在第十一届上交会商用密码展暨密码应用与创新发展大会上,数观天下作为独家战略合作媒体,联合上海市商密协会一起推出特别访谈栏目——《数观密话》。
本期《数观密话》,我们对话山东新潮信息技术有限公司(以下简称“新潮信息”)密评技术总监 元河清先生,深入这家网络安全合规领域的第三方测评机构,聊聊密评的事儿。
密评机构:新潮信息
山东新潮信息技术有限公司成立于2000年,是国内专业、权威的第三方网络安全检验检测服务机构,公司总部位于济南。核心业务包括网络安全等级保护测评、商用密码应用安全性评估、渗透测试、应急响应、软件测试及安全咨询等多项安全服务。
公司拥有ISO27001等多项管理体系认证,是国家高新技术企业、省级专精特新及瞪羚企业。自建CNAS认证实验室及安全监测平台,是国家应急中心支撑单位,拥有30余项国家级资质,并担任中关村测评联盟副理事长。服务经验丰富,客户覆盖政府、能源、金融、教育等领域,秉承“合规、诚信、团队、务实”价值观,致力于成为值得信赖的网络安全检验检测机构。
Q:元总您好,很荣幸邀请您作为《数观密话》的对话嘉宾,请您跟我们的粉丝朋友们打个招呼吧
大家好,我是元河清,来自新潮信息,我们公司在山东济南,好客山东欢迎大家。
新潮信息是一家专注于网络安全合规的测评机构,目前已经取得了等保、密评、软测、风险评估等相关资质。我呢,主要负责公司的密评业务。
Q:元总您负责密评业务,那么目前咱们的密评业务主要覆盖了哪些行业?
目前主要覆盖党政、医疗、教育、电力等行业。
Q:您认为当前密评密改推进最需要注意的点是什么?
需要关注一部分现有应用和数据系统的改造难度较大,也是实施成本较高的部分。
比如,物理环境、网络通信、设备和计算等方面,可以通过采用一些设备来完成。但应用和数据方面,是需要集成商、软件开发商、密码厂商和密评机构等多方协作来完成。
Q:在密评“全生命周期管理”中,如何通过三同步一评估(规划-建设-运行)解决企业密码改造的滞后性问题?
我们在实际的业务中发现,由于历史原因,一些老系统在规划建设初期可能没有设置密码应用安全性的相关方案。因此,现在大家对于密码改造的理解可能会有些不同。对于新建的系统,应当严格按照“三同步一评估”制度开展工作,这样后续工作才能更顺利的推进。
并且,在实际的信息系统规划阶段,多方对于密码应用方案编制不太熟悉,而密评机构作为测评方,无法参与到密码应用方案的编制工作中,因此更需要大家在多方沟通协调上考虑更多。
Q:密评中的高风险场景应对中,缓解措施生物识别(指纹/人脸)替代密码技术进行身份鉴别,您如何看待?
根据密评联委会发布的《高风险判定指引》中对于高风险项的缓解措施,使用指纹或人脸这样的生物识别技术可以降低物理和环境层面因未使用密码技术进行身份鉴别而带来的风险,然而从密码应用与测评相关的国家标准的角度分析,它未必完全符合标准。
在实际应用中确实不会触发高风险,但对应的测评指标是无法得分的。
Q:在等保2.0与密评双重要求下,产业实现数字化转型的发展道路上,您认为如何通过量化评估倒逼真实安全提升?
区别于等保,在密码应用中主要强调密码应该从数据安全或者应用安全角度为安全提供保障。
目前主要结合我国现有密码的现状,更多地促进大家对密码技术的应用,以及对商用密码的改造工作,逐步完成国产密码替代,后期全部启用国产密码,以及未来可能会采用的后量子新算法。
Q:您刚才提到后量子,近期一些后量子研究纷纷发布。贵公司在后量子方向是如何考虑的?
当前阶段的密码算法,尤其是公钥算法,主要依赖于现有的数学算法。在量子计算机出现之后,现有算法可能面临较大冲击,我们需要切入到后量子算法的应用场景中。
目前,新潮信息在后量子算法领域正在跟进相应的算法标准,并研究相关工具的搭建和使用场景。
Q:基于您的行业经验和创新性研究,您认为近3~5年,整个商用密码市场以及产业会发生什么样的变化?
2024年11月,国家密码管理局公布了《商用密码检测机构(商用密码应用安全性评估业务)目录》之后,我认为会以密评为牵引,促进商业密码在各行各业的广泛使用,与密码相关的技术、产品和服务也会有更为长远的发展。
暂无评论内容