后量子密码学加密算法发展、第三方Onsite员工账号管理优化及关基单位模拟攻击合规性分析

0x1本周话题

话题一：请教一下，对于第三方onsite员工（非HR管理的内部人员）申请的账号，有什么好的管理方式确保内部责任员工及时提交离职申请。目前只有二道review机制，但还是发现有人未及时提交注销申请。

A1：风险分析与现状

在企业运营中，第三方Onsite员工的账号管理是一个常见的问题。即使企业设置了两道审查机制，仍存在员工离职时未及时提交离职申请，导致账号未能及时注销，这样可能会被不法分子利用，进而威胁企业的信息安全。

A2：现有管理机制的不足

• 首先，责任不明确，内部责任员工未能及时提交离职申请，导致账号管理出现漏洞。
• 其次，监督机制不完善，缺乏有效的监督手段来确保责任员工能够按时完成相关流程。
• 最后，信息沟通不畅，领导层对员工离职情况的了解不够及时，无法有效督促责任员工完成离职申请。

A3：措施建议

建议可以设立内部管理责任人制度。为每个第三方Onsite员工指定一位内部责任正式员工，使其负责监督和管理该外部人员的账号申请及离职流程。

如果出现未及时提交离职申请的情况，管理责任人需承担相应的连带责任。这种制度可以明确责任归属，增强内部监督力度，确保流程的顺利执行。

A4：利用技术手段进行监控

除了设立管理责任人，还可以利用技术手段进行监控。例如，通过打卡记录、SSO（单点登录）日志以及入网日志等，实现对账号使用情况的主动监控。

系统可以定期（如每周）巡检账号的活跃状态，并向相关管理人员发送邮件通知，告知哪些账号已处于不活跃状态。对于连续两周不活跃的账号，系统可自动推送消息至其内部领导处，提醒其采取必要的处理措施。

A5：完善离职流程

离职流程的规范性和完整性也至关重要。企业应从多个维度出发，进一步梳理和完善离职流程。

• 在业务方面，确保离职流程中包含账号注销环节，避免因流程不规范而导致费用结算问题或审计风险。
• 在安全方面，明确各环节的责任主体和操作规范，确保账号的及时注销和权限的回收。同时，定期对离职流程进行审计和评估，确保其符合企业的安全标准和法规要求。

A6：领导层的责任与参与

领导层在员工离职管理中扮演着重要角色。Onsite员工的领导应对其离职情况保持充分知情，并及时督促责任员工完成离职申请。若领导对员工离职情况不知情，可视为一种失职行为。

引导领导层进行监督和参与，有助于从组织架构层面保障流程的顺利执行。通过层级管理，可以确保信息流通顺畅，及时发现并解决问题。

A7：安全与业务的协同合作

账号管理不仅是安全问题，更是业务问题。在账号管理中，安全团队应与业务团队紧密合作，共同制定和执行管理策略。安全团队可以提供技术支持和风险评估，而业务团队则需要确保流程的可行性和执行力度。通过协同合作，可以更好地平衡安全需求与业务需求，实现双赢。

话题二：咱们国内后量子密码学加密算法是什么进展？日本的监管在要求他们银行做这方面的工作了。

A1：国内发展现状

目前，国内后量子密码学的发展进程相对较慢。尽管国内厂商已默认支持NIST的四个算法，但国内算法标准的制定进度滞后，导致厂商在投资和研发方面存在诸多顾虑。据相关消息，国密加密实现的时间节点被推迟至2035年左右，这使得国内在后量子密码学领域面临理论研究与实际应用脱节的问题。

同时，如何评估厂商所提供的算法实现及其声称的PQC安全性，也是一个亟待解决的难题。在时间紧、任务重的背景下，行业普遍担忧会重蹈国密改造的覆辙，即标准制定与实际应用之间的协调难题。

A2：国内标准制定进展

国密局已启动后量子密码学标准的征集工作。然而，由于后量子密钥长度相对较长，标准的制定需要综合考量技术可行性、经济成本以及市场接受度等多方面因素。国内密码厂商在标准明确之前，往往因担心开发成本的浪费而持观望态度。

