• BCS 2021 | 專家論壇:商用密碼應用安全性評估的問題與挑戰

    首頁 / 業界 / 資訊 /  正文
    作者:七月
    來源:安全419
    發布于:2個月前
    2‍021年8月28日,在北京網絡安全大會的最后一日——技術日的分論壇中,密碼應用與實踐論壇頗受關注,國內密碼安全領域的眾多院士、學者、專家以及企業精英齊聚一堂,共同探討從前沿密碼技術的發展趨勢到當前密碼應用的實踐、創新。除此之外,在最后的圓桌論壇中,專門針對大家近期比較關注的商用密碼應用安全性評估(下文簡稱密評)展開了探討。


    眾所周知,商用密碼對包括金融、稅務、衛生、電力、公共服務等各行各業都有著基礎支撐作用,密碼產業的發展也已經進入了一個新的篇章,那么密評作為密碼應用的重要抓手,在當前表現如何?未來的發展方向會在哪里呢?

    來自公安部信息安全等級保護評估中心的李明表示,從測評的開展角度看,自2018年啟動至今,從小范圍試點、政策驅動到現在網絡的運營者開始主動的來開展密評工作去進行查缺補漏,密評已經有了一個長足的發展。同時,通過密評工作也確實會發現一些問題,比如目前仍有一些不安全的密碼算法在使用中,尤其是一些已經明確有警示性安全問題的算法,會導致一些問題的出現。與此同時,當前在密碼應用覆蓋的全面性上仍有不足。

    來自中國科學院信息工程研究所的馬原表示,密評技術真正在全國范圍內開始產生較大影響的主要有幾個點,一個是2020年12月,密碼學會的密評委員會發布了5個文件,另一個是在我國的國家標準——GB/T39786--2021《信息安全技術信息系統密碼應用基本要求》發布的前后(2021年3月19日發布),這些基本將密評的整個技術體系固定了。未來則會將量化評估和高風險判定指引作為測評的關鍵指標,前者是要把握密碼使用的量,后者則是要把握密碼應用評估的風險項目。

    關于密評未來的發展方向,馬原認為,由于密碼應用很難出臺一個具體的標準,因而當前密碼的標準也只是通用基本要求,未來如何在這個基礎上針對包括云計算、工控、大數據等具體的領域做擴展性的要求和更進一步的測評規范或會成為發展方向之一。

    來自密碼領域的專業廠商——三未信安技術支撐中心總經理鹿淑煜基于企業的角度發表了自己的觀點。他表示,在密評工作開展以來,用戶層面的需求有一些變化,以往的單一產品已無法滿足需求,并逐步開始要求密碼領域的安全廠商能夠提供諸如平臺化的技術支撐以及一體化的服務,因此對包括三未信安在內的廠商而言,一方面也有要這一市場需求變化的短期壓力,另一方面更是要遵循法律法規的要求以及標準的規范,在這基礎上繼續創新,從產品、技術服務等多方面去幫助用戶真正解決密評落地的問題。

    總體來看,密評工作已經取得了很大的成效,但根據歷史經驗看,凡高速發展的領域,往往也會存在一些問題,這些問題會暫時掩蓋在高速發展的進程之中,容易被人忽視。圓桌論壇的現場嘉賓自身都是密評工作的參與者,因此現場拋出的第二個討論話題就是關于開展密評工作中都會遇到哪些實際問題以及如何解決這些問題。

    針對這個問題,馬原分享了自己的切身體會,指出密碼的價值在于應用,然而在同業務系統進行結合時,或多或少會出現一些脫節的情況,比較典型的例子就是密碼廠商為客戶做一個能夠很好的滿足合規要求的方案,但經常會發現客戶迫于自身業務上的一些限制,導致最終密碼應用的效果并未達到最佳,甚至會出現一些問題。這意味盡管很多時候密碼應用方案做的很好并能夠滿足標準和評估的要求,但到具體實踐的層面就會暴露問題。

    關于如何解決這一問題,馬原認為一方面關于信息系統的業務需求要更加明確,比如哪些信息、數據需要加密,哪些有需要進行其他方面的保護等等,另一方面,密碼廠商在為客戶做密碼應用方案時,也應關注客戶的實際需求,并有針對性的在方案中進行細化,這樣才能真正實現密碼應用防護的目的。

