“密評”改變密碼應(yīng)用管理流程，“密評機構(gòu)”能否優(yōu)化行業(yè)格局？

123山不轉(zhuǎn)水轉(zhuǎn) 2021-04-12

展開全文

—背景—

這兩天清明節(jié)，每個人都沉浸在緬懷過去和祭奠故人的氣氛中，我大中華之炎黃子孫就是這么的有文化和有信仰。作者也難得有整塊時間對“密評”這個話題做個思考和整理。

按照《密碼法》的要求，密評工作是密碼應(yīng)用和密碼管理必不可少的重要組成部分。為了更好的強調(diào)和牽引這項工作，國家規(guī)定在沒有通過密碼評測的信息化項目即無法獲得項目立項批復(fù)，也無法正常上線運行。這無不體現(xiàn)密碼應(yīng)用之于信息化和密碼評測之于密碼應(yīng)用的重要性。為了保障和落實好密碼應(yīng)用和密碼檢測工作，確保密碼應(yīng)用的正確性、有效性、合法性，密碼主管單位，一方面制定和發(fā)布詳實的標準規(guī)范，一方面遴選出相對有能力的密碼應(yīng)用評測機構(gòu)【密評機構(gòu)】，這都為密碼應(yīng)用的廣泛和有效開展奠定一個好的基礎(chǔ)。

節(jié)前的一段時間里，作者跑了四五個省份，接觸了幾十家單位和數(shù)以百計的安全特別是密碼行業(yè)從業(yè)者、用戶以及多家密評機構(gòu)，大家對密碼應(yīng)用特別是密評這項工作還存在較大認識差別，作者結(jié)合自身的感受和認知，給出自己的幾點看法，僅供參考。

—幾點看法—

1、密評是開展密碼應(yīng)用重要抓手，過密評絕不僅是目標，踐行密評精神是核心

當下的密評之于用戶是一項任務(wù)，之于密評單位是一項商業(yè)活，但是密評之于整個密碼行業(yè)乃是促進發(fā)展的重要抓手。作為從業(yè)者和應(yīng)用者，需要充分認識到這一點，完成密評任務(wù)可作為密碼應(yīng)用初步需求來落地，但過密評僅是落實“以密碼技術(shù)為核心和基礎(chǔ)支撐，融合其他安全技術(shù)共同構(gòu)建安全環(huán)境”之國家要求的開始。

密評工作是檢驗密碼應(yīng)用階段性成果的有效方法，其中“正確性、有效性、合法性”是重要的考量指標，無需贅述，按章辦事即可。密評這項工作機制的設(shè)立，所反映的問題才是從業(yè)者需要好好思考的。作者認為“可信、可見、可證明、可傳承”是對密評精神最好總結(jié)，也是開展密碼應(yīng)用甚至是安全建設(shè)最為根本的指導(dǎo)精神。詳細說明請參考作者以往的文章。

2、密評機構(gòu)雖然被定位測評，但整體咨詢規(guī)劃能力卻被給予厚望

從密評機構(gòu)的遴選過程即可看出，國家主管單位對密評機構(gòu)的重視程度，也反映管理層面對密評機構(gòu)促進密碼應(yīng)用寄予厚望。主管部門的相關(guān)深意作者無能揣摩，但是從現(xiàn)在整體的工作現(xiàn)狀看，密碼應(yīng)用單位對于密評機構(gòu)也是寄予厚望的。當下開展密碼應(yīng)用的單位以政府行業(yè)為多，在現(xiàn)行的中國體制下，選擇有權(quán)力的部門開展對應(yīng)工作是第一選擇，所以密評機構(gòu)在短時間內(nèi)成為當下密碼應(yīng)用中的重要力量，迅速從僅做測評的定位發(fā)展到涉足密碼應(yīng)用全流程工作。這樣的現(xiàn)狀，改變了以往的產(chǎn)業(yè)格局【用戶直接和密碼企業(yè)開展對接工作】，在這個業(yè)務(wù)鏈中，密評單位肩負更重的責(zé)任，這也給密評單位在整體咨詢規(guī)劃能力上提出更高的要求。一個有權(quán)力，更有能力的密評機構(gòu)在當下的密碼行業(yè)中一定會取得驕人的成績。

