开展密码工作,把握“全局性”和“适配性”原则是很必要的
—背景—
随着国家政策的牵引和实际业务需求的强化,密码行业迎来的不错的发展机遇,所有密码应用单位、密码企业、密码从业者都在积极迎接这次机遇。但和众多的从业者进行交流发现,大家对密码工作的开展存在众多的认识误区,正所谓“屁股决定脑袋”、“眼界决定层次”,这也属正常。但鉴于密码工作的重要性,有必要对工作开展在更高层次上进行梳理,形成密码工作开展的顶层原则。本文站在密码行业所有参与者角度,给出两个共性工作原则:整体性(思考问题的角度)和适配性(落实工作的角度),希望能给个所有密码工作的参与者一点启示。
整体性:
按照《密码法》的要求,以及当下实际的应用和管理现状,密码应用工作涉及意识、思想、体系、技术、产品、应用、管理、检测、服务、运维、应急等多方面的内容。任何聚焦单方面密码工作设计和落实都容易走入误区并产生偏差,从业者必须结合自身情况从整体上进行密码工作的规划设计才能真正的做到密码工作的正确性、有效性、合法性、长期性,才能真正发挥密码的核心和基础保障作用。整体性是一种思考问题的角度,有必要站在全局层面进行考虑,不能单一的拘泥于某个具体问题(当下最普遍存在导向就是,“为了过评测,应该怎么办”,这种思维方式长期看一定是很被动的)。
适配性:
鉴于密码涉及的方面比较多,并且每个单位的情况又不尽相同,密码需要和实际情况进行有效的适配(密码与人、密码与业务、密码与管理、密码与数据、密码与传统安全、密码与云、密码与环境、密码与特殊场景等)才能更好的发挥价值。密码应用没有放之四海皆能用的固定方案,每种密码应用都需要量身定做,都需要与实际环境进行适配,别人的成功案例只能作为参考,设计和应用适配自己的密码应用才是关键。
下文从密码主管单位、密码应用单位、密码企业、密码从业者几个维度落实整体性和适配性的相关工作给出建议。鉴于几个单位的工作是彼此相互影响,在全局上是相辅相成的,甚至是一脉相承的,有些内容下文就不做重复说明。
—密码主管单位—
密码主管单位是密码应用的核心部门,密码主管单位的工作思路直接关系到密码行业的发展,为此主管单位在整体上如何规划设计好,在执行层面如何监督管理好、适配好对于密码行业至关重要。主管单位在整体上和适配上一定有完善的设计和考虑,作者在此也不敢指手画脚,仅站在感性、外围的角度对几个具体问题提出看法:
1、引导完善本行业布局:当下密码行业从人才培养、技术研究、产品产业、评测等层面的布局基本成型,但从工程角度讲还需要就咨询、监理两个方面进行引导布局,从而形成全方位的产业保障。
2、引导增加产业对接范围:密码的价值在于应用,引导和增加密码产业和其他产业进行可对接性(适配),是密码应用扩大范围的重要抓手。这一点作为密码主管单位在国家政策的支持下是有能力将本产业和其他产业(工业互联网、物联网、人工智能等)完成上层对接的。
3、完善制度衔接:密码行业作为网络安全的一个子行业,和网络安全行业的相关制度衔接不错,但是,鉴于密码应用的普适性,能更好增强密码应用的可操作性,还需要研究和其他制度(《数据安全法》、《合同法》、《档案法》、《会计法》等)进行有效衔接,作者特别强调和相关“司法解释”的衔接的重要性。
4、完善专家使用机制:密码行业还属于新兴行业,权威人士的观点和建议对于密码应用有着重要的作用。鉴于当下还存在着“商人像教授,教授像商人”、“学术专家、理论专家大行其道”等现实情况,有必要对专家的使用做一些约束,同时更有必要鼓励常年参与实战的人士充实到专家队伍中,唯学历论、唯年龄论的专家遴选机制需要做一些改变。
5、完善标准制度的形成机制:标准和制度是推进密码应用和管理的重要抓手,必不可少。鉴于主管单位的精力问题,大都是借助相关外力(以企业为主)来编制相关标准和制度,这也是标准和制度编制的通用做法。作者想说的是,看能否将相关标准和制度在形成过程中扩大征询面积和时间周期,这样能保障标准和制度的公允性和全面性。
6、有必要对一些误区进行权威解释:随着密码政策、密码技术、应用场景的变化,很多以往的认识和看法都发生了本质的变化。但是现在行业内还存在众多的分歧甚至是误区(《关于数字签名的几十个观点,大家慢慢看》、《电子签名行业的误区解读(一):》、《电子签名行业的误区解读(二):》、《电子签名行业的误区解读(三):》)还没有办法达成共识,作为主管单位有必要充分调研给出权威的解读以便正向引导行业发展。
—密码应用单位—
密码应用单位关于开展密码应用前面的文章中也提及过很多了,本节给出几个重点内容,以便密码应用单位参考:
1、密码应用一定是个全局工作,需要用整体化、体系化的思维指导工作:意识、思想、体系、技术、产品、应用、管理、服务、检测、运维、应急等都是密码应用单位必须考虑的内容,不能只注重某一个环节。至于每个部分的开展思路,后续作者逐一给出设计参考。
2、寻找相对中立和专业的服务机构保障业务能力:密码应用涉及范围广泛,在工作上需要考虑方方面面的问题,对密码应用单位是个不小的考验,应用单位需要寻找合作单位来完成工作。在当前的密码行业情况下,建议应用单位需要从咨询服务、产品供应、工程保障、运维保障、应急保障、检测认证几个层面选择合作单位,其中咨询服务是最关键的环节,需要保障其中立性和能力可考证性。
