6月3日,由中国密码学会商用密码应用安全性评估联委会(简称密评联委会)主办,国家密码管理局商用密码检测中心承办的商用密码安全性评估技术交流培训会在京顺利召开。中国密码学会秘书长安晓龙宣布密评联委会正式成立并致辞,国密局商密办领导出席会议并做主旨演讲,全国27家测评机构及诸多产业单位代表参加了本次培训会。
会议共持续2天,主要从密评试点工作情况总结、评审标准及常见问题、密评国标修订情况,以及各典型领域测评经验分享等多个方面对与会单位代表进行了培训。
培训会精彩内容回顾
1.我国网络安全形势严峻,密码的重要作用进一步突显
会上,国密局商密办领导从中美贸易争端入题,指出我国当前面临的网络安全形势仍然相当严峻,一方面是核心技术不自主,比如国产cpu主要性能指标与国际主流产品差3代、国产操作系统对技术演进方向和内核版本掌控力不够、软硬融合的高端服务器空白,难以形成兼容各类软硬件产品的应用生态等;另一方面是防护十分薄弱,与世界各地相比,我国的网络安全投入占比很低,防御体系落后严重。因此,更加需要发挥密码的重要作用,基于国产密码掌握核心技术,争夺网络空间话语权,构建网络空间整体防御体系。
2.密评标准需对标等保2.0,与等保2.0的呼应和衔接势在必行
今年5月份发布的等保2.0系列标准,相比旧等保在很多方面做了调整和细化,因此,对于密评的下一步工作考虑,需要对标等保2.0标准启动密评国标编制,包括应用标准、设计标准、测评标准等的编制和完善;此外,在密评国标内容的编制方面也需做好与等保2.0的呼应和衔接,比如等保2.0中对密码的技术要求可以参照密评国标来实施。
3.首批密评试点工作情况分析出炉,为后期密评工作开展提供宝贵指导
第一批密评试点工作共收到来自金融、政务、公共服务、能源、交通、水利等八类不同领域118个系统的126份密评报告,根据报告评审情况,商密检测中心对获取的数据进行全方位统计分析,包括密评报告质量、测评机构能力、系统密码应用情况等。结果表明,除金融行业外,其他领域国产化程度仍然偏低,密评过程中也暴露出诸多问题需要改善,这些分析总结将为各测评机构后期工作的开展提供很好的指导。
4.国产密码应用总体情况仍不容乐观,不少领域密码安全形势依然严峻
结合会上典型行业密码应用情况,可见我国国产密码应用总体情况仍不容乐观,许多重要领域信息系统对密码应用缺乏整体化、体系化设计,仅在身份鉴别、传输保护、访问控制、数字签名等单点安全功能上“碎片化”使用密码,与全面、规范使用国密的要求相比,差距还很大。此外,不少领域密码安全形势依然严峻,比如在政务领域,许多政务云平台没有使用密码保护数据,存在海量政务数据不可控的风险;在卫生、教育等公共服务领域部分新建系统没有同步规划密码保障,可能危及群众利益等。
数字认证参会情况
数字认证作为密评国标《信息安全技术 信息系统密码应用基本要求》的牵头编制单位,深度参与了本次会议,并由宋玲娓博士对密评国标的研究进展、关键内容和修订情况进行了汇报,同时解答和听取了各位专家、各参会单位代表的问题及建议,并吸取了其他汇报单位分享的实际密评工作经验和见解,从而有效促进了密评国标的进一步完善和成熟。
正如会上国密局领导所述,网络强方能国家强,网络安方能国家安,而网络安全天然离不开密码保护,密码应用则离不开密评的支撑。密评工作的健康快速发展,将有效推进密码深度广泛应用,推进密码事业不断前进!未来,数字认证公司将继续深入支持和参与我国密评建设工作,为构建安全可信的国家网络空间贡献力量,推进我国密码事业繁荣向前!