新闻详情

News

以商用密码应用为支撑,构筑安全合规屏障
新闻动态
2024-07-18

近日,由工业和信息化部网络安全产业发展中心主办的“2024信息技术应用创新发展大会暨解决方案应用推广大会”在天津圆满落幕。会上,一系列重大成果和创新平台的发布成为亮点,其中,由道普信息联合中金金融认证中心有限公司、山东省国土空间数据和遥感技术研究院共同打造的“山东省自然资源厅商用密码应用支撑平台”, 凭借其在商用密码应用领域的突出表现,成功入选工业和信息化部“2023年信息技术应用创新应用示范案例”。

该案例创新应用的“密码服务平台+密码资源池”建设模式,实现了密码资源的统一管理和应用,采用密码环境统一建设、密码资源共享共用的模式,为一定范围内,相同环境下的密码技术规模化应用提供了应用标准。这一荣誉不仅彰显了该平台在提升信息系统安全防护能力方面的显著成效,也为山东省商用密码的广泛应用树立了标杆。

一、国家政策为商用密码应用注入新动能

商用密码,这一数字经济领域的坚固锁钥,正以其卓越的防护能力,为海量数据编织一张安全网。近年来,国家出台了一系列支持商用密码发展的政策措施,为商用密码的应用与创新提供了坚实的制度保障。

1999年,《商用密码管理条例》正式由国务院颁布施行,标志着我国商用密码发展和管理从此走上了法治化轨道;

2014年2月,国务院办公厅转发密码局等部门关于金融领域密码应用指导意见的通知指出:又快又好的推进国产密码;

2015年,两办文件要求在骨干网络、重要信息系统和各个领域部署推动国产密码;

2017年11月底,国家密码管理局下发了《政务云密码支撑方案及应用方案设计要点》;

2017年,国家密码管理局发布了42项金融和重要领域国产密码应用试点任务;

2018年2月,发布GM/T 0054-2018《信息系统密码应用基本要求》,面向全社会、全行业,强制执行密评;

2018年6月,公安部《网络安全等级保护条例(征求意见稿)》,第四十七条第三级以上要先开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估;

2019年10月,第十三届全国人民代表大会常务委员会第十四次会议通过《中华人民共和国密码法》,并确定2020年1月1日起正式执行。

2020年7月,《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》发布;

2023年4月,《商用密码管理条例》修订发布,清晰界定了商用密码管理范围,合理设置了管理环节,明确了管理条件和程序,宽严有度,规范到位,对促进商用密码技术进步和商用密码产业发展具有重要意义。

这些政策不仅促进了商用密码技术的研发与应用,还为商用密码应用的标准化、规范化建设指明了方向,为商用密码产业的发展注入了新的活力。

二、商用密码应用存在诸多挑战

在商用密码的广泛应用中,也面临着不容忽视的挑战。日益复杂的合规要求、管理不到位、应用不规范以及安全漏洞等问题,成为了商用密码推广过程中的绊脚石。如何在保证安全合规的同时,提高商用密码的管理水平和应用效果,成为了亟待解决的关键议题。

1.商用密码安全合规要求严格

我国已形成较为完善的商用密码标准体系,截至目前,已发布密码行业标准 144 项,密码国家标准 43 项,对商用密码安全提出了更高的要求。

2. 商用密码管理不到位

用户单位需要确保员工使用强密码来保护信息数据和资产,但很多员工往往会选择弱密码或者重复使用密码,增加了密码泄露和入侵的风险。另外,不少信息系统尚未采用密码技术进行保护,这一现状令人堪忧。

3. 商用密码应用不规范

即便是在使用了密码技术的系统中,不规范的应用也屡见不鲜。在对重要领域信息系统的安全性测评中,不符合规范的比例曾高达85%,这直接威胁到信息系统的整体安全。

4.商用密码应用不安全

现在仍有大量系统在使用已被证明不安全的加密算法,如RSA1024、MD5等,这些“过时”的密码技术如同虚设的防线,难以抵御现代黑客的攻击。

5. 商用密码应用成本高、难度大

密码产品繁多、系统改造困难且成本高昂,以及密码资源管理分散、难以有效维护,使得信息安全形势更为严峻。

三、多规管理融合实现全面合规

在数字化经济蓬勃发展的背景下,商用密码作为信息安全的基石,其重要性日益凸显,已经成为保障各类信息系统和数据安全不可或缺的基础设施。面对商用密码应用的复杂环境,密评作为一项重要机制,正逐渐成为商用密码合规管理的有力抓手。密评的实施,不仅促进了商用密码技术的规范化应用,还增强了组织对安全威胁的防御能力。

2023年7月1日起实施的《商用密码管理条例》明确规定密评、关保、等保应当加强衔接,避免重复评估、测评。随着众多政策要求多监管、强监管和日益严峻的安全风险,对运营单位网络安全提出了更高要求,满足监管的难度越来越大。不仅如此,运营单位还面临着一些运营单位存在着技术方法和管理措施不聚焦、无法形成动态管理机制、等保密码关保等合规验证工作重复、合规管理成本高等风险。

安全是整体,合规是基准。道普信息风险管控专家建议,可以借助专业的第三方风险管控服务,采取多规管理融合手段,基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,从“合规规划、合规实施、结果管理、合规跟踪”四个维度,开展等保、密码、关保测评等安全性评估,实现合规工作的规范化,降低合规管理成本,满足监管部门各项网络安全要求,保障信息化管理对象合规运行,减少监管部门的通报,实现全面合规。

随着商用密码在各个领域应用的不断深化,其作为数据资源保护核心技术的地位愈发凸显。道普信息将依托自身在商用密码领域的深厚积累,持续推动商用密码技术的创新与发展,助力信息化安全防护能力的全面提升,为我国数字经济的繁荣贡献力量。我们期待,在商用密码的引领下,一个更加安全、智能、高效的数字化时代正在徐徐展开。