导言

2021年3月9日,国家标准《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)正式发布,并于2021年10月1日起正式实施。该技术标准是贯彻落实《中华人民共和国密码法》,指导密评工作的一项基础性标准,对于规范和引导网络和信息系统合规、正确、有效应用密码,切实维护国家网络安全具有重要意义。

在该标准的指导下,开展密评也成为各大企事业单位的头等大事。然而,对于很多单位负责人而言,如何在保障现有业务系统不受影响的情况下,顺利开展密评,是一项复杂而又艰难的工程。

针对这一难题,网络安全专业媒体,被称为“中国网络安全行业第一门户”的嘶吼对信长城创始人及CEO罗燕京进行了专访,希冀能够从专业角度为相关单位提供一些可供借鉴的思路,助力企业顺利通过密评。

以下为专访原文:

2022年,密评成了很多企事业单位的热搜词。无论是广播电视网、电信网、能源、教育、公安、测绘地理信息、社保、交通、水利枢纽、城市设施,还是卫生计生、金融、航空航天、先进制造、石油石化、油气管网、电力系统等单位,只要是涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位,“过密评”成了一道紧箍咒,随着时间逐渐收紧。“过密评”也成了一众单位技术负责人的头等大事。为此,嘶吼专访了密码技术专家信长城创始人及CEO罗燕京,从密码专业领域来解读“密评那些事儿”。

什么是密评?

“想要过密评,我们先要了解什么是‘密评’”罗燕京介绍说,密评全称商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。翻译过来,就是对使用了商业密码的系统进行评估,从而确保其合规、正确、有效。

为什么要“过密评”?

罗燕京介绍,对于责任主体而言,密评是国家网络安全和密码相关法律法规提出的明确要求,是相关责任主体的法定责任和义务。其中,《中华人民共和国密码法》明确规定,使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。同时,密评也是系统安全维护的必然要求,应对网络安全形势的需求。有助于从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。因此,开展密评,大势所趋。

如何“过密评”?

对于责任主体相关负责人来说,开展密评是一件琐碎又头疼的事情。罗燕京分析道,目前密评测试机构主要依照GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》的技术要求和管理要求开展评估工作。如果我们把“过密评”当作一场考试,GB/T 39786就像是参考书,对其理解的程度直接关系到考试能否顺利通过。这时候,想要迅速合规通过考试,就需要一个精通参考书内容的老师。于是,专业密改服务提供商应运而生。

一个合格的密改服务提供商,需要从责任主体本身业务系统出发,从GB/T 39786要求的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行及应急处置等层面,进行密码应用需求分析,得出适合责任主体单位业务系统密码应用需求。从而使责任主体能够顺利通过密评。

另外,密评责任主体需要特别注意:按照国家规定,密评需要每年进行一次。因此,密改方案不仅需要适配主体现阶段的业务系统,还需要兼容其未来一段时间的密评需求。特别是随着数字化转型的不断推进,业务系统中智能化物联网设备大量增加,逐渐成为开展密评的重要节点,因此,密改服务需预置针对数字化设备的安全改造能力。

嘶吼简介
中国网络安全行业第一门户
深耕网络安全行业数年,以精专的媒体属性快速聚合业界多领域优势资源,深度打造集“政企、头部厂商、核心技术、高精尖人才”于一体的网络安全产业生态格局。品牌旗下自有11+媒体矩阵,强势覆盖数字 时代下全媒体传播路径。
近年来,嘶吼积极向产业咨询、行业研究等更深层业务领域突破转型,成立嘶吼安全产业研究院,凭借对行业的深度分析与洞察,已实现一呼百应的产业集聚效果,为政企机构的安全决策提供了权威参考,并为国家网络安全产业转型升级全速助力。