對商用密碼應用安全建設市場的研究與思考
作為一名一直奮戰在第一線的網絡安全從業人員,作者始終對于一些新業務方向和市場發展保持高度關注。近一段時間以來,特別對商用密碼應用安全性評估(簡稱“密評”)涉及的政策文件、法律法規、技術標準、產品技術、解決方案,以及市場情況進行了比較系統地學習和研究,并與該領域的同事、朋友和用戶進行了深入探討,深感信息系統密評建設任重而道遠。特寫此文,與君分享。
首先,因作者本人知識水平有限、實踐經驗不足,其中觀點難免會有偏頗之處,敬請大家諒解、批評指正。
其次,是關于本文的一些術語、用語的約定或定義:①“密評”,指的是由密評機構或密評公司對用戶單位信息系統密碼應用的合規性、正確性和有效性進行評估和測評工作。②“密評建設”,或“密評改造”,本文又稱為“密碼應用安全建設”,指的是由集成商或代理商對用戶單位信息系統為了有效符合“密評”而進行的項目集成實施或改造工作。
接下來,將直接進入正文。經過持續調研,結合實際情況,作者認為,要想真正搞清楚密評建設的市場環境和發展趨勢,還是要共同回顧一下信息系統等級保護建設和商用密碼管理的發展歷程。
等級保護建設發展簡述
時光如白駒過隙,彈指一揮間,我國網絡安全市場建設已經走過了20多個春秋。可以認為,整個信息系統等級保護建設的歷程,寫就了我國網絡安全市場的發展史。
從1994年國務院頒布的《中華人民共和國計算機信息系統安全保護條例》 (國務院第147號令),到1999年《計算機信息系統安全保護等級劃分準則》(GB 17859-1999),再到2003年的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)文件,隨之而來的是66號文、43號文、861號文等一系列等級保護指導文件密集發布,直至2008年開始等級保護國家標準陸續頒布,信息系統等級保護建設逐步邁入了標準化、規范化和體系化。
2014年2月27日,中央網絡安全和信息化領導小組成立,我國網絡安全和信息化邁入了一個全新時代。此時,距離2003年中辦發[2003]27號文的發布,已經過去了超過十年,這一階段可以認為是我國信息安全發展的第一個黃金十年。
值得一提的是,自中央網信辦成立以后,國家圍繞網絡安全工作的頂層設計進一步加強,新政頻出,加之在資本市場熱炒和推波助瀾下,我國信息安全市場建設很快進入了第二個黃金十年。尤其是2017年6月1日,《中華人民共和國網絡安全法》的正式施行,更是讓國家網絡安全工作開展有了法理依據,為黨政機關、企事業單位管理者依法治網、依法管網,化解網絡安全風險提供了超級武器。此后,網絡安全市場發展更是如火如荼:等級保護2.0系列標準相繼發布;網絡安全新技術新方向發展迅速,諸如安全運營、互聯網營銷等新業務模式相繼涌現。另一方面,市場競爭日趨激烈,企業面臨前所未有的經營壓力,繼而對資本市場的依賴程度空前。這對于創始人團隊來說或許也是一種無奈吧!
