公司新闻
2021太原网络安全高峰论坛 | 数字认证分享如何做好密码应用方案,筑基安全-b体育官网
10 月 19 日,以“新要求、新技术、新安全”为主题的2021太原网络安全高峰论坛在山西太原圆满落幕。本次论坛由山西省委网信办和太原市委网信办共同指导,太原市互联网协会和goupsec新媒体联合主办。中国工程院沈昌祥院士、信息安全与通讯保密理事会副会长郭守详、原太原市委宣传部副部长曹俊清、中共山西省委网信办相关负责人、太原市委网信办副主任武润林等政府主管部门领导及院士专家、知名企业以及山西行业组织、主流媒体代表,省内机关及企事业单位信息化、网络安全领域相关人员共同出席此次峰会。
北京数字认证股份有限公司研究院院长夏鲁宁博士受邀出席了本次论坛,并就密评合规性背景下“如何做好密码应用方案”的思路与方法论进行了分享。
演讲伊始,夏鲁宁博士表示,随着《密码法》等国家法规政策、指导意见相继出台,密码应用与安全性评估的合规性要求越来越清晰,做好密码应用方案是合规应用密码的良好开端。
接下来夏鲁宁博士分享了数字认证公司关于密码应用方案设计的方法论,强调紧扣用户业务,从厘清信息系统和业务脉络出发,分“四步走”编制密码应用方案——第一步,明确范围与保护对象;第二步,围绕各保护对象分析密码应用需求;第三步,针对需求设计密码应用措施,形成密码应用方案;第四步,结合标准进行密码应用方案自评估。
他详细阐述道,第一步,首先要明确系统包含的必一运动官网的业务范围和网络边界,然后执行数据分类分级,形成重要数据列表,最后通过梳理重要数据信息流向和承载实体(物理安全边界、计算环境)明确信息保护的对象。
第二步,针对上一环节梳理出的保护对象,逐一分析其风险水平,形成机密性、完整性、真实性、不可否认性4个方面的风险分析结果,然后根据风险水平并结合责任主体、成本、周期等因素,确定要响应的密码应用需求。
第三步,夏鲁宁博士表示密码应用技术和管理措施的设计,要紧扣密码应用需求。他强调需求与措施并非一一对应的关系,一种措施可能响应多项密码应用需求,一项密码应用需求也可能由多个措施联合响应,在设计时要充分考虑可复用性,在给定投资范围内,尽可能实现高效的防护效果。
密码应用措施需要考虑的内容
第四步,夏鲁宁博士指出,信息系统责任单位或集成商要依据《gb/t 39786-2021 信息安全技术 信息系统密码应用基本要求》,对已经形成的密码应用方案进行自评估,做到心中有底、心中有数。
2021年我国网络安全产业迎来史上最佳的政策环境,《密码法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等网络安全新规密集出台。10月1日,国家密码应用关键标准gb/t 39786-2021《信息安全技术 信息系统密码应用基本要求》正式实施。建立完善商用密码应用安全性评估制度,对关键信息基础设施、政务信息系统、等保三级以上系统商用密码应用的合规性、正确性和有效性进行评估,对于有效规范密码应用,切实保障国家网络和信息安全,具有重要意义。数字认证作为该标准牵头制订的单位,对于密码应用方案有非常深刻的认识。未来,数字认证将以gb/t 39786-2021的发布为起点,在相关业务中继续推进密码应用的规范化,为建设安全可信的网络空间贡献力量!