3、将密码和其他关联方形成彼此适配的整体,做到原生适配最好:很多密码应用单位在传统思维的影响下,都传统的认为密码是一个独立的存在,应该独立面对和管理,这种思维方式和适配性的思维方式是有所不同的。其实两者并不矛盾,需要区别对待,作者认为密码基础设施(计算资源类、密钥管理类)可以保持相对独立性,但是服务类、工程类、管理类等层面的工作必须保持和实际环境的高度关联性和适配性,正所谓无关联无交易,无交易无价值。
4、从依赖产品厂商的现状,转变为依托行业链供给:产品仅是密码应用的单一层面,在以往占据了产业的大部分声音,随着行业的发展和政策的引导,密码行业所包含的内容也越来越丰富,同时分工也就越来越细致,也形成了相对完整的行业供应链。在这样的行业现状下,密码应用单位有必要站在行业角度,完善和强化供应链的使用。
5、当下有更多的技术和架构可供选择,不要拘泥于老模式了:作者以往的文章中也提及过,受技术的发展、政策的导向、应用的需求变化等多种因素的影响,促使解决问题的方式方法多样化(比如:A、用公钥技术不建设PKI体系,用数字证书不建设CA系统。B、重量级加密,轻量级加密。C、证书认证,密钥认证。。。。。。)。在这样的前提下,密码应用单位就需要结合自身的实际情况酌情选择更适合的方式,而不能再像以前,依赖于一种模式,受制受限。
—密码企业—
密码企业是密码应用最重要的落实执行单元,需要按照国家主管单位的整体布局和密码应用单位的实际需要来开展工作。鉴于当下密码产业还在一个发展阶段,密码企业有责任站在整体上一起谋局(共同宣传密码价值、营造密码应用氛围、深挖扩大产业需求)、站在个体上助力(场景适配到极致、服务到极致)。鉴于此,对于密码企业作者在整体上和适配上给出如下建议:
1、从密码产业大局出发,设计自己的贡献故事:当下密码行业是个新型行业,存在着广阔的创新空间,任何密码企业都可以从国家政策和行业需求中寻找适合自己的生存和发展空间。但作者想说的是,无论多细小的领域都应该做到从大局出发,从整体上设计,从小的地方落地。这既是方法又是《密码法》交付给密码企业的责任,众家拾柴火焰高,做一个责任有贡献的密码企业是开展产业活动的第一要务。做到这一点可参考《“依天、接地、可执行”,做规划的基本原则》。
2、在特殊贡献层面需要做到顺势而为,局部创新:密码企业需要生存发展,竭力满足密码应用单位的需求是前提,随着密码产业风口期的临近,密码企业的竞争也会更激烈。应对竞争的方法是企业多种因素考虑后的结果,本处仅从业务布局上进行展开。既然密码应用涉及方方面面的内容(意识、思想、体系、技术、产品、应用、管理、服务、检测、运维、应急等),那么,密码企业就应该在这些内容里找到自己安家立命的方向和快速提升自身的竞争能力的方法,这没有什么好说的,也没有什么更好的捷径可走,唯一可以考虑的就是在充分分析行业和密码应用单位的实际需求的前提下,如何用创新的方式构建和突出自己核心竞争力。
3、在适配层面重点考虑政策适配、场景适配、工程适配、服务适配:密码行业当前还是一个政策高度牵引的行业,所以密码企业在业务设计上适配政策是个前提。密码企业以往过多的关注密码技术适配,导致在业务推广过程中教育成本和业务集成成本较高,为此需要在设计上最好做到场景适配,就是将深奥的技术功能(加密、签名等)场景化(安全保险箱、行为鉴定仪、电子凭证安全处理器等),这样更易被接受和应用,至于工程适配和服务适配,本处就不在细讲了。
4、在组织保障上需要加强咨询服务的力度:过往的密码企业要不以市场为重,要不以技术为重,随着行业的转变,当下已经发展到以服务为重的阶段《密码行业,在转变中迎接新挑战》,以市场为重也好、以技术为重也罢,在当下的阶段都需要通过咨询服务这个转手充分放大价值。为此,各个密码企业有必要在咨询服务保障上给出自己的设计。关于咨询服务请参见《咨询(密码)在信息安全建设中的重要地位》
—密码从业者—
密码行业主管单位、密码应用单位、密码企业都在为了适应行业的发展在调整,作为从业者,作者建议如下:
1、看清形势、快速调整业务方向、竭力学习:长期在一个企业或者一个行业时间久了,从业者都会处于一种“当局迷”的状态,并且总觉得自身能力和认知都ok,其实这是很危险的。所以,希望所有的从业者以清零的思维,跳出当前的舒适区重新认识一下密码行业,审视一下自己,也许会发现其实自己还差的远。这样在危机感的迫使下,努力提高自身就水到渠成了。
2、做出正确的选择,是应对密码行业变化的重要任务: 独木难成林、好汉也需三个帮,这从侧面说明任何从业者都需要一个平台方能取得更好的成就,为此当下从业者需要结合自身的实际情况,特别是对行业的清晰洞察,选择一个适合发挥自身能力并且能彼此成就的平台,这很重要。如果平台无法给到你营养,都是你在给与平台营养,那你是应该考虑作出选择了。
—总结—
啰里啰嗦,指手画脚这么多,这些都是作者个人看法,也许是班门弄斧、也许是杞人忧天,这都不重要,重要的是作者的出发点是好的。作者也是从业者,也面临归零、认知、重启、选择、改变的问题,作者也在学习中,希望大家多鼓励吧。也希望密码行业越来越好。