用。這一條涉及密評高風險項聚集的領(lǐng)域,需要首先保證。 · 體系化。保持全域密碼應(yīng)用的全程追蹤和總體管控,確保可知、可管、可控。這一條涉及密評完備性和協(xié)同性,是克服密碼碎片化、避免疏漏的關(guān)鍵。 · 成長性。網(wǎng)絡(luò)信息系統(tǒng)是發(fā)展的,密改方案需支持動態(tài)擴展,確保其延續(xù)性。密評年檢制決定了密改的長期性,必須在正確軌道上保持開放敏捷性設(shè)計。 · 主動性。密評是手段,不是目標,密改需要與數(shù)字轉(zhuǎn)型和網(wǎng)絡(luò)安全規(guī)劃融合。以密碼為內(nèi)生安全基因構(gòu)建網(wǎng)絡(luò)安全新體系,才是密評工作的真正目的,也是密評合規(guī)的底層邏輯。 密改需求分類 綜上所述。需求分類歸納如下: 1. 規(guī)范完備的密碼服務(wù)功能體系 檢測定位不合格的密碼算法、技術(shù)、產(chǎn)品和服務(wù),選配國家認可的密碼算法、技術(shù)、產(chǎn)品和服務(wù)。比如具有國密型號的服務(wù)器密碼機/密碼卡、數(shù)字證書系統(tǒng)(CA)、簽名驗簽服務(wù)器、時間戳服務(wù)器、協(xié)同簽名系統(tǒng)、電子簽章系統(tǒng)、安全認證網(wǎng)關(guān)、SSL VPN/IPsec VPN、多因素認證系統(tǒng)、統(tǒng)一認證系統(tǒng),以及具有工信部許可的CA電子認證服務(wù)等等。滿足全域?qū)φ鎸嵭浴C密性、完整性和不可否認性等密碼服務(wù)保障能力的需求,構(gòu)成規(guī)范完整、科學專業(yè)的密碼服務(wù)功能體系。 2. 科學系統(tǒng)的密碼服務(wù)管理體系 針對全域的密碼應(yīng)用統(tǒng)一管理,除了基本信息的登記備案,還需要實現(xiàn)服務(wù)方、依賴方(調(diào)用方)和管理方三者及其相關(guān)策略的統(tǒng)一管理與協(xié)調(diào)一致,避免密碼服務(wù)在管理上出現(xiàn)漏洞。 3. 安全穩(wěn)定的密碼受控服務(wù)體系 對接全域密碼服務(wù)的功能和管理體系,按照設(shè)定的訪問策略,面向密碼應(yīng)用方提供安全可控和穩(wěn)定高效的差異化密碼服務(wù),在密碼產(chǎn)品安全合規(guī)的同時,確保全域密碼應(yīng)用體系的結(jié)構(gòu)性安全,并具備適當?shù)膽?yīng)急保障能力。 4. 獨立權(quán)威的密碼服務(wù)數(shù)據(jù)體系 針對全域碎片化的密碼服務(wù)數(shù)據(jù)進行匯總梳理和完整性保護,并針對密碼服務(wù)情況提供權(quán)威的查詢展示和審計服務(wù)。 5. 便捷高效的密碼服務(wù)運行體系 全程跟蹤展示密碼應(yīng)用情況;保障平臺高質(zhì)量安全運行;支持平臺運營日常維護以及用戶自助服務(wù)的極簡高效;提供第三方開發(fā)者二次開發(fā)和仿真調(diào)測環(huán)境等。 6. 支持多樣化用戶終端場景 密碼客戶端需要適配多樣化用戶終端場景,比如手機、電腦、pad等終端設(shè)備;SDK、插件、APP、小程序、專用客戶端等終端軟件形態(tài);支持外接USBKey或者內(nèi)置密碼軟件模塊;支持主流操作系統(tǒng)和信創(chuàng)平臺等等,確保用戶體驗。 7. 支持靈活擴展專項密碼應(yīng)用系統(tǒng) 要求無縫擴展提供各種密碼類專項服務(wù),滿足特定項目對于密碼服務(wù)的個性化定制。比如身份治理、電子簽署、電子合同、電子證照、電子存證等。 8. 支持基于密碼的網(wǎng)絡(luò)安全新體系 支持平滑演進為電子認證、零信任框架、區(qū)塊鏈網(wǎng)絡(luò)等以密碼為基石的網(wǎng)絡(luò)安全新體系,充分發(fā)揮密碼的核心基礎(chǔ)價值,守住新形勢下網(wǎng)絡(luò)安全的最后一道防線。 總之,密評不只是政策紅利和法定責任,以密碼為內(nèi)生安全基因構(gòu)建網(wǎng)絡(luò)安全新體系的未來已經(jīng)來到,責任單位盡早統(tǒng)籌規(guī)劃統(tǒng)一的密碼應(yīng)用安全保障體系,并據(jù)此安排分步實施落實,避免陷入“盲人摸象,欲速則不達”的誤區(qū)。 來源:數(shù)觀天下
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號清控創(chuàng)新基地A座4層