商用密碼管理發展簡述
與此同時,伴隨著整個信息安全市場發展的同一歷史節點,國家商用密碼算法研制和應用推廣的腳步也一直沒有停歇。
1999年10月,《商用密碼管理條例》正式由國務院頒布施行,標志著我國商用密碼管理從此走上了法治化的軌道;2003年9月,《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)文件,第一次明確提出“加強以密碼技術為基礎的信息保護和網絡信任體系建設”。
自2013年開始,鑒于美國“棱鏡計劃”被曝光,加之不斷被披露的“后門”事件,以及中美貿易摩擦持續升級等外部因素,關鍵技術領域自主可控被戰略性提出。誠然,作為我國三大“撒手锏”技術之一的“密碼技術”成為了國家重要戰略性資源。這使得我國商用密碼管理的進程明顯加快。
首先,在密碼算法層面上,國家密碼管理局先后頒布了一系列商用密碼算法,包括SM1、SM2、SM3、SM4、SM7、SM9以及祖沖之密碼算法(ZUC)等。其中,SM1、SM4、SM7以及祖沖之密碼算法(ZUC)屬于對稱加密算法,SM2、SM9屬于非對稱密碼算法,而SM3是密碼雜湊算法,即哈希算法。SM1、SM7算法不公開,需要通過專用加密芯片接口進行調用;SM2、SM3、SM4和SM9算法均已被采納為ISO/IEC國際標準。有關密碼學算法技術發展和作用原理介紹,可以參考由霍煒、郭啟全和馬原主編,由電子工業出版社出版的《商用密碼應用與安全性評估》一書。
其次,在制度文件層面上,從2018年中辦、國辦聯合發布的《金融和重要領域密碼應用與創新發展工作規劃(2018-2022)》(廳字[2018]36號),到2019年《國務院辦公廳關于印發國家政務信息化項目建設管理辦法的通知》(國辦發〔2019〕57號),再到2020年《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》(公網安〔2020〕1960號)等一系列指導文件陸續出臺,為我國商用密碼應用推廣提供了強有力的制度支撐,注入了強勁的發展動能。
特別是2020年1月1日《密碼法》的正式施行,更是為密碼產業的規模化發展提供了重大機遇,也為商用密碼應用市場的發展提供了廣闊舞臺。同時,作為指導商用密碼應用與安全性評估工作的基礎性標準,《信息安全技術信息系統密碼應用基本要求》(GB/T39786-2021)也已經于2021年10月1日正式實施。這對于規范和引導信息系統合規、正確、有效應用密碼,切實開展密評建設工作具有重要意義。
您的等保三級系統密評了嗎
“密評”全稱是:商用密碼應用安全性評估,是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中,對其密碼應用的合規性、正確性和有效性進行評估。概括地講,開展密評工作的必要性包括以下三個方面:
應對網絡安全形勢的實際需求:
密碼是重要領域網絡和信息系統關鍵設備自主可控的必選項,不用密碼,或者不用自主可控的密碼,就好比一個房子,其他部分建得再牢,但鎖是簡易鎖,或者鑰匙是別人的,不可能安全可控。
通過開展密評工作,能夠及時發現在密碼應用過程中存在的問題,為網絡安全建設提供科學的評價方法,繼而逐步規范密碼的使用和管理,從根本上改變密碼應用不廣泛、不規范、不安全的現狀,確保密碼在信息系統中得到有效應用,有效構建起堅實可靠的密碼應用安全保障體系。
國家相關法律法規的明確要求:
《中華人民共和國網絡安全法》第十條:建設、運營網絡或者通過網絡提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性。
《中華人民共和國密碼法》第二十七條:法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。
《商用密碼應用安全性評估管理辦法(試行)》第三條:涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位應當健全密碼保障體系,實施商用密碼應用安全性評估。第十條:關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,每年至少評估一次。
《國家政務信息化項目建設管理辦法》第十五條:項目建設單位應當落實國家密碼管理有關法律法規和標準規范的要求,同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。
相關責任主體的法定職責:
密評工作的責任主體是涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位。密評對象包括基礎信息網絡、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制系統、面向社會服務的政務信息系統,以及關鍵信息基礎設施、網絡安全等級保護第三級及以上的信息系統。因此,開展密評工作是國家相關法律法規提出的明確要求,是網絡安全運營者的法定責任和義務。