    來自北京國家金融科技認證中心的首席專家李振則從金融行業的視角來闡述了自己的看法。李振指出,當前整個金融行業都在數字化轉型,會應用到很多如區塊鏈、人工智能、大數據等等的新技術,我們可以看到的問題在于與這些新技術相關的密碼應用層面還仍然缺乏一些標準的規范,那么在做密評的時候應如何來進行評估、評價仍是一個亟待解決的問題。

    這一問題其實也正如前面馬原所說的那樣,如想要更好解決,未來就必須要以通用基本要求為基礎,在相關的技術領域進行擴展并不斷完善。

    來自北京數盾信息科技有限公司的總工程師樂宏彥則重點從人才的角度談論了這個問題,他認為當前專業人才的缺失是密碼應用的難題之一,例如一個核心機房的網絡管理者如果缺少必要的安全素質,那么安全性也就無從談起,缺乏安全意識看似是個小事,但對于用戶自身來說,一旦發生問題往往就會是大問題。因此,樂宏彥也向國密局提出建議,希望未來一方面能夠加強對政企在密評方面的要求及相關知識層面的普及,這些工作不應是僅針對測評團隊的;另一方面,希望國密局能夠堅持不定期的進行檢查、評估,對于排查相關安全隱患會有極大的幫助。

    鹿淑煜也從密碼廠商的視角來分享了自己的觀點,他表示,三未信安在實踐過程中,會發現密評有時并不是甲方單位所首選要做的事情,很多都會主動的將這個工作往后推甚至不去做,那么針對這一問題,三未信安所采取的解決方法則是主動的建議甲方在做這件事情的時候首先去同步的做好規劃,盡量在第一時間把密碼應用做到位,因為密碼應用本身是一個融合技術,如果僅靠后期的整改,肯定會遇到很多問題。

    鹿淑煜坦言,在供給側方面,可以看到目前密碼領域仍然還存在著技術、產品上的一些不足,主要體現在密碼產品和其他安全產品的融合方面,由于密碼本身是支撐整個安全體系的基礎,如果密碼產品要想用的更好,必然要和整個安全體系去做更深度的融合。鹿淑煜指出,整個密碼產品體系仍存在門檻過高、周期較長的現象,一個密碼產品從提出需求、研發、測評等過程到最終落地,需要經歷一個很長的時間周期,這所體現出的是需求到技術再到落地的一個滯后性,如果技術不能及時的滿足當下的需求,也會面臨一些問題。不過,這一矛盾在鹿淑煜看來仍然是比較良性的,因為無論是國家的相關部門還是密碼領域的企業自身都會積極的去面對和解決這些問題,在這一過程中,就必然會對整個密碼產業產生積極的促進作用,推動整個產業不斷升級。

    在針對密評工作如何更好地保障我國網絡空間安全事業方面,現場的幾位嘉賓也提出一些建議。

    鹿淑煜認為,應順應當前新形態、新技術的發展態勢,創新仍是首要的,要不斷用創新的思想去解決現在密評工作中的一些實際問題。同時,鹿淑煜也希望密碼領域中包括相關部門、測評機構、密碼廠商等各方應繼續加強合作,進一步提升行業的整體力量,共同推動密評工作的進一步開展。

    李明則根據自己的切身體會提出了兩點建議,首先是建議包括檢測中心在內的相關機構、組織能夠將密碼應用培訓范圍擴大至網絡運營者,相當于將密碼應用工作左移;另一個則是建議業界共同努力,能夠力爭實現密評的自動化,這對于密評工作的開展將會是有著極大的推進作用,不過李明也坦言這其中的工作相當復雜,實現起來并非一朝一夕之功。

    綜合而言,圓桌論壇的嘉賓主要反映了以下幾點:

    1、密碼應用相關的人才缺失目前仍是一個普遍問題,而在網絡運營者方面,普遍缺乏密碼應用的相關知識和能力。其中前者在短期內較難解決,而后者則需要依靠相關部門、機構、廠商等多方面共同加強相關知識普及,讓用戶不僅去使用密碼,還要用好密碼。

    2、用戶需求層面,單一的密碼產品已經難以滿足,密碼應用在未來會向平臺化、服務化的方向發展。

    3、密碼領域的相關技術創新還需進一步加強,以滿足當前用戶在眾多新場景(如區塊鏈、大數據、云計算等)下的密碼應用需求,并積極用創新的思想去解決密評實際工作中的問題。

    4、在密碼應用的通用基本要求基礎上,向細分領域做更有針對性地擴展性要求和相應的測評規范有可能會成為未來密評未來的發展方向之一。