摘要:自《密码法》2020年1月1日颁布施行以来,国家围绕商用密码应用的政策法规、指导文件密集发布,各行业企业、地方政府关于商用密码应用推广的管理办法、技术规范频出。文章从密评政策标准研读、密评技术知识学习、密评建设项目实践三个方面阐述了如何快速、高效、系统化地汲取商用密码应用安全建设领域的技术知识。
关键词:商用密码 密码应用安全 密评建设 知识技能
《商用密码应用安全建设市场研究与思考》一文在“安全村”首次刊发后,随即被业内多家主流商密媒体转载。如此热度的确让人出乎意料,由此可见大家对于密评建设市场的关注度已经超乎寻常了。
在一段时间里,作者也陆续收到了众多朋友、同事等圈内好友的反馈,大都提到了一个共性问题:密评建设领域涉及到的密码学知识、密码产品和技术标准均具有很强的专业性、狭窄性和关联性,究竟如何才能快速地、系统化地学习与认知,继而顺利进入这个领域呢?这对于有意从事或立志从事商用密码应用安全建设领域的人员来说无疑是个巨大的挑战。
由此,经过积极酝酿、认真思考,结合最佳学习实践,并反复求证与修订,最后完成本文,作为《商用密码应用安全建设市场研究与思考》的“姊妹篇”发布出来。
关于本文一些用语的定义或约定:①商用密码应用安全性评估(本文又称为“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性等进行评估。通俗地讲,就是由密评机构对用户单位信息系统商用密码应用的合规性、正确性和有效性进行的检测和评估工作。②“密评建设”,或“密评改造”,本文又称为“密码应用安全建设”,指的是由集成商或代理商对用户单位信息系统为了有效符合“密评”而进行的集成实施或改造交付工作。
鉴于密码技术在网络安全保障中的支撑作用越来越突显,近年来更是受到全社会无比的重视。尤其是自《中华人民共和国密码法》2020年1月1日颁布施行以来,国家围绕商用密码应用的政策法规、指导文件密集发布,各行业企业、地方政府关于商用密码应用推广的管理办法、技术规范频出。
在面临各种不确定性的当下,如何才能够快速、高效、系统化地学习商用密码应用安全建设领域的知识技能呢?从最佳学习实践的角度来看,我们可以将整个学习过程划分为三个重要阶段:1)针对密评建设法律法规、政策文件和技术标准的研读阶段;2)针对密评产品技术的学习阶段;3)针对密评建设项目的实践阶段。上述各个阶段既相互衔接,又循序渐进,形成较为科学、合理的学习过程。其知识技能导图见图1:
图1.密评建设知识技能导图
对于领域内国家法律法规、政策文件、技术标准的研读、探讨与学习,是正确理解、快速熟悉和切入该领域知识范畴和业务方向的一个重要途径。对于密评建设市场领域来讲,亦然如此。
若想快速熟悉、准确领会密评建设领域的知识范畴和业务方向,首先要认真研读、学习一下相关政策文件、管理规范和技术标准。主要包括:《金融和重要领域密码应用与创新发展工作规划(2018-2022年》(中办36号文)、《政务信息系统密码应用与安全性评估工作指南》(中国密码学会密评联委会)、《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)、《信息系统密码应用测评要求》(GM∕T 0115-2021)、《信息系统密码应用高风险判定指引》(中国密码学会密评联委会)、《商用密码应用安全性评估FAQ(第二版)》(中国密码学会密评联委会)、《商用密码应用安全性评估量化评估规则》(中国密码学会密评联委会)等。诚然,若本行业内有密评建设相关管理规范要求的话,还应重点解读该行业领域的密评建设管理文件。
密码学是研究编制密码和破译密码的技术科学,分为密码编码学和密码分析学两大方向。密码学技术领域由于其自身很强的专业性、狭窄性和关联性,而且该领域的技术参考书籍也很多,这很容易让初学者产生巨大困惑:不知从哪里入手才能快速上手。
在此,我们不妨梳理、列举一些密码学领域的知识要点,然后再根据这些要点购买专业书籍坚持不懈地阅读、学习与交流,定能够在较短时间内学有所成。诸如:现代密码学技术发展历史、我国商用密码管理发展历程;密码算法分类,对称密码算法、非对称密码算法、散列算法的特点与用途;数据机密性、完整性、真实性、不可否认性的特点及其实现方式;SSL VPN、IPSec VPN技术的工作原理及其应用场景等;PKI/CA认证体系的工作机制及其业务应用等。
需要说明的是,PKI/CA认证体系的研读与学习在整个密码学知识领域中占有举足轻重的地位。只有深刻理解、正确领会PKI/CA认证体系的工作机制、实现流程、业务应用等技术要点,才能够在密评建设领域做到融会贯通,游刃有余地运用到实际项目中去。
我国商用密码产品种类众多,涵盖密码芯片、密码板卡、密码机、密码系统等,形成了较完整的产业链条和产品体系。
从密评建设咨询设计的角度出发,要求从业者需熟悉一系列密码类产品的功能效用,掌握其技术原理和应用部署等内容。诸如:智能密码钥匙、SSL VPN安全网关、IPSec VPN安全网关、服务器密码机、签名验签服务器、时间戳服务器、数字证书系统、协同签名系统、电子签章系统、密钥管理系统、密码服务平台等密码产品。
