2022年,密评成了很多企事业单位的热搜词。无论是广播电视网、电信网、能源、教育、公安、测绘地理信息、社保、交通、水利枢纽、城市设施,还是卫生计生、金融、航空航天、先进制造、石油石化、油气管网、电力系统等单位,只要是涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位,“过密评”成了一道紧箍咒,随着时间逐渐收紧。“过密评”也成了一众单位技术负责人的头等大事。为此,嘶吼专访了密码技术专家信长城创始人及CEO罗燕京,从密码专业领域来解读“密评那些事儿”。
什么是密评?
“想要过密评,我们先要了解什么是’密评’”罗燕京介绍说,密评全称商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。翻译过来,就是对使用了商业密码的系统进行评估,从而确保其合规、正确、有效。
为什么要“过密评”?
罗燕京介绍,对于责任主体而言,密评是国家网络安全和密码相关法律法规提出的明确要求,是相关责任主体的法定责任和义务。其中,《中华人民共和国密码法》明确规定,使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。同时,密评也是系统安全维护的必然要求,应对网络安全形势的需求。有助于从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。因此,开展密评,大势所趋。
如何“过密评”?
对于责任主体相关负责人来说,开展密评是一件琐碎又头疼的事情。罗燕京分析道,目前密评测试机构主要依照GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》的技术要求和管理要求开展评估工作。如果我们把“过密评”当作一场考试,GB/T 39786就像是参考书,对其理解的程度直接关系到考试能否顺利通过。这时候,想要迅速合规通过考试,就需要一个精通参考书内容的老师。于是,专业密改服务提供商应运而生。
一个合格的密改服务提供商,需要从责任主体本身业务系统出发,从GB/T 39786要求的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行及应急处置等层面,进行密码应用需求分析,得出适合责任主体单位业务系统密码应用需求。从而使责任主体能够顺利通过密评。
另外,密评责任主体需要特别注意:按照国家规定,密评需要每年进行一次。因此,密改方案不仅需要适配主体现阶段的业务系统,还需要兼容其未来一段时间的密评需求。特别是随着数字化转型的不断推进,业务系统中智能化物联网设备大量增加,逐渐成为开展密评的重要节点,因此,密改服务需预置针对数字化设备的安全改造能力。