查看原文
其他

专家解读 | 牛路宏:全面加强检测认证能力建设 有力保障商用密码应用与发展

牛路宏 中国信息安全 2023-06-18

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063


文 | 商用密码检测中心主任 牛路宏商用密码检测认证体系是维护国家安全和社会稳定,规范商用密码市场秩序,促进商用密码产业健康发展的有力保障。《中华人民共和国密码法》(以下简称《密码法》)明确提出国家推进商用密码检测认证体系建设,新修订的《商用密码管理条例》(以下简称《条例》)细化落实立法精神,明确实行国家统一推行的商用密码产品、服务、管理体系认证。这是基于商用密码发展成果、管理经验之上的重要制度安排,充分体现了新时代新形势下对安全与发展、公平与效率等方面的多维统筹。


一、商用密码检测认证在实践中发展

1999年《条例》颁布实施,对商用密码实行全环节许可管理,明确要求商用密码产品必须经检测合格后方可销售和使用。2002年,商用密码检测中心(以下简称检测中心)作为我国第一家产品检测机构正式成立,在商用密码管理中发挥了重要的技术支撑作用。

有序开展商用密码产品检测。商用密码产品品种和型号审批期间,检测中心不断加强检测能力建设,有力支撑产品安全性审查、双随机抽查、行政执法鉴定等工作。研制了功能完善、自动化程度高的密码检测平台,建成了比较完备的检测工具体系;累计完成产品检测2000余款,涉及芯片、板卡、整机、系统等二十多类密码产品。积极参与信息产品认证机制建设。2008年国家质检总局、国家认监委联合发布《关于部分信息安全产品实施强制性认证的公告》,要求含有密码技术的信息安全产品需先取得密码检测合格证书。作为指定的商用密码产品检测机构,检测中心负责对安全操作系统、安全路由器等6类含有密码技术的信息安全产品实施密码检测,累计完成百余款产品的检测任务,积累了一定的产品认证实践经验。支撑建立商用密码应用安全性评估机制。2007年国家密码管理局印发《信息安全等级保护商用密码管理办法》,并于2017年印发《关于开展密码应用安全性评估试点工作的通知》,启动密评试点及机构培育工作。作为我国早期承担信息安全等级保护商用密码测评的系统测评机构和第一批密评机构,检测中心具备丰富的重要信息系统和关键信息基础设施密码安全测评经验,承担首批密评机构人员的培训和能力考核工作,牵头编制一系列密评标准,在密评机制的建立健全中起到了重要的引领作用。


二、商用密码检测认证成效初显

检测认证是国际通行的贸易便利化工具。为增强商用密码产业“双循环”能力,落实国家行政审批制度改革要求,《密码法》提出国家推进商用密码检测认证体系建设;新修订的《条例》进一步细化《密码法》相关要求,对商用密码认证制度机制以及商用密码检测机构和认证机构的资质要求、资质认定程序和从业规范作出了具体规定,明确提出建立国家统一推行的商用密码认证制度。检测中心作为当前唯一一家商用密码认证机构,积极发挥龙头带动作用,全面参与商用密码检测认证体系建设,检测认证工作成效逐步显现,为《条例》的贯彻落实打下了坚实基础。

检测认证实施制度机制不断完善。检测中心依据商用密码认证规则,结合检测认证工作实际,编制形成安全芯片、服务器密码机、IPSec VPN等28类商用密码产品认证实施细则,发布商用密码产品认证业务指南、认证标志使用要求、认证证书管理等制度文件,制定系列认证工作规则和程序性文件,覆盖认证审核、型式试验、工厂检查、认证评价、证后监督等检测认证全流程,确保认证工作规范有效开展。检测认证力量基本形成。检测中心发挥引领作用,按照“试点先行、稳中求进、由易到难、逐步扩项”的原则,有序开展第三方产品检测机构和检测人员培育工作,累计培育培训密码检测、工厂审核等专业人员100余人。目前,检测中心已具备全系列密码产品检测、认证能力,其余4家商用密码产品检测机构迅速发展壮大,综合实力不断提升。产品检测认证工作有序开展。国家统一推行的商用密码产品认证工作稳步推进,检测中心累计换发商用密码产品型号证书1800余张,新发产品认证证书2100余张,其中安全等级第二级以上产品占比约70%,新形态密码产品占比约30%;完成200余个重要信息系统的测评工作。通过检测认证,不断提升产品安全性,引导技术更新迭代,促进密码与新兴技术融合应用,保障重要信息系统密码应用合规正确有效,有力维护金融、通信、交通、能源、广电等重要行业和领域关键信息基础设施安全。


