如果一位普通人,拿到了倚天剑和屠龙刀,能否从此“号令天下,莫敢不从”?
相信大多数金庸迷都会嗤之以鼻:修炼不了屠龙刀和倚天剑中的《九阴真经》《武穆遗书》,刀剑就仅仅是副“利刃”而已,普通人拿着武力值依旧为0。
接下来再问行业用户们一道安全专业题
您凭借什么认为自己的密码保护措施足够安全?
绝大多数用户会回答:因为我们部署了身份认证系统、服务器密码机、电子签章系统、证书管理服务器、安全网关……
这样的回答其实就回到了文章开篇提问的那个关键点,拥有了“利刃”,就等于强大(安全)吗?显然答案是否定的。没有一套科学有效的密码保障系统,仅仅依靠密码设备“单兵作战”,很难发挥密码设备的最大效用。
然而“说易行难”,市场中能像上文那般流畅回答出单位部署了哪些密码设备的用户,已经算少数了,更多的用户甚至都没有密码防护措施。这绝非夸大事实,在2018年管理部门全国摸底调查中发现,75%的等保三级及以上信息系统没有应用密码防护。而在少数拥有密码保护系统的用户中,密码防护实际水平也令人堪忧:在2018-2019年首批126系统密评试点中,85%使用密码保护的信息系统存在不规范现象,安全防护效果大打折扣。
北京数字认证股份有限公司(简称“数字认证”)认为,在当前国内市场中,密码应用“用得太少”“该用没用”“不懂乱用”的情况很多,这些乱象制约了密码技术的作用,让其难以发挥应有的效力。只有“该用尽用,科学应用”,建设科学有效的密码保障系统,才能护航用户走得更稳,走得更远。
用好密码,先从重视密码开始
其实究其原因,之所以出现密码应用乱象,最根本的症结就在于用户们并没有真正意识到密码的价值。事实上有不少用户对此质疑:密码保障系统建设对于行业用户和企业用户而言,真的是“必选项”吗?答案就两个字:是的。
作为国之重器,关乎党和国家安全的“命门”“命脉”,密码技术是保障网络空间安全的基础性核心技术。它既为信息的传输过程和存储过程提供安全保护,防止非授权信息泄露和信息篡改,又为实现网络空间中的身份认证、授权管理和责任认定提供重要支撑。
正因如此,面向用户安全需求建立一个密码保障系统,从而保障密码应用合规、正确、有效就变得非常重要,不仅要“该用就用”,还必须“科学地用好”。以医院常见的病案签名为例,当医生需要对病历签名时,往往只是将病案首页签名,并没有对病案整体信息进行签名,表面上看是应用了密码签名技术,但实际上根本无法保障整个病案的不可否认性或完整性,而科学有效的密码保障系统则可以完美地解决这些问题。
国家从政策上也释放出同样的信号。在《商用密码管理条例》《网络安全等级保护条例(征求意见稿)》等相关条例中明确指出,非涉密的关键信息基础设施、网络安全等级保护第三级以上系统、国家政务信息系统等,使用商用密码进行保护,已成法定要求。
“三同步一评估”,让密码保障系统建设有章可循
建立科学有效的密码保障系统其实有章可循。《国家政务信息化项目建设管理办法》指出:“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。”在数字认证看来,“三同步一评估”就是建设密码保障系统的总体思路。
1、同步规划:制定科学有效的密码方案
在规划阶段,重点要完成四件事:明确保护对象、分析密码应用需求、设计密码应用建设方案、密码应用方案评审。其中最核心的输出就是要制定符合业务需求和业务特点的“密码应用建设方案”。
对于很多用户而言,新建系统在规划阶段满足需求并不难,难的是已建系统,对此数字认证的建议是增加一个“差距分析”环节——分析系统已有的防护措施,识别残余风险和需要整改的密码应用需求。
数字认证避坑指南:此阶段的最大难点在于密码保障系统和业务系统的融合,切忌脱离业务特点谈论密码应用建设方案。如果简单粗暴地对照密评指标逐项罗列密码产品,可能会导致方案无法落地,或重复建设。
2、同步建设:全面发挥密码措施保障
当规划完成,接下来的建设重点就落到了“实现”。在这个阶段,要进行编制密码应用实施方案,实现密码技术措施和密码管理措施,以及密码应用安全性评估。人们经常讨论的密码产品或服务采购、密码功能的开发、密码应用的集成其实就是这个阶段的“技术措施的实现”,而密码管理制度的建设和修订、密码管理机构和人员的设置、建设过程管理则属于这个阶段的“管理措施的实现”。
数字认证避坑指南:此阶段的核心是密码技术、管理措施的实现。切记密码保障系统的建设是否正确最终是由“密码应用安全性评估”决定的,因此评估必须要全面,注意细节,有可度量的标准供参照。
3、同步运行定期评估:持续发挥密码保障作用
到了同步运行阶段,用户要实现运行管理和控制,侧重监督检查,确保应急响应与保障到位,并定期进行密码应用安全性评估。系统监管方此时将按照国家、行业相关密码应用监督检查要求及标准,对密码应用活动开展监督检查工作;系统测评方则会定期开展商用密码应用安全性评估,确保信息系统的密码应用措施符合相应的安全要求;系统运营方需要按照职责划分和规章制度,正确执行运行管理和控制。
数字认证避坑指南:密码保障系统的正确运行直接关系到安全防护效果,需要系统运营方、监管方、测评方充分合作。有的用户怀着“过关即满分”的心态,感觉只要监管部门检查过关,就可以将密码保障系统束之高阁,这样的思想并不可取。对于密码保障系统落地而言,走到这个阶段仅仅只是一个起点。
虽然“三同步一评估”的核心思路已经清晰明确,但对用户而言,搭建一套高质量的密码保障系统,依然难度不小:首先,密码系统建设具备较高的专业性,而用户的密码专业人才较少;其次密码系统要与业务系统深度融合,安全需求必须全面摸清且精准;最后在合规性、稳定性方面,企业需要更专业的服务来确保密码系统满足监管需求。
鉴于此,数字认证充分发挥多年形成的密码保障系统规划、密码保障系统建设和密码保障系统运行的技术能力和经验,形成科学的方法体系,为用户提供全生命周期的密码保障服务,这些服务目前已得到不少用户的应用和认可。
