当前,密码应用安全建设已经成为国家网络安全建设的第三大合规市场(等级保护建设、分级保护建设、密码应用安全建设)之一,商用密码应用安全性评估及改造项目也在爆发式增长,但密码改造怎么改、如何改只有很少人能说的清楚,密码改造的“最后一公里”到底卡在哪里也成为讨论的话题,数观团队经过深思,归结出八个大众疑问点,谨从此说说对密码改造的看法,由于水平有限,仅供参考。
#1 不知道改哪里?
虽说国内颁布各类相关法律法规、政策文件,明确要求基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统,都要进行商用密码应用安全性评估,但对于客户来言,不清楚在自己业务中应该改什么。
#2 密码改造对业务挑战大?
当前,对应用系统进行开发改造来满足密评的要求,的确是个绕不过去的坎,也是密评建设工作的一个关键点,那么在改造过程中客户要考虑投入的成本、对业务的影响程度、包括密码设备如何与业务对接等,都是密码改造卡在最后一公里的因素。
#3 密码评估工具少?
其次,密码评估工具未进入成熟期。当前市场上的密码评估工具较多,但是它们的评估结果可能存在误差,且大部分密码评估工具主要针对单点系统进行评估,而不能针对整个系统进行全面评估。
#4 密码项目交付质量?
除了传统密码厂商,其他安全企业也正在跃跃欲试密评产品、技术和服务商业化能力,但市场需求旺盛,密评建设项目遍地开花,项目交付质量参差不齐,密码改造考验的是对应用和产品的理解。
#5 无统一的密码建设标准?
虽说密码测评里有GB/T39786 -2021作为基础标准,但在应用实际中,行业客户不知道如何建、如何用,我们认为,应以基础标准为基础,行业规范标准和建设标准需要持续优化,针对密码应用等方面进行明确而具体的标准化和规范化,提高密码评估的可靠性和判断力。
#6 密码人才缺失?
密码评估操作需要经验丰富的专业人员进行,从行业目前来看,对密码改造人不管是测评师、还是售前咨询、密码产品经理等都是严重缺失,也有部分人员是从网络、传统安全厂商转到密码领域,对密码认知还需一段时间,技术人才也是在密改过程中的关键,因此,我们认为,应加强人才培养,推动行业内密码评估人才的培训和考核,这里面包含技能培训、岗位培训、意识培训等,来提高整个行业的技术水平和安全性。
#7 专业的密码咨询团队少?
我们认为,密码改造最大的挑战是谁对业务更了解,对于客户来说也想找个专业的咨询团队,针对自己的系统出一份完整的解决方案,密改不仅要合规,还要考虑冗余、业务扩容等措施,那这时候就要有专业的咨询团队从业务视角出发,把密码技术与应用完美的融合,把密码技术价值发挥到最大。
#8 商用密码政策管理措施?
最后,我们认为最大的最后一公里还是卡在管理措施中,等级保护有相关部门进行监管,商用密码虽也有相关部门作为监管,做为客户来说,没有相关具体的惩罚措施,也能发现有些行业定制了自己的管理文件,但从总体来看,管理措施是密码改造卡在最后一公里的关键一环,希望待商用密码管理条例实施后会有大幅度改善。
总结
日前,李强主持召开国务院常务会议,审议通过《商用密码管理条例(修订草案) 》,会议指出近年来商用密码的诸多重要性和未来发展走向。作为密码行业的一份子,我们更是要紧跟政策,顺应数字经济快速发展趋势,打造密码活性生态,推动商用密码科技成果转化和产业化应用,促进商用密码市场持续健康发展。让密码改造的“最后一公里”不断缩短。
声明:本文来自数观天下,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