从密评建设集成交付的思维来讲,仅仅知晓密码类产品的功能效用、实现原理和应用部署是远远不够的,还需要咨询设计人员掌握相应的技术诀窍、设计技巧等隐蔽知识。包括密码类产品与传统安全产品之间的关联知识、不同密码产品之间的关联知识,以及不同场景下的设计思路与实现技巧等特定技能。
诸如:数据分类分级与密评建设之间;安全浏览器与VPN安全网关之间;签名验签服务器、安全认证网关与VPN安全网关三者之间;基于密码技术与特定识别技术身份鉴别之间等各方关联关系知识。
梳理分析密评建设项目中涉及的主要干系人及其职责对于成功把控项目是十分重要的。概括而言,可以通过“密评建设干系人关系模型”来清晰展示项目参与各方之间的关联关系。如图2所示:
图2.密评建设干系人关系模型
通过前期咨询评估,准确厘清业务对象的基本情况、网络拓扑、承载业务情况、系统软硬件资产构成(含密码设备资产)、管理制度流程等业务现状,尤其是业务功能流转,以及重要数据分布情况、存储位置等业务家底,是密评建设方案设计的重要前提。如此,才能够按照密评建设要求实行重点保护,满足密评工作对于信息和网络系统密码应用安全保护的基本要求。
结合前期业务咨询调研结果,形成项目需求,继而依据密评建设基本要求、测评要求、高风险判定指引等技术文件,认真编制安全合规解决方案,是密评建设的关键环节。
需要强调的是,密评建设是整个网络安全建设的重要组成部分,密评产品与传统安全产品不是相互割裂的,而是相辅相成的,二者既要各司其职,还要有序结合,更要相互融合。
由此,只有站在网络安全顶层设计全局视野下,以满足密码应用安全需求为出发点,以加强整体网络安全保障为初心使命,才能够做到因地制宜、量体裁衣,为信息化系统编制出最优密码应用安全解决方案,以期实现快速交付,缩短建设周期,节约建设资金。
诸如:分区分域设计、分级保护思想的落地落实;日志审计系统、运维堡垒机的资源复用;密码应用安全监测与网络安全运营中心的能力整合等方面。
当前对于密评建设项目交付而言,无论是已有信息系统,还是新建信息系统,均须与服务器密码机、签名验签、时间戳系统、电子签章系统,或密码服务平台等密码资源进行开发对接,以赋能密码能力,满足密评技术要求。
这与等级保护、分级保护等安全合规建设有较大差异,也就要求参与密评建设项目的咨询服务人员、方案设计人员、实施交付人员均须具备较强的集成交付能力:即,在密评建设项目的业务咨询、方案设计、方案评审、集成实施等各个环节都要认真考虑项目如何快速交付的各种影响因素。
包括《政务信息系统密码应用与安全性评估工作指南》(中国密码学会密评联委会)、《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)、《信息系统密码应用测评要求》(GM∕T 0115-2021)、《信息系统密码应用高风险判定指引》(中国密码学会密评联委会)、《商用密码应用安全性评估FAQ(第二版)》(中国密码学会密评联委会)、《商用密码应用安全性评估量化评估规则》(中国密码学会密评联委会)等;熟悉等级保护2.0系列安全标准,具备等级保护方案设计及项目建设经验者最佳。
具备一定的密码学基础知识
包括现代密码学技术发展历史、我国商用密码管理发展历程;密码算法分类,对称密码算法、非对称密码算法、散列算法的特点与用途;数据机密性、完整性、真实性、不可否认性的特点及其实现方式;SSL VPN、IPSec VPN技术的工作原理及其应用场景等;PKI/CA认证体系的工作机制及其业务应用等。
包括智能密码钥匙、数字证书、SSL VPN安全网关、IPSec VPN安全网关、服务器密码机、签名验签服务器、时间戳服务器、协同签名系统、电子签章系统、密钥管理系统、密码服务平台等。
积极参与到密评建设实践中去,将学到的技术理论与项目实践相结合,做到学以致用,在实践中不断磨练、持续提升自己。
当前对于密评建设市场领域来说,我们仍然处在一个持续探索和不断改进的阶段,或者说是一个“摸着石头过河”的过程。确切地说,密评工作是严谨的,密评建设又是具有柔性的。作为建设者而言,我们不仅要满足密评合规要求,又要最小限度影响业务系统,还要最大限度保障网络安全,而如何正确处理三者之间的关系,将是产业界需要持续探索和研究的重要课题。
即使如此,我们可以预见的是,未来仍会有更多的市场资本和企业满怀热情、信心满满地参与进来。而究竟怎样才能够有序推进整个商用密码应用安全建设市场快速、良性地发展下去呢?除了国家层面的因素之外,我想,更多地还是我们自己如何看待这个市场、珍惜这个市场、规范这个市场,以及如何打开桎梏、冲破藩篱,坚定不移地走下去!
参考文献:
1.国家密码管理局,商用密码应用安全性评估管理办法(试行)[Z].2017-04-22
2.中国密码学会密评联委会,政务信息系统密码应用与安全性评估工作指南[Z].2020-09
3.GB/T 39786-2021,信息安全技术 信息系统密码应用基本要求[S].2021-10-01
4.中国密码学会密评联委会,信息系统密码应用高风险判定指引[Z].2021-12
5.中国密码学会密评联委会,商用密码应用安全性评估量化评估规则[Z].2021-12
6.中国密码学会密评联委会,商用密码应用安全性评估FAQ(第二版)[Z].2022-08
7.霍炜,郭启全,马原.商用密码应用与安全性评估[M].电子工业出版社出版,2020-04.