密评:愿景和现实存在巨大差距

2022-06-02 09:39
28
图片

缘由:
密码应用安全性评估(简称:密评)是落实《中华人民共和国密码法》的重要举措,也是密码行业健康有序发展有力保障措施,同时又是拉动密码产业发展的重要力量,从其诞生以来就被行业人士给予厚望。作者也特意撰文《“密评”改变密码应用管理流程,“密评机构”能否优化行业格局?》来支持密评工作。
这两天和几个用户交流,大家对当下正在开展的密评工作都表现出较多的意见和不同的看法,都认为密评工作出发点没错,但是实践执行问题多多。


截至目前,密评工作已经持续有3年多时间,确实对密码应用起到了一些积极的作用,但离国家、行业发展、产业落地、用户落实等要求还有很大的差距,远远没有为密码技术最大限度发挥网络安全核心技术和基础支撑作用起到牵引作用。当然,这里面的原因的是多方面的,本文仅站在个人角度给出主观分析,说得不对的地方请行业人士批评指正。
图片

密评工作现状问题分析:
密码技术是网络安全核心技术和基础支撑,这是国家对密码技术的整体定位。同时,随着《密码法》的颁布实施以及央办各项文件的下发,都为密码应用奠定了很好的政策、标准、项目基础。同时也明确了密评工作是密码工作的重要组成部分,没有密评做支撑的信息系统项目预算是不批的,没有密评支撑的信息系统是不可以上线运行的。这些给密评工作带来巨大机会的同时,也带来了不小的考验。从现状看,确实考验不小,如下的问题还需要认真看待:
1、密码价值的体现要依赖应用:密码应用推进进程总体上需要经历“要建”、“要用”、“用对”、“用好”四个阶段(以往的密码工作基本处于前两个阶段),从当下密评工作的情况看,密评可以有效保障密码应用从“没有”到“要建”、从“建”到“要用”,从“用”到“用对”阶段转化。但“用好”才是密码的目标,对于这个目标,密评工作给予的帮助很有限
2、密评的价值意义其实也要靠密码应用效果展现:密评工作的目标是保障密码应用的正确性、有效性、合法性,其中正确性、合法性密评工作可以给予客观保障,但作为密码应用最重要的“有效性”,密评工作给予的帮助很有限,毕竟作为底层技术的密码技术,本身的效果就很难被展示,这些都影响了的密评的价值体现
3、从现实看,密评能解决“要建”、“要用”、“用对”三个问题,而这三个问题恰恰是具有很强的项目属性,所以密评成了开展密码应用项目很好的抓手也就不足为怪了。也正是因为如此,密评工作要出实际效果所面临的挑战就多了【看看当下,密码行业出现频率最高的词汇应该就是“密评”两个字了,有好事、有坏事,大家认真体会】
4、密码行业是技术驱动较强的行业,其底层核心技术一般掌握在有限范围内,也不是一般单位能突破的方向,所以行业中竞争的重点是在密码应用技术上,也就是通常所说的对应用的交付能力。密码应用的效果也好,密码应用的有效性也罢,交付能力亦然成为核心和关键。而密评要想提升自身的工作实效,要不就掌握核心技术、要不就具备全面交付能力,但这些看起来好像都是不可能的,所以,密评工作对于密码应用效果的直接促进作用是有限的,这是客观现实决定的。
5、密码工作需要的是严谨性,应用工作需要的是灵活性,这种矛盾的存在对于被评单位来讲,总有点没事找事的感觉,这对密评工作的落实是不利的,最终,密评工作流于形式是很可能的
图片
6、政策的推动给密评带来了无限遐想,众多直接或间接参与者接踵而来,各有各的目的、各有各的的观点,密评的相关声音也出现了多样性,认知不统一,工作落实就会受影响
7、密评作为评测工作,在定位上既有权力机构痕迹,又被明确自身市场化运作,作为承担密评工作的密评机构,考虑自身的利益也就不足为奇了
8、密评工作连接着密码管理单位、密码应用单位、密码供货单位等多家参与单位,各方都能一碗水端平,并满足要求难度是很大的,最终选择自身价值最大化就不难理解
9、密评单位的发展,特别是人力储备是没有办法满足实际需要的,并且差距是巨大的,最终的解决办法就是借助外力,在这种情况下密评机构太多的精力用在资源协调上,有证的权力受限于无证的能力,或进行结盟这就成了常态,由此产生的后果不必多说
10、正确性、有效性、合法性,是密评的目标,正确性和合法性是可以客观量化评测的,但是有效性的问题是个复杂的问题,涉及范围很大,并因实际情况而异,还存在很多主观因素,所以,密评工作借助技术工具能解决的仅是一小部分问题,大部分问题还要靠人。再者,国家对密码技术和密码产品的相关检测规范都是很严格的,密码企业一般情况下是不会在这些层面越界的,也就是说,检测通过的产品在技术指标上是OK的,而在应用过程中要重点检测的是功能而已,而功能性检测是很简单的,简单的东西其实在评测方面意义并不大,而当下,各类检测工具在深度和广度层面还有差距,还要依赖有经验的人完成
11、涉足行业的密评,其实对“用好”、“有效性”更有一定的推动作用,作者认为设定行业密评或许也是因为能更好的搞好业务吧。但,行业评测有些还成了限制交流、发展和协同,这对应用深入是很不利的
图片
12、密评对于密码行业的发展作用是无容置疑的,对于密码企业更是最大的利好,一方面可以通过要求完善密码企业的产品能力,一方面有助于市场开拓。看看当下的实际情况,各家密码企业都重兵于市场开拓,并且各有各的策略和渠道。不同的策略给密评工作带来各种选择,对于评测工作而言,多种选择可能弊大于利
13、密评工作是带证、带规向下开展的,对于密码应用单位而言刚性是很足的,密码企业是最喜欢这样的结果的,毕竟以往锦上添花的生意不如雪中送炭来的容易。但,也正是因为此,若使用不当,反而会使得密码应用单位产生很大抵触,如果找不到与之配合的价值体验方式和修补方式,对密码应用工作的开展整体上是很不利的
14、密评工作作为一种评测性工作,公正客观是基本原则,因为众多单位的参与甚至是影响干预,其固守原则就难度很大,加之已经进入的密码企业是和应用单位有着以往的交往经验,对密评会形成一些应对手段,久而久之,评测工作也就仅仅是个过程了
15、密码企业有渠道、有人力、有客户等,总之密码企业在密码行业较密评机构要更有资源,而这些资源的正确使用与否对密评这项工作有很大的影响,参与密评工作的单位和人员也能认识到这一点,从现在看,能正确使用还存在差距
16、鉴于密码产业的发展向好,众多传统的网络安全公司纷纷涉足密码产业。大家也都充分认识到密评对密码产业的牵引作用,所以很多新涉足密码行业的网络安全公司都以密评工作为抓手,鉴于这些公司对密码产业的理解程度还存在差距,就算是整合了一些密码产业资源,但思维方式和业务打法的不同,势必会给密评工作带来新的问题
图片
17、密码主管单位在监管密评工作的过程中需要承担的业务工作量和协调工作量是很大的,加之人力资源配备不足、外部专家队伍层次不齐,最终监管效果和效率也成为影响密评工作成果的重要因素
18、密码主管单位,在当前的信息化工作职责分工中,对于项目化的权力是有限的,密码和信息化建设要遵守“三同步”原则,这是规定,但是在操作主导权层面,密码主管单位的力量还是有差距的,密评工作作为基础工作要做,能在项目中被约定已经算是成功了
19、开展密评工作作为一项任务下发给了众多业务应用单位,但是如何开展的相关细节还有大量的基础工作要做,特别是要结合应用单位实际情况,这个工作量更是巨大的,密码主管单位面对这些工作量,想想都很难搞
图片
。。。。。。

