密码体系是网络安全环境的基础,密码评测是密码体系建设优良最重要的考量,密码应用与密码评测工作同为网络安全环境建设的重要部分,意义重大。
一、网络安全形势所需:
1、网络空间霸权主义依然存在:互联网主根服务器位于美国,其他12个附属根服务器中的9个在美国,剩余3个部署于美国盟国境内,整体上互联网是由美国霸权控制的网联网。
2、敌对势力意图通过网络扳倒中国的图谋没有改变:西方国家长期制造不利我国的舆论环境,不利情形短期内难以扭转。外国情报机构、黑客组织针对我国的网络攻击层出不穷。
3、关键技术受制于人:中兴事件、华为事件,充分暴露出我国的网络技术及其他信息安全领域的技术受制于人。
4、密码技术不可控:密码技术作为网络安全基础性核心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技术。但前期通用的国际密码算法频繁被爆出漏洞。
所以:建设自主可控、安全领先、整体合规的密码体系迫在眉睫
二、法制所需
我国社会全面进入法治社会,各行各业都需在法治框架下进行工作开展,信息化行业也不例外,《中华人民共和国网络安全法》就是现行信息化建设特别是网络安全工作的法律基础。在此基础上诸如《电子商务法》、《数据安全法》、《个人信息保护法》、《电子签名法》、《密码法》、《网络安全等级保护条例》等相关法律都在颁布、修订或制订中。
其中所有的法律或条例都明确要求要采用密码对系统、环境、数据等进行安全保护。
三、已经颁布执行的《密码法》明确指出:
1、国家推进密码检测认证体系建设,制定密码检测、认证规则。密码检测、认证机构应当依法取得相关资质,并依照法律、法规的规定和密码检测、认证规则开展密码检测、认证。
2、国家对关键信息基础设施的密码应用安全性进行分类分级评估,按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查。
3、《网络安全等级保护条例》对于密码更是做了详实的要求说明,密码要求涉及【物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理】十个方面,达到全覆盖。同时对【云计算、移动互联网、物联网、工业控制系统】这样新型的应用形式给出了密码应用要求。同时特别强调【在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖】。
所以:密码应用和密码测评是落实《网络安全法》,践行依法治网重要保障
四、法律责任:
1、未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
2、发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
3、关键信息基础设施的运营者,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
4、使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
五、业务所需:
1、业务在安全技术层面重点涉及保密、完整、可靠,在体系层面涉及认证、授权、责任认定,在结果层面涉及真实、关联、合法(业务需求【三三原则】),而这三个层面的实现保障手段非密码技术莫属,而密码评测又是确实保障密码技术在落实“三三原则”时是否达到合规、正确、有效的最可行方法(有明确的标准和规范)。
2、所以:密码保障业务安全、密码评测保障密码体系完善,二者有机协同,才能建立完善的网络安全环境。
总结:
密码体系是网络安全环境的基础,密码评测是密码体系建设优良最重要的考量,密码应用与密码评测工作同为网络安全环境建设的重要部分,意义重大。希望从业者和应用者要重视密码体系建设的同时,更要重视密码评测工作,切实保障密码体系能被合规建设、正确应用、管理无盲区,防止被误导。