一、密评的由来与意义
在当前信息化时代,密码安全和信息保护成为了各行各业关注的重点。随着《中华人民共和国密码法》、《商用密码应用安全性评估管理办法》等法律法规的发布实施下,密评已经成为国家网络安全建设的第三大合规市场。密码厂商、密评(即“密码测评”)机构以及各行业中的甲方客户围绕密评这一主题展开讨论,不仅反映了对网络安全和数据隐私的高度重视,也体现了市场对于专业评估与标准合规性的需求。
二、密评与新职位:行业的驱动者
随着密评标准的逐步建立和完善,其对行业的影响愈发显著,促使出现新的职业角色发展。“密码应用安全性评估人员”(简称:密评人员)。新的职业在保障数据安全、合规性审查、密码评估等方面发挥关键作用,他们不仅要熟练密码学知识和技术,还要对相关法律法规有深入理解,成为连接技术与政策的桥梁。
三、密评行业发展的前景与新型领域融合
随着科技的飞速发展和全球化的加深,除了一些传统行业,金融、政务、云平台等。新的经济形态正在不断涌现。密评作为信息安全的核心支柱,在这些新兴领域中扮演着至关重要的角色,并为它们的安全性提供了强有力的保障。
低空经济:无人机与空中物流
低空经济正以迅猛的速度崛起,其中包括无人机配送、空中交通管理等应用。在这其中,数据安全尤为重要,涉及敏感信息的保护以及用户隐私的监管。密评技术不仅确保了通信过程中的数据不被泄露或篡改,还帮助构建了一套可信赖的安全机制,为低空经济提供稳定的基础。
智能车联网:自动驾驶与远程控制
随着无人驾驶和车辆共享等服务的发展,智能车联网成为了一个高风险、高收益的领域。密评在其中扮演着至关重要的角色,确保了车辆间的通信安全、数据隐私保护以及系统的可靠运行。通过实施严格的安全评估流程,可以有效预防网络攻击,保障驾驶员与乘客的安全。
人工智能(AI):数据分析与决策支持
在AI领域,海量数据的处理和分析需要高度可信的数据存储与计算环境。密评技术为AI系统提供了安全可靠的支撑,确保了数据在传输、存储及分析过程中的完整性、机密性和可用性。这不仅有助于提升AI系统的整体性能和效率,也增强了用户对AI应用的信任度。
这些都代表着密评行业发展的欣欣向荣,不可否认的是现在的全球经济环境都不太行,但是我们所看的是一个长期的发展观,密码应用最终会为数字经济支撑起来最牢的地基。
四、如何学习密评
相信很多行业或者刚刚毕业的大学生都有想来密评行业发展的,毕竟现在密评行业还算是很吃香的。目前整个行业的持证人员还不是很多,在还未入行的人来说,还算是蓝海经济。但是,在行业内来看其实已经在“卷”了。目前来说,还是要比其他的一些行业吃香的。作者本人也是一名从业者,经常在一些聊天的群里有人问“密评该怎么学?”“看不懂”“要看哪些东西”等这些问题。从入行到现在本人也是一路磕磕碰碰走来的,深知刚刚入行的同行们那种无奈。本人有幸参加过一些官方的培训活动,在会上听到官方和一些专家发言将的一些观点和逻辑结合自身的从业经验,跟大家一起聊一聊该如何利用官方的文件去学习密评,理清楚一些逻辑,方便大家自学。
我自绘了一张脑图,如观点有错,希望同行指出
从官方目前发的文件来看,这里分为“评估类”和“应用类”,这二类各有自己的顶层标准-GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》和GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》作为顶层设计。注明:在学这些标准前,大家还需要对一些基础的密码算法有认识,了解那些是高风险算法,算法分类等,但目前阶段不需要去深究里面的原理。
大家自学第一步是要了解整个密评的体系大概是怎么样,知道哪些文件是拿来做什么的,用于解决什么问题,如果一股脑的去看标准那只会造成事倍功半。
大家刚刚开始接触密评相比各位公司都是直接丢一大堆资料给你,大多数人都会让你把大白书看一遍。拿着书啃,两眼一抹黑,昏头昏脑的。
从官方发布的相关标准来说,大家第一步应该先看GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》这个标准,作为顶层标准之一的它,让大家知道第一级到第四级密码应用的基本要求,涵盖了物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等技术层面,以及管理制度、人员管理、建设运行和应急处置等管理层面的要求——大白话:让大家知道有哪些层面,咱们接触密评,那总要知道,他有哪些基本要求,要求哪些东西!他对每个级别的信息系统等级的层面做出来相关要求。
我这边拿出一个来举例
第三级物理与环境安全信息系统的密码应用基本要求——我们一条一条解析