尽管如此，仍有个别厂商出于前瞻性考虑，尝试开展一些软性或实验性质的探索，如参考AWS对TLS（传输层安全协议）的后量子改造案例。

在国内银行领域，部分大型银行已开始进行技术储备和试点探索，例如工商银行的“两把锁”技术以及建设银行的相关实践，为行业积累了宝贵经验。

A3：技术评估与安全风险

后量子密码学的实现不仅需要考虑算法的理论安全性，还需要在实际应用中进行充分的测试和评估。目前，国内对于厂商算法实现的评估机制尚不完善，这可能导致市场上出现一些未经充分验证的PQC解决方案。

因此，建立科学合理的评估体系，确保算法的安全性和可靠性，是推动后量子密码学发展的关键环节。同时，加强与国际组织的合作，借鉴国外先进经验，也有助于提升国内在该领域的技术水平。

A4：行业应用与市场推广

除了技术层面的挑战，后量子密码学的市场推广也面临诸多困难。由于技术门槛较高，市场接受度较低，许多企业对后量子密码学的应用持谨慎态度。

那么就需要政府、行业协会和企业共同努力，通过政策引导、宣传教育等方式，提升市场对后量子密码学的认知度和接受度。并且，鼓励企业加大研发投入，推动后量子密码学技术的产业化应用。

A5：未来发展与建议

国内后量子密码学的发展需要在标准制定、技术评估、市场推广等多方面协同推进。政府应加大对后量子密码学研究的投入，鼓励科研机构和企业开展相关研究。

与此同时，建立完善的评估体系，确保算法的安全性和可靠性。此外，加强国际合作，积极参与国际标准的制定，提升我国在该领域的国际话语权。只有这样，才能在后量子密码学领域实现自主可控，保障国家信息安全。

话题三：关基单位模拟攻击合规性与风险管控。

A1：监管要求与合规挑战

目前，相关部门在对关键信息基础设施（关基）单位进行模拟攻击时，需遵循严格的报备流程。

例如，在深圳地区，无论是攻防演练还是渗透测试，均需事先向公安部门报备。这一要求源于公安部门对网络安全活动的监管规定，旨在确保各类网络安全测试活动的合法性和可控性。

据业内人士透露，近两年公安部门已明确发文要求，组织大规模攻防演练的单位必须提交详细的方案，包括参与人员信息、攻击IP等，并在事后提交总结报告。

然而，不同地区的执行力度存在差异，部分地区的等保测评（等级保护测评）在渗透测试环节已将报备作为必要步骤，而其他地区则相对宽松。

A2：渗透测试与攻防演练的界定

需要明确的是，渗透测试与大规模攻防演练在监管要求上有所不同。一般来说，大规模的攻防演练（如涉及特定行业或大型集团的活动）需要向公安部门报备，而企业内部的渗透测试则相对宽松。

不过，随着网络安全形势的日益严峻，即使是内部渗透测试，也需谨慎对待，避免对生产系统造成不必要的影响。

A3：报备流程的重要性

报备流程是确保网络安全活动合法性和可控性的重要环节。报备内容通常包括活动的目的、范围、时间、参与人员信息、攻击IP等。通过报备，监管部门可以对网络安全活动进行有效监管，避免因非法或不规范操作引发的安全事件。

同时，报备也有助于提升企业的安全意识，促使其在开展网络安全活动时更加谨慎和规范。

A4：风险评估与应对策略

在开展模拟攻击活动之前，进行全面的风险评估至关重要。风险评估可以帮助企业识别潜在的安全威胁，制定相应的安全策略，确保活动的安全性和可控性。

企业应根据评估结果，制定详细的应急预案，以便在发生安全事件时能够迅速响应和处理。此外，企业应定期进行安全培训，提升员工的安全意识和技能水平，确保其能够正确应对各种安全威胁。

A5：实网攻击与测试环境的区分

实网攻击和测试环境的渗透测试在风险和后果上存在显著差异。实网攻击直接作用于生产系统，可能对企业的正常运营造成严重影响，因此需要更加谨慎和严格的管理。

相比之下，测试环境的渗透测试风险较低，但仍需确保测试环境与生产环境的有效隔离，避免测试活动对生产系统产生意外影响。企业应根据实际情况，选择合适的攻击目标和测试环境，确保模拟攻击活动的安全性和有效性。

0x2

原文始发于微信公众号（君哥的体历）：后量子密码学加密算法发展、第三方Onsite员工账号管理优化及关基单位模拟攻击合规性分析。｜总第290周