3、技術(shù)標準化，管理自控化是密碼應(yīng)用在用戶端最關(guān)鍵的踐行原則

隨著密碼技術(shù)標準化和檢測認證水平的提高，技術(shù)和產(chǎn)品問題已經(jīng)不在是影響密碼應(yīng)用最根本問題，唯技術(shù)論、唯產(chǎn)品論的時代已經(jīng)過去，“三分靠技術(shù)、七分靠管理”的時代已經(jīng)到來，這也是信創(chuàng)工作的基本要求。所以在當下的密碼應(yīng)用過程中，在用戶端以強化密碼管理水平和自控能力為核心原則，以適配自身管理和服務(wù)機制為重點工作，以開放技術(shù)標準為依賴手段，以整體提升自身服務(wù)能力為支撐能力為發(fā)展方向來開展工作。

在用戶端進行密碼應(yīng)用建設(shè)，管理是核心、適配是關(guān)鍵。適配的過程就是與原有體系進行融合的過程，密碼技術(shù)上存在通用的功能性產(chǎn)品，但是在密碼管理上只存在框架性產(chǎn)品，融合生長過程才是密碼管理落地最根本的工作。明白這一點，就能在密碼應(yīng)用過程中強化管理設(shè)計、強化適配開發(fā)、弱化技術(shù)依賴。

4、密碼行業(yè)還處于起步階段，“教育引導(dǎo)”是各項工作的核心

相對于信息化和網(wǎng)絡(luò)安全從業(yè)者的數(shù)量和發(fā)展時長，密碼行業(yè)無論從哪個角度講都處于起步階段。對于處于起步階段的密碼行業(yè)，行業(yè)快速發(fā)展、商業(yè)機會的獲取，教育引導(dǎo)是第一位的。所以無論密評機構(gòu)還是密碼企業(yè)，教育引導(dǎo)都是自身最重要的工作內(nèi)容，甚至是核心內(nèi)容。也正是基于此，作者在密碼應(yīng)用設(shè)計原則中特別強化“可傳承”的原則。

—幾點建議—

1、密評單位需要快速提升能力，整合構(gòu)建優(yōu)質(zhì)咨詢服務(wù)隊伍

目前，密評機構(gòu)自身能力水平還存在巨大差距，還不能滿足基本密評工作需要，更沒有辦法滿足用戶整體密碼咨詢的工作需要。這個能力問題對于密評單位是必須要解決的，否者其權(quán)力有可能也被取消。如何進行能力提升，如何提供優(yōu)質(zhì)的咨詢服務(wù)，在作者以往的文章中都有說明，在此就不做贅述了。

2、完善密碼管理技術(shù)支撐框架，快速生長各類適配組件

密碼應(yīng)用的核心是密碼管理和適配，鑒于此，密碼從業(yè)者或企業(yè)，需要構(gòu)建密碼管理技術(shù)的支撐框架【可被稱為密碼管理服務(wù)平臺】，并以技術(shù)框架為基礎(chǔ)不斷豐富各種適配組件，和應(yīng)用者的具體業(yè)務(wù)場景、管理場景、審查場景等進行銜接，一方面生長出各式各樣的服務(wù)以適配場景需要，一方面融合發(fā)展出安全和應(yīng)用的共生關(guān)系【打破以往安全作為業(yè)務(wù)的伴生關(guān)系】。

此項工作彰顯水平和能力的關(guān)鍵，也是密碼應(yīng)用在用戶端最重要的表現(xiàn)形式，也是用戶管理密碼和開展密碼服務(wù)的重要抓手。

3、形成完善的教育培訓(xùn)體系，以咨詢教育方式開展業(yè)務(wù)推進

作者以往的文章中多次提到教育的意義，對于處于起步階段的密碼行業(yè)，教育培訓(xùn)更是意義深遠。作者一直在嘗試著將自己的一些認知和感受形成一套完整的體系，特別是便于傳播和普及的咨詢教育培訓(xùn)體系，這樣一方面發(fā)揮作者的價值，一方面能將行業(yè)的一些認知進行優(yōu)化，將“可傳承”的安全設(shè)計原則踐行到位。

咨詢教育是密碼行業(yè)必須長線貫徹的工作，每一名從業(yè)者都應(yīng)該置身其中，無論你資歷與水平高低，只要有一技之長，不過作者強調(diào)咨詢教育要做到“五有原則”【有理論、有方法論、有方案、有技術(shù)、有抓手】，相關(guān)內(nèi)容見作者以往的文章。