我先来说一下“应”“宜”“可”三个的区别,其中开头“宜”想必大家第一次看这个标准可能不会注意这个东西,这个在FAQ中有说明,可-代表业主单位自行决定可测可不测,宜-情况有比较多的情况,简单来说,看有没有密码应用方案;
- 如果没有则默认纳入测评范围
- 如果有,且方案通过评估,方案中明确了不适用的“宜”的指标要求项,且有对应的风险控制措施说明的情况下。我们在去线下核实,有没有做到这个方案中的要求,做到了就可以不适用,反之正常测。
应-代表,如果有通过评估密码应用方案说明不纳入+线下核查没问题,其他情况全部纳入测评范围。
a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进人人员身份的真实性;
b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性;
c)宜采用密码技术保证视频监控音像记录数据的存储完整性;
d)以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格;
e)以上采用的密码产品,应达到GB/T37092二级及以上安全要求
其中
a,就是说你进机房要用密码技术去实现这个人员的鉴别,不能直接刷个人脸或者拿钥匙开门,具体怎么使用密码技术实现这个要求,目前我们不做解释。
b,它是说你进机房那个门禁系统的记录保存要用密码技术去保存,防止被黑客篡改,伪造身份,你不能直接保存在你的数据库中;
c,它是说机房里面那些摄像头监控的画面保存,你需要用密码技术做保存,防止被黑客篡改了视频记录,做伪证,你不能直接保存在你的磁盘中;
d,它是说如果你用的密码技术里面用到了一些密码服务,比如数字证书这类,那给你发证书的这个服务商应该要有认证的资质;
e,它是说,三级信息系统要用第二级及以上的密码产品,一级和二级系统要用一级及以上的密码产品,四级信息系统要用第三级及以上的密码产品。
大家再看39786国标的时候大概能明白这些意思,分几级,有哪些要去就行,光靠看就想记住是非常难得,你得结合实际项目去做学习,那样才能更好的记住和理解。---后面有时间我将会拿出实际项目给大家讲解一些。
按照我脑图中的规划,第二步应该学习GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》,这份标准是由GM/T 0115 《信息系统密码应用测评要求》升级而来,目前0115还没废除,可以二份文件相互补充看,内容大致都是一样的,国标只有修正了部分地方,使其更加严谨。
标准的开头给我们总结了这份文件是干嘛的,详细规定了密码应用的通用测评要求、技术测评要求和管理测评要求,以及整体测评要求、风险分析和评价、测评结论等内容。
大白话不就是在告诉我们测评的指标是什么,测评对象是什么、测评该分析什么。当然本人是有项目经验所以能这样快速分析出来给大家听。这里我就不展开给大家解读例子了,以后有机会我会继续解读。
看完前二个标准,你知道测评有哪些要求、测评对象是商密、测评指标什么、测评分析什么,那么下一步就是看怎么去做测评,测评流程是什么。
第三步 学习GM-T 0116-2021《信息系统密码应用测评过程指南》、《商用密码应用安全性评估测评工具指引》、《信息系统密码应用测评指导书》,其中,后二个官方文件暂时还没发布,但是作为测评机构本身应自身具备这二个文件,0116教你密评测评的流程是什么,工具指引教你如何使用工具去抓取分析证据、测评指导书教你如何取证、取哪些证据。
第四步 学习《商用密码应用安全性评估量化评估规则》,它教会你如何取算法,取量化你所测评的系统。
第五步 学习《信息系统密码应用高风险判定指引》,它教你哪些指标是高风险,是否能缓解,缓解措施是什么。
第六步 学习《商用密码应用安全性评估报告模板》,作为密评人员的最终交付物来了,密评报告,你需要去看密评报告整体是什么样的,怎么把上面哪些学的东西,贴合到报告里面去,模板里也有对应的地方。
第七步 学习《商用密码应用安全性评估FAQ(第三版)》,这分文件是集合各大密评机构在测评过程中共同遇到的问题,官方给的解决方法,给密评人员们参考的,它是贯穿整个密评的。
其实学完这七步,你应该对密评,有个大致的了解。在往下就需要大家去看一些地方和行业的特殊要求了,因为不同行业和地方有不同的要求,需要大家去了解学习,比如金融行业也有自己的测评要求。这些都是之后学习的内容,密评入行快,但是你学到后面发现要学习的标准太多了。
本文章是给哪些刚刚入行拿着标准不知道怎么看的同行们一个大体的学习方向,不同角度去学习密评,也有不同的逻辑,下期有计划给大家讲讲以从业者的角度去更快的学习密评。
转发请标明出处
下期见
安全智囊团
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
