10 月 19 日�����,以“新要求���、新技術(shù)������、新安全”為主題的2021太原網(wǎng)絡(luò)安全高峰論壇在山西太原圓滿落幕�����。本次論壇由山西省委網(wǎng)信辦和太原市委網(wǎng)信辦共同指導(dǎo)�����,太原市互聯(lián)網(wǎng)協(xié)會和GoUpSec新媒體聯(lián)合主辦�������。中國工程院沈昌祥院士���、信息安全與通訊保密理事會副會長郭守詳������、原太原市委宣傳部副部長曹俊清���、中共山西省委網(wǎng)信辦相關(guān)負(fù)責(zé)人������、太原市委網(wǎng)信辦副主任武潤林等政府主管部門領(lǐng)導(dǎo)及院士專家�����、知名企業(yè)以及山西行業(yè)組織������、主流媒體代表�������,省內(nèi)機(jī)關(guān)及企事業(yè)單位信息化�������、網(wǎng)絡(luò)安全領(lǐng)域相關(guān)人員共同出席此次峰會���。
北京威廉希尔股份有限公司研究院院長夏魯寧博士受邀出席了本次論壇����,并就密評合規(guī)性背景下“如何做好密碼應(yīng)用方案”的思路與方法論進(jìn)行了分享����。
演講伊始�������,夏魯寧博士表示����,隨著《密碼法》等國家法規(guī)政策�������、指導(dǎo)意見相繼出臺�����,密碼應(yīng)用與安全性評估的合規(guī)性要求越來越清晰���,做好密碼應(yīng)用方案是合規(guī)應(yīng)用密碼的良好開端���。
接下來夏魯寧博士分享了威廉希尔公司關(guān)于密碼應(yīng)用方案設(shè)計的方法論������,強(qiáng)調(diào)緊扣用戶業(yè)務(wù)�����,從厘清信息系統(tǒng)和業(yè)務(wù)脈絡(luò)出發(fā)���������,分“四步走”編制密碼應(yīng)用方案——第一步����,明確范圍與保護(hù)對象������;第二步����,圍繞各保護(hù)對象分析密碼應(yīng)用需求�����;第三步�������,針對需求設(shè)計密碼應(yīng)用措施����,形成密碼應(yīng)用方案������;第四步��������,結(jié)合標(biāo)準(zhǔn)進(jìn)行密碼應(yīng)用方案自評估��������。
他詳細(xì)闡述道�����,第一步���,首先要明確系統(tǒng)包含的業(yè)務(wù)范圍和網(wǎng)絡(luò)邊界��������,然后執(zhí)行數(shù)據(jù)分類分級�����,形成重要數(shù)據(jù)列表�������,最后通過梳理重要數(shù)據(jù)信息流向和承載實體(物理安全邊界����、計算環(huán)境)明確信息保護(hù)的對象������。
第二步����,針對上一環(huán)節(jié)梳理出的保護(hù)對象�����,逐一分析其風(fēng)險水平����,形成機(jī)密性�����、完整性���、真實性�����、不可否認(rèn)性4個方面的風(fēng)險分析結(jié)果�������,然后根據(jù)風(fēng)險水平并結(jié)合責(zé)任主體������、成本������、周期等因素�����,確定要響應(yīng)的密碼應(yīng)用需求�����。
第三步��,夏魯寧博士表示密碼應(yīng)用技術(shù)和管理措施的設(shè)計�������,要緊扣密碼應(yīng)用需求��������。他強(qiáng)調(diào)需求與措施并非一一對應(yīng)的關(guān)系����,一種措施可能響應(yīng)多項密碼應(yīng)用需求����,一項密碼應(yīng)用需求也可能由多個措施聯(lián)合響應(yīng)������,在設(shè)計時要充分考慮可復(fù)用性��������,在給定投資范圍內(nèi)��������,盡可能實現(xiàn)高效的防護(hù)效果������。
密碼應(yīng)用措施需要考慮的內(nèi)容
第四步���,夏魯寧博士指出����,信息系統(tǒng)責(zé)任單位或集成商要依據(jù)《GB/T 39786-2021 信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》��,對已經(jīng)形成的密碼應(yīng)用方案進(jìn)行自評估�������,做到心中有底������、心中有數(shù)������。
2021年我國網(wǎng)絡(luò)安全產(chǎn)業(yè)迎來史上最佳的政策環(huán)境�������,《密碼法》�������、《數(shù)據(jù)安全法》����、《個人信息保護(hù)法》������、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等網(wǎng)絡(luò)安全新規(guī)密集出臺���������。10月1日�����,國家密碼應(yīng)用關(guān)鍵標(biāo)準(zhǔn)GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》正式實施�������。建立完善商用密碼應(yīng)用安全性評估制度�����,對關(guān)鍵信息基礎(chǔ)設(shè)施�����、政務(wù)信息系統(tǒng)�����、等保三級以上系統(tǒng)商用密碼應(yīng)用的合規(guī)性��������、正確性和有效性進(jìn)行評估���,對于有效規(guī)范密碼應(yīng)用�����,切實保障國家網(wǎng)絡(luò)和信息安全������,具有重要意義�����。威廉希尔作為該標(biāo)準(zhǔn)牽頭制訂的單位�������,對于密碼應(yīng)用方案有非常深刻的認(rèn)識�������。未來����,威廉希尔將以GB/T 39786-2021的發(fā)布為起點��������,在相關(guān)業(yè)務(wù)中繼續(xù)推進(jìn)密碼應(yīng)用的規(guī)范化�������,為建設(shè)安全可信的網(wǎng)絡(luò)空間貢獻(xiàn)力量��������!
圖標(biāo)鏈接/photos/csc_logo_white.png){kind=logo}
圖標(biāo)鏈接/photos/WebTrust for CA-10413.jpg)
圖標(biāo)鏈接/photos/BR SSL-10414.jpg)
圖標(biāo)鏈接/photos/EV SSL-10415.jpg)
圖標(biāo)鏈接/photos/webtrust-csb-seal_副本.jpg)