从密码行业、密评工作、密码企业、密码主管单位等多个维度进行分析就会发现,密评工作当下的困难还是很多的(作者仅仅列出上述19条,其实还有很多是不便于说的),能把密评工作真正效果发挥出来,是需要所有的参与单位和参与人员要付出更大努力的

后续工作几点建议:仅限思想和原则层面,只是遐想而已
1、在密评工作导向上进行调整,兼顾非刚性内容,使得密码应用单位能有切身感
2、在密评工作贡献上进行丰富,重点在应用层面多整合、传承、能力输出
3、在密评单位的职责上做些改变,重点强化“有效性”的落实,市场职能做一些优化
4、在密评工作具体落实方式上做一些尝试,重点考虑“异构”原则,强化良性促进
5、在密评单位的管理上设定红线机制,重点强化坚守原则的问题
6、对于应用单位开展密评工作机制上做一些改变,是否考虑有方法可进行自主评测
7、对于密评工作建立区域和行业试点基地,发挥密码企业和能力人士的各种优势,为应用单位提供全面取经基地和业务能力辅助窗口
8、对于有行业特质的密码应用单位,可以考虑采用定点集中指导和管理的方式
9、对于参加密评工作的单位和人员建立注册档案,便于机构和人才队伍的有效使用
10、建立密评工作的后续追查机制,利用信息化的手段保证应用工作的可持续性
11、密评机构自身能力强化,可以考虑外部人才平台化使用机制
。。。。。。
图片

最后要说:
前面说了很多,也很直接了,这里就不说了
总之,密码工作意义重大,密评工作更是重任在肩,越是这样,越是要摆正位置,要正确的定位和路线
注:上述的观点仅站在对有限样例的个人分析基础之上得出的,虽然不特指任何单位和个人,但作者也认为有很多不恰当的地方,希望大家能理解,毕竟是站在希望密码行业整体向好的出发点之上。
【注:以上仅是作者肤浅认识,仅供参考】



编辑:陈十九

审核:商密君


来源:商密君

昵称:
内容:
验证码:
提交评论
评论一下