密評建設工作的關鍵點
數據分類分級,密評建設之前提:
眾所周知,數據分類分級是密評建設工作的前提。無論是物理和環境、設備和計算、網絡和通信層面,還是應用和數據層面,均強調的是對重要數據的安全保護工作。尤其是在應用和數據層面,更是明確要求保證信息系統重要數據在傳輸、存儲過程的機密性和完整性;諸如,訪問控制信息、鑒別數據、重要業務數據、重要審計數據、個人敏感信息均是信息系統和網絡中的重要數據。
通過數據分類分級管理,能夠厘清數據資產、確定數據重要性及敏感程度,知曉重要數據存儲在哪里,以便按照密評要求對其實行保護,滿足密評工作對于重要數據的安全保護要求,防控數據風險、保障數據交易、釋放數據價值。
避免觸碰紅線,做到安全合規:
《信息系統密碼應用高風險判定指引》是由中國密碼學會密評聯委會發布的指導文件,是密評工作中的重要參考基線,也就是涉及到高風險的測評項,均為一票否決項(共16項),即常說的密評建設中的紅線。
因此,在實際密評建設項目的方案設計、集成實施中必須有效規避或消除16條一票否決項,避免觸碰紅線,保障密碼應用的安全性、合規性。
應用系統開發改造,繞不過去的坎:
當前,對應用系統進行開發改造來滿足密評的要求,的確是個繞不過去的坎,也是密評建設工作的一個關鍵點。
我們已經了解,密評建設要做到安全、合規,無論是已有信息系統,還是新建信息系統,都必須與服務器密碼機、簽名驗簽服務器、時間戳服務器等密碼類產品進行對接開發,即第三方應用系統直接調用此類密碼產品的標準API接口,來滿足數據加解密、數據完整性保護、數據簽名/驗簽(身份鑒別)、權威時間標記等技術要求。
這雖然讓我們搞這群等級保護建設的從業人員驚詫不已,但的確是個繞不過去的坎,非做不可。從驚詫,到接受,再到去實踐,本身就是一個自我改變、自我適應的過程,無可厚非,但卻是密評建設工作的關鍵點之一。
密評建設發展階段預測
綜合密評建設工作的當前形勢及其關鍵特點,我們不妨從用戶需求、政策標準、監督監管、供應供給等四個方面對其發展階段進行大膽地預測:
開啟階段(之前~2020年):
大約90%的用戶單位和供應商不能夠說清楚,或者不明白密評工作的內容;國家有關密評系列標準缺失,不足以支撐密評建設工作;密碼產品、技術和服務商業化程度不高,市場需求動能不足,具體表現為項目落地復雜且實施交付難度較高,項目容量不大。
混沌階段(2021年~2023年):
大約60%的用戶單位和供應商能夠明白、理解密評工作的意義和內容;但仍處在為了通過密評而進行密評建設或密評改造的思想意識階段;國家有關密評系列標準陸續發布,密評建設框架體系逐步形成,市場監督監管和指導力度逐步加大;密評產品、技術和服務商業化能力依然不強,但市場需求旺盛,密評建設項目遍地開花,項目交付質量參差不齊。
理智階段(2024年~2025年):
大約20%以上的用戶單位和供應商能夠正確認識和對待密評工作,并開始按照規劃有的放矢地進行密評建設或密評改造工作,以保證密碼應用的有效性、安全性與合規性;國家有關密評系列標準持續發布,并獲得廣泛認知,市場監督監管和指導能力進一步強化;密碼產品、技術和服務商業化能力獲得突破,其交付模式獲得業界認可。
成熟階段(2026年~以后):
大約80%的用戶單位相繼完成部分第三級信息系統密評建設工作,密評建設如同等保建設一樣步入常態化、標準化和規范化;國家有關密評系列標準趨于完備,能夠有效監督監管和指導密評建設或密評改造工作;供應供給側出現明顯分水嶺,傳統密碼廠商和網絡安全企業之間出現既競爭又相互融合的良好局面。
寫在最后
當前,密碼應用安全建設已經成為國家網絡安全建設的第三大合規市場(即等級保護建設、分級保護建設、密碼應用安全建設)。除了傳統密碼廠商,業界眾多的網絡安全企業(諸如,奇安信、天融信、啟明星辰、安恒信息等)也已經進入這個賽道,并陸續推出自己的密碼卡、服務器密碼機、安全認證網關等密碼類產品,其他安全企業也正在躍躍欲試,密碼應用安全建設市場可謂是暗潮涌動。
由此,可以預見的是,在未來的3~5年時間里,密碼應用安全建設市場的競爭格局一定會出現一個重要的分水嶺——即網絡安全企業終將會成為項目開發和建設的一股清流,并與傳統密碼廠商相互競爭、相互交融。
與君共勉
正如前文所述,雖然密碼應用安全建設已經成為國家網絡安全領域三大合規建設方向之一,但是現階段密評建設仍然困難重重。例如,相比防火墻、入侵檢測、UTM、SOC平臺等安全產品而言,當前商用密碼產品和服務標準化程度較低,商業化成熟度不高,密碼領域專業技術人才更是匱乏,產業界涉及的企業規模大都較小,不能形成規模化效應。
然而,對于我們而言,既然密評建設的號角已經吹響,終歸要有人提刀跨馬,像個戰士一樣向前沖,蹚出這條布滿荊棘的通天大道。在當前日益復雜的國際國內網絡安全形勢下,小則為國家密碼事業貢獻綿薄之力,大則為國家網信事業添磚加瓦!