三、商用密码检测认证能力建设开启新征程

新修订的《条例》全面强化检测认证活动监督管理,要求商用密码检测、认证机构独立、公正、科学、诚信地开展商用密码检测认证活动,并进一步明确商用密码产品、商用密码服务国推和强制认证制度的实施范围和工作机制,坚持放宽准入与规范监管相结合,更好地激发市场活力,推动产业发展。立足新时代,检测中心急需把握《条例》新要求,在服务水平、手段设施、人才队伍等方面进一步发力,树立客观公正良好形象,建设一流密码检测认证服务能力,为国家网络安全和商用密码发展提供全面支撑。

加快提升对外服务水平。全面践行以用户为中心、以服务为导向的发展理念,坚持客观、公正、科学、规范的质量方针,不断提升面向社会服务水平。加强检测认证质量控制和过程管理,改进检测认证业务办理流程,推动建设先进高效的检测认证业务服务平台,逐步实现检测认证一站式服务,不断提升检测认证服务效率,满足密码产品快速更新迭代的需求;进一步畅通用户沟通交流渠道,建立健全服务监督和评价机制,树立认证机构的权威可信形象,让社会信赖,让用户满意。着力加强检测认证技术能力建设。加快开展密码检测认证共性关键技术研究,强化区块链、云服务、工控、车联网等新技术新应用检测技术和密码应用安全性评估技术研究,加大技术储备,满足市场多样化需求;根据技术发展和产品升级迭代需求,不断改进检测工具、平台和环境,丰富分析测评攻防手段,建设先进密码检测实验室和专业设施;加强认证监督检查技术手段研究,结合密码认证特点研制认证检查工具,提升认证监督检查能力。逐步实现产品、服务和管理体系等认证能力全覆盖。立足我国产业数字化转型和数字经济发展需求,不断拓展国推产品认证业务新门类,具备年度认证1000款商用密码产品的能力;研究集成、运营、监理等基础密码服务,以及密码资源和密码功能服务特点,推动商用密码服务国推自愿认证规划建设,试点开展安全、合规、可靠密码服务;研究并适时推动商用密码管理体系认证,提升密码安全风险管控能力,确保密码管理科学有效;探索检测认证人员认证,完善人员考评机制,支撑检测认证力量建设。加快培养高水平检测认证人才。检测中心发展迫切需要商用密码认证、产品检测、应用安全性评估、关键技术研究、国际合作交流等各类人才的支撑,需进一步加大人才培养力度,在检测认证实践中发现人才、培育人才、锻炼人才,构建一支结构合理、素质优良、业务精湛的检测认证人才队伍,体现专业特色,彰显专业实力。通过人才队伍建设,逐步实现“一专多能”复合型人才引领检测认证能力建设,“高精尖”人才有效满足检测认证高新、重点方向发展需求,专业技术骨干全面保障检测认证工作稳步推进。商用密码检测认证能力建设是一项长期系统性工程,需要常抓不懈,久久为功。立足新发展阶段,商用密码检测中心将牢牢把握发展机遇,深入贯彻落实《条例》精神,踔厉奋发,笃行不怠,全面推动检测认证能力建设,为商用密码安全和高质量发展做出应有的贡献。

(来源:国家密码局网站)





《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存