Image
全国统一服务热线
0351-4073466

信息系统密评改造:从数字转型和网络安全顶层设计出发

编辑:2023-04-25 16:07:16

密码是新时代网络空间的安全基石,是全社会数字转型成败的关键,是现代化国家之重器。这是国家推进密评密改工作的基础逻辑,也是责任单位切实履行密评法定责任所需要具备的基本认知,二者高度统一。

+ + + + + + + + + + + 

近年来国家陆续发布《网络安全法》、《密码法》、《保守国家秘密法(修订)》、《关键信息基础设施安全保护条例》、《数据安全法》、《电子签名法》、《商用密码应用安全性评估管理办法》(试行)等,为网络安全和密码应用提供了法律保障。

自2021年开始,国家正式通过商用密码应用安全性评估(简称“密评”),针对当前密码应用不广泛、不规范、不安全的现状,大力促进以国家认可的密码技术为基础,以整体性、规范性和协同性为原则的密码规范使用和管理,推动科学规范的网络安全密码屏障体系尽快形成,保证密码在网络和信息系统中的有效使用,打造以密码为基石的网络空间新安全架构,牢牢守住网络安全***后一道防线。

商用密码应用安全评估与国家正在推进实施的网络安全等级保护、涉密信息系统分级保护、关键信息基础设施保护等一起共同构成我国信息安全评估与管理的四项基本制度;除了密评本身对于密码应用安全提出系统性的要求,其他三项基本制度也都从各自角度分别对密码安全应用提出了明确的法定要求。

为此,根据 GB/T 39786-2021的要求,结合密码保障体系建设和服务的专业经验,建议从数字转型和网络安全顶层设计出发,引入《密码应用服务中台》为中心,对接全域密码设备和服务,规划建设统一的《密码安全保障基础平台》,面向全域密码应用和管理,以全新的平台化模式总成交付,通过对全域密码应用的全程追踪、总体管控和统一服务,提高密码应用管理与服务的集约化和精细化水平,******掌握密评合规和密码应用安全保障的主动权,固本清源,切实守住网络安全的***后一道防线。

+ + + + + 

密改要则


密评***终目的是要系统性地推进和规范全域密码应用,只有真正领会GB/T 39786-2021的要求,从密码服务、应用、管理同步进行,实现对全域密码应用的全程追踪、总体管控和统一服务,才能从根本上真正满足密评合规所要求的整体性、协同性和规范性要求。实践中需要切实把握规范化、体系化、主动性和成长性等几个基本要则:

· 规范化。选用国家认可的密码算法、技术、产品和服务,确保密码服务可用。这一条涉及密评高风险项聚集的领域,需要首先保证。

 · 体系化。保持全域密码应用的全程追踪和总体管控,确保可知、可管、可控。这一条涉及密评完备性和协同性,是克服密码碎片化、避免疏漏的关键。

 · 成长性。网络信息系统是发展的,密改方案需支持动态扩展,确保其延续性。密评年检制决定了密改的长期性,必须在正确轨道上保持开放敏捷性设计。

 · 主动性。密评是手段,不是目标,密改需要与数字转型和网络安全规划融合。以密码为内生安全基因构建网络安全新体系,才是密评工作的真正目的,也是密评合规的底层逻辑。

密改需求分类


综上所述。需求分类归纳如下:

1. 规范完备的密码服务功能体系

检测定位不合格的密码算法、技术、产品和服务,选配国家认可的密码算法、技术、产品和服务。比如具有国密型号的服务器密码机/密码卡、数字证书系统(CA)、签名验签服务器、时间戳服务器、协同签名系统、电子签章系统、安全认证网关、SSL VPN/IPsec VPN、多因素认证系统、统一认证系统,以及具有工信部许可的CA电子认证服务等等。满足全域对真实性、机密性、完整性和不可否认性等密码服务保障能力的需求,构成规范完整、科学专业的密码服务功能体系。

2. 科学系统的密码服务管理体系

针对全域的密码应用统一管理,除了基本信息的登记备案,还需要实现服务方、依赖方(调用方)和管理方三者及其相关策略的统一管理与协调一致,避免密码服务在管理上出现漏洞。

3. 安全稳定的密码受控服务体系

对接全域密码服务的功能和管理体系,按照设定的访问策略,面向密码应用方提供安全可控和稳定******的差异化密码服务,在密码产品安全合规的同时,确保全域密码应用体系的结构性安全,并具备适当的应急保障能力。

4. 独立权威的密码服务数据体系

针对全域碎片化的密码服务数据进行汇总梳理和完整性保护,并针对密码服务情况提供权威的查询展示和审计服务。

5. 便捷******的密码服务运行体系

全程跟踪展示密码应用情况;保障平台高质量安全运行;支持平台运营日常维护以及用户自助服务的极简******;提供第三方开发者二次开发和仿真调测环境等。

6. 支持多样化用户终端场景

密码客户端需要适配多样化用户终端场景,比如手机、电脑、pad等终端设备;SDK、插件、APP、小程序、专用客户端等终端软件形态;支持外接USBKey或者内置密码软件模块;支持主流操作系统和信创平台等等,确保用户体验。

7. 支持灵活扩展专项密码应用系统

要求无缝扩展提供各种密码类专项服务,满足特定项目对于密码服务的个性化定制。比如身份治理、电子签署、电子合同、电子证照、电子存证等。

8. 支持基于密码的网络安全新体系

支持平滑演进为电子认证、零信任框架、区块链网络等以密码为基石的网络安全新体系,充分发挥密码的核心基础价值,守住新形势下网络安全的***后一道防线。

总之,密评不只是政策红利和法定责任,以密码为内生安全基因构建网络安全新体系的未来已经来到,责任单位尽早统筹规划统一的密码应用安全保障体系,并据此安排分步实施落实,避免陷入“盲人摸象,欲速则不达”的误区。

来源:数观天下

下一页
Image
Image
版权所有:山西科信源信息科技有限公司  
咨询热线:0351-4073466 
地址:(北区)山西省太原市迎泽区新建南路文源巷24号文源公务中心5层
           (南区)太原市小店区南中环街529 号清控创新基地A座4层
Image
©2021 山西科信源信息科技有限公司 晋ICP备15000945号 技术支持 - 资海科技集团