密码改造的“最后一公里”到底卡在哪里?

当前,密码应用安全建设已经成为国家网络安全建设的第三大合规市场(等级保护建设、分级保护建设、密码应用安全建设)之一,商用密码应用安全性评估及改造项目也在爆发式增长,但密码改造怎么改、如何改只有很少人能说的清楚,密码改造的“最后一公里”到底卡在哪里也成为讨论的话题,数观团队经过深思,归结出八个大众疑问点,谨从此说说对密码改造的看法,由于水平有限,仅供参考。

#1 不知道改哪里?

虽说国内颁布各类相关法律法规、政策文件,明确要求基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统,都要进行商用密码应用安全性评估,但对于客户来言,不清楚在自己业务中应该改什么。

#2 密码改造对业务挑战大?

当前,对应用系统进行开发改造来满足密评的要求,的确是个绕不过去的坎,也是密评建设工作的一个关键点,那么在改造过程中客户要考虑投入的成本、对业务的影响程度、包括密码设备如何与业务对接等,都是密码改造卡在最后一公里的因素。

#3 密码评估工具少?

其次,密码评估工具未进入成熟期。当前市场上的密码评估工具较多,但是它们的评估结果可能存在误差,且大部分密码评估工具主要针对单点系统进行评估,而不能针对整个系统进行全面评估。

#4 密码项目交付质量?

除了传统密码厂商,其他安全企业也正在跃跃欲试密评产品、技术和服务商业化能力,但市场需求旺盛,密评建设项目遍地开花,项目交付质量参差不齐,密码改造考验的是对应用和产品的理解。

#5 无统一的密码建设标准?

虽说密码测评里有GB/T39786 -2021作为基础标准,但在应用实际中,行业客户不知道如何建、如何用,我们认为,应以基础标准为基础,行业规范标准和建设标准需要持续优化,针对密码应用等方面进行明确而具体的标准化和规范化,提高密码评估的可靠性和判断力。

#6 密码人才缺失?

密码评估操作需要经验丰富的专业人员进行,从行业目前来看,对密码改造人不管是测评师、还是售前咨询、密码产品经理等都是严重缺失,也有部分人员是从网络、传统安全厂商转到密码领域,对密码认知还需一段时间,技术人才也是在密改过程中的关键,因此,我们认为,应加强人才培养,推动行业内密码评估人才的培训和考核,这里面包含技能培训、岗位培训、意识培训等,来提高整个行业的技术水平和安全性。

#7 专业的密码咨询团队少?

我们认为,密码改造最大的挑战是谁对业务更了解,对于客户来说也想找个专业的咨询团队,针对自己的系统出一份完整的解决方案,密改不仅要合规,还要考虑冗余、业务扩容等措施,那这时候就要有专业的咨询团队从业务视角出发,把密码技术与应用完美的融合,把密码技术价值发挥到最大。

#8 商用密码政策管理措施?

最后,我们认为最大的最后一公里还是卡在管理措施中,等级保护有相关部门进行监管,商用密码虽也有相关部门作为监管,做为客户来说,没有相关具体的惩罚措施,也能发现有些行业定制了自己的管理文件,但从总体来看,管理措施是密码改造卡在最后一公里的关键一环,希望待商用密码管理条例实施后会有大幅度改善。

总结

日前,李强主持召开国务院常务会议,审议通过《商用密码管理条例(修订草案) 》,会议指出近年来商用密码的诸多重要性和未来发展走向。作为密码行业的一份子,我们更是要紧跟政策,顺应数字经济快速发展趋势,打造密码活性生态,推动商用密码科技成果转化和产业化应用,促进商用密码市场持续健康发展。让密码改造的“最后一公里”不断缩短。

声明:本文来自数观天下,版权归作者所有。文章内容仅代表作者独立观点,不代表GetTrust立场,转载目的在于传递更多信息。如有侵权,请联系删除。

相关推荐: 重要通知:Sectigo代码签名证书签发将执行新规

根据CA/B论坛最新私钥基线要求,自2023年6月1日起,新颁发的OV普通代码签名证书的密钥对必须生成并存储在满足或超过FIPS 140-2 Level 2或通用标准EAL4+要求的硬件加密模块中。 为了遵守CA/B新规,Sectigo将过渡到基于硬件安全模块…