专家论坛:商用密码应用安全性评估的问题与挑战
2021年8月28日,在北京网络安全大会的最后一日——技术日的分论坛中,密码应用与实践论坛颇受关注,国内密码安全领域的众多院士、学者、专家以及企业精英齐聚一堂,共同探讨从前沿密码技术的发展趋势到当前密码应用的实践、创新。除此之外,在最后的圆桌论坛中,专门针对大家近期比较关注的商用密码应用安全性评估(下文简称密评)展开了探讨。
众所周知,商用密码对包括金融、税务、卫生、电力、公共服务等各行各业都有着基础支撑作用,密码产业的发展也已经进入了一个新的篇章,那么密评作为密码应用的重要抓手,在当前表现如何?未来的发展方向会在哪里呢?
来自公安部信息安全等级保护评估中心的李明表示,从测评的开展角度看,自2018年启动至今,从小范围试点、政策驱动到现在网络的运营者开始主动的来开展密评工作去进行查缺补漏,密评已经有了一个长足的发展。同时,通过密评工作也确实会发现一些问题,比如目前仍有一些不安全的密码算法在使用中,尤其是一些已经明确有警示性安全问题的算法,会导致一些问题的出现。与此同时,当前在密码应用覆盖的全面性上仍有不足。
来自中国科学院信息工程研究所的马原表示,密评技术真正在全国范围内开始产生较大影响的主要有几个点,一个是2020年12月,密码学会的密评委员会发布了5个文件,另一个是在我国的国家标准——GB/T39786--2021《信息安全技术信息系统密码应用基本要求》发布的前后(2021年3月19日发布),这些基本将密评的整个技术体系固定了。未来则会将量化评估和高风险判定指引作为测评的关键指标,前者是要把握密码使用的量,后者则是要把握密码应用评估的风险项目。
关于密评未来的发展方向,马原认为,由于密码应用很难出台一个具体的标准,因而当前密码的标准也只是通用基本要求,未来如何在这个基础上针对包括云计算、工控、大数据等具体的领域做扩展性的要求和更进一步的测评规范或会成为发展方向之一。
来自密码领域的专业厂商——三未信安的技术支撑中心总经理鹿淑煜基于企业的角度发表了自己的观点。他表示,在密评工作开展以来,用户层面的需求有一些变化,以往的单一产品已无法满足需求,并逐步开始要求密码领域的安全厂商能够提供诸如平台化的技术支撑以及一体化的服务,因此对包括三未信安在内的厂商而言,一方面有市场需求变化的短期压力,另一方面更是要遵循法律法规的要求以及标准的规范,在这基础上继续创新,从产品、技术服务等多方面去帮助用户真正解决密评落地的问题。
总体来看,密评工作已经取得了很大的成效,但根据历史经验看,凡高速发展的领域,往往也会存在一些问题,这些问题会暂时掩盖在高速发展的进程之中,容易被人忽视。圆桌论坛的现场嘉宾自身都是密评工作的参与者,因此现场抛出的第二个讨论话题就是关于开展密评工作中都会遇到哪些实际问题以及如何解决这些问题。
针对这个问题,马原分享了自己的切身体会,指出密码的价值在于应用,然而在同业务系统进行结合时,或多或少会出现一些脱节的情况,比较典型的例子就是密码厂商为客户做一个能够很好的满足合规要求的方案,但经常会发现客户迫于自身业务上的一些限制,导致最终密码应用的效果并未达到最佳,甚至会出现一些问题。这意味尽管很多时候密码应用方案做的很好并能够满足标准和评估的要求,但到具体实践的层面就会暴露问题。
关于如何解决这一问题,马原认为一方面关于信息系统的业务需求要更加明确,比如哪些信息、数据需要加密,哪些有需要进行其他方面的保护等等,另一方面,密码厂商在为客户做密码应用方案时,也应关注客户的实际需求,并有针对性的在方案中进行细化,这样才能真正实现密码应用防护的目的。
来自北京国家金融科技认证中心的首席专家李振则从金融行业的视角来阐述了自己的看法。李振指出,当前整个金融行业都在数字化转型,会应用到很多如区块链、人工智能、大数据等等的新技术,我们可以看到的问题在于与这些新技术相关的密码应用层面还仍然缺乏一些标准的规范,那么在做密评的时候应如何来进行评估、评价仍是一个亟待解决的问题。
