密评产业终究化作梦里南柯
2023年7月1日,修订后的《商用密码管理条例》开始正式施行。
https://www.gov.cn/gongbao/2023/issue_10506/202306/content_6885266.html
2023年9月26日,国家密码管理局发布了《商用密码应用安全性评估管理办法》。
https://www.oscca.gov.cn/sca/xxgk/2023-10/07/content_1061109.shtml
https://www.oscca.gov.cn/sca/xxgk/2023-10/07/content_1061111.shtml
修订后的《商用密码管理条例》和《商用密码应用安全性评估管理办法》让密评产业终究化作梦里南柯。
国家密码管理局2020年8月20日公布的《商用密码管理条例(修订草案征求意见稿》中,规定“非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护”。
修订后的《商用密码管理条例》中规定“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护”。
《商用密码应用安全性评估管理办法》规定“法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统(以下简称重要网络与信息系统),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。”
一个省网络安全等级保护第三级以上的系统都是一万以上,但关键信息基础上设施是屈指可数,而“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施”更是凤毛菱角,“法律、行政法规和国家有关规定要求使用”实际上就是最起码要国务院一级的机构发布的文件要求才可以,关键信息基础设施也好,等级保护也好,根本上还算建设者自己去评,但“法律、行政法规和国家有关规定要求使用”则必须是国家层面要求的,也就是说,只有极少数极少数的单位适用于这条规定,是必须使用商用密码和定期进行密评的,其他单位最多是按照“第三十五条 国家鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,鼓励使用经检测认证合格的商用密码。”规定,鼓励使用而非强制。
“法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统”这个描述实际上要比《商用密码管理条例》范围要大一些,因为《商用密码管理条例》只要求部分关键信息基础设施应当使用商用密码进行保护,实际范围要小的多,不排除后续努力在其他方面提出要求,但那个难度很大,大部分行业主管单位对商用密码的推广还是以鼓励为主,不提硬性要求。
密评范围缩小根本原因在于反对质疑的声音太大了。第一是成本增加。网络安全产业已经进入了服务为主,硬件为辅的时代,但商用密码产业还停留在卖盒子的阶段,真是落后于时代。第二是生态不完整。
一直以来,商用密码产业都是以盈利为核心,走之前网络安全产业卖盒子的老路,拒绝开源和软件化,就是卖硬件盒子,这使得目前应用商用密码的系统,密码机、网关等商用密码产品很容易成为瓶颈,硬件部署本身也和各地推行系统上云相违背,在商用密码产业作出改变之前,除了密码管理局,估计没有行业主管部门会硬性推广商用密码,之前《商用密码管理条例》正式版和征求意见稿差距之大就是证明,国务院肯定是结合各方意见后进行修改的。
为了解决商用密码应用中的难点和瓶颈,我们提出以下策略和建议:
第一,软件化和开源化。放弃硬件为主的思路,通过软件实现商用密码,可以大幅度提高商用密码的扩展能力,也可以通过外观专用计算组件的形式,让现有云计算资源具备相应能力。
第二,加强技术创新和应用研究也是解决商用密码应用技术难点的关键。通过不断研究和探索新的加密算法和安全协议,提高商用密码应用的安全性和可靠性,降低其开发难度和技术门槛。
第三,完善密码管理和法规体系也是解决商用密码应用瓶颈的重要手段之一。通过建立完善的密码管理体系和法规框架,降低商用密码应用的管理难度和成本,提高其合规性和法律责任的可控性。
最后,加强行业合作和交流也是促进商用密码应用发展的重要途径之一。通过加强行业内的合作和交流,共同解决商用密码应用中的难点和瓶颈问题,推动其技术创新和应用发展。
原文始发于微信公众号(利刃信安攻防实验室):【密码测评】密评产业终究化作梦里南柯
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论