这一问题其实也正如前面马原所说的那样,如想要更好解决,未来就必须要以通用基本要求为基础,在相关的技术领域进行扩展并不断完善。
来自北京数盾信息科技有限公司的总工程师乐宏彦则重点从人才的角度谈论了这个问题,他认为当前专业人才的缺失是密码应用的难题之一,例如一个核心机房的网络管理者如果缺少必要的安全素质,那么安全性也就无从谈起,缺乏安全意识看似是个小事,但对于用户自身来说,一旦发生问题往往就会是大问题。因此,乐宏彦也向国密局提出建议,希望未来一方面能够加强对政企在密评方面的要求及相关知识层面的普及,这些工作不应是仅针对测评团队的;另一方面,希望国密局能够坚持不定期的进行检查、评估,对于排查相关安全隐患会有极大的帮助。
鹿淑煜也从密码厂商的视角来分享了自己的观点,他表示,三未信安在实践过程中,会发现密评有时并不是甲方单位所首选要做的事情,很多都会主动的将这个工作往后推甚至不去做,那么针对这一问题,三未信安所采取的解决方法则是主动的建议甲方在做这件事情的时候首先去同步的做好规划,尽量在第一时间把密码应用做到位,因为密码应用本身是一个融合技术,如果仅靠后期的整改,肯定会遇到很多问题。
鹿淑煜坦言,在供给侧方面,可以看到目前密码领域仍然还存在着技术、产品上的一些不足,主要体现在密码产品和其他安全产品的融合方面,由于密码本身是支撑整个安全体系的基础,如果密码产品要想用的更好,必然要和整个安全体系去做更深度的融合。鹿淑煜还指出,整个密码产品体系仍存在门槛过高、周期较长的现象,一个密码产品从提出需求、研发、测评等过程到最终落地,需要经历一个很长的时间周期,这所体现出的是需求到技术再到落地的一个滞后性,如果技术不能及时的满足当下的需求,也会面临一些问题。不过,这一矛盾在鹿淑煜看来仍然是比较良性的,因为无论是国家的相关部门还是密码领域的企业自身都会积极的去面对和解决这些问题,在这一过程中,就必然会对整个密码产业产生积极的促进作用,推动整个产业不断升级。
在针对密评工作如何更好地保障我国网络空间安全事业方面,现场的几位嘉宾也提出一些建议。
鹿淑煜认为,应顺应当前新形态、新技术的发展态势,创新仍是首要的,要不断用创新的思想去解决现在密评工作中的一些实际问题。同时,鹿淑煜也希望密码领域中包括相关部门、测评机构、密码厂商等各方应继续加强合作,进一步提升行业的整体力量,共同推动密评工作的进一步开展。
李明则根据自己的切身体会提出了两点建议,首先是建议包括检测中心在内的相关机构、组织能够将密码应用培训范围扩大至网络运营者,相当于将密码应用工作左移;另一个则是建议业界共同努力,能够力争实现密评的自动化,这对于密评工作的开展将会是有着极大的推进作用,不过李明也坦言这其中的工作相当复杂,实现起来并非一朝一夕之功。
综合而言,圆桌论坛的嘉宾主要反映了以下几点:
1、密码应用相关的人才缺失目前仍是一个普遍问题,而在网络运营者方面,普遍缺乏密码应用的相关知识和能力。其中前者在短期内较难解决,而后者则需要依靠相关部门、机构、厂商等多方面共同加强相关知识普及,让用户不仅去使用密码,还要用好密码。
2、用户需求层面,单一的密码产品已经难以满足,密码应用在未来会向平台化、服务化的方向发展。
3、密码领域的相关技术创新还需进一步加强,以满足当前用户在众多新场景(如区块链、大数据、云计算等)下的密码应用需求,并积极用创新的思想去解决密评实际工作中的问题。
4、在密码应用的通用基本要求基础上,向细分领域做更有针对性地扩展性要求和相应的测评规范有可能会成为未来密评未来的发展方向之一。
THE END
安全419编辑部于近期正式启动“2021年度网络安全细分领域厂商”调研工作,重点针对数据安全、工控安全、端点安全、移动安全、开发安全、云安全、密码、零信任八个领域展开,并在第四季度围绕调研成果发布系列选题内容。欢迎在以上相关领域中优秀厂商自荐,有兴趣可加编辑微信来撩~
// 推荐阅读