2019年12月13日,全省政务云密码应用专题培训暨省商密协会第四次研讨会在南昌园中源大酒店顺利召开。本次培训班由江西省国家密码管理局主办,江西省商用密码应用协会承办,云上(江西)密码服务科技有限公司协办,宣传普及密码应用推进工作政策法规和相关业务知识,大力推动全省重要信息系统密码应用技术改造。
本次培训班由江西省国家密码管理局商密办主任钱志伟主持,参训人员为江西省各设区市密码局相关负责人、密码台账任务单位信息中心相关负责人、等级保护测评公司和省商密协会会员单位相关负责人,约150人。
江西省国家密码管理局总工程师陶亮贵在培训班上发表了致辞演讲,提出三点意见。
第一,统一思想,增强法制观念,密码是党和国家的命门、命脉,密码工作是党和国家的一项特殊重要事业,直接关系到国家政治安全、经济安全、国防安全、信息安全,在党领导我国革命、建设、改革的各个历史时期,都发挥了不可替代的重要作用。密码是目前世界上公认的,保障网络与信息安全最有效、最可靠、最经济的关键核心技术。在信息化高度发展的今天,密码的应用已经渗透到社会生产生活各个方面,从涉及政权安全的保密通信、军事指挥,到涉及国民经济的金融交易、防伪税控,再到涉及公民权益的电子支付、网上办事等等,密码都在背后发挥着基础支撑作用;
第二,学深学透,提升履职能力,全面认识了解密码法,了解密码应用的重要性,掌握信息系统密码应用技术,掌握政务云平台密码应用的要求,提高密码服务质量,让大家学有所获、学有所得、学有所用,不断提升商用密码应用的履职能力和水平;
第三,细化举措,确保工作落实,把学习宣传密码法当成当前重点任务,充分利用国家安全教育日、国家网络安全宣传周等,广泛开展形式多样的密码法宣传普及工作,同时让密码工作人员充分理解密码法相关规定,提高依法从事密码工作的能力和水平,在理清思路的基础上,制定既定的措施和办法,并全力推进密码应用工作,确保省委省政府布置的工作落到实处。
随后,国家信息安全工程技术研究中心高级工程师、国家密码行业标准化委员会副主任委员、国家密码管理局商用密码应用技术体系研究总体组组长刘平为各位学员讲解了《重要信息系统密码技术保障体系设计方法》。
他指出,凡是有机密性、真实性、完整性、非否认性安全需求的,都可以用密码技术解决,而密码技术真正发挥作用,需要供给方和需求方共同完成,密码供给方提供密码支撑、密码需求方实行密码应用,密码技术、密码支撑、密码应用共同作用,保障信息系统安全。他特别强调,为保护平台安全,设计密码解决方案,与应用无关的,需单独设计,密钥应统一管理,由平台自行管理;为平台上的应用,设计密码支撑方案,需遵循密码技术体系框架,确定密码基础设施,按照规划、归属和资源,选择密码支撑方式和方法。
他表示,每个应用(业务)系统都应设计自己的密码应用方案,按照GM/T 0054-2018 《信息系统密码应用基本要求》里的“应用与数据”要求,梳理业务自己的安全需求及重要数据,利用平台提供的密码支撑方式使用密码功能解决安全问题,业务系统中有管理对象的,要为其设计安全机制。他谈到,密码自身没有应用属性,要与应用结合,密码是给应用系统用的,安全要由应用实现;密码要让应用系统用好,应遵循密码技术体系;密码功能的规范使用,要靠标准,要按照0054的要求,但不能机械对标0054;密码是安全的核心基础支撑,但安全不是全靠密码。他现场还分享了“企业信用红黑库管理系统”“评标专家库管理系统”“电子印章对象”3个案例,深入浅出阐述如何做密码方案。
上海交通大学李继红博士则对明年1月1日即将实施的《中华人民共和国密码法》进行了详细的背景及政策解读,并对密码的安全性评估工作进行了重点的分析。
谈到国际网络安全形势,李博士指出,2003年后,美国、日本、欧盟等国家和组织先后推出网络空间安全战略和行动计划,我国于2016年发布《国家网络空间安全战略》;谈到国内网络安全形势,他指出,我国在现有芯片等硬件无法自主可控的情况下,依靠被动防护技术和密码技术建立了一张“安全防护网”。党和国家历来高度重视密码工作,始终将其作为维护国家安全和根本利益的一项基础性工作,面对国家安全的新形势,为了切实发挥密码在保障网络和信息系统安全中的核心支撑作用,我国已在多部法律法规中明确规定了密码应用的要求。随着密码法的颁布,不少业内人士表示密码行业“春天”到了。随后,他分章节详细剖析密码法。
针对密码的安全性评估工作,他表示,GM/T 0054-2018 《信息系统密码应用基本要求》提出总体要求、技术应用要求、密钥管理、安全管理要求等。他特别指出,在重要领域新建或改造信息系统的密评工作,涉及到规划、建设、运行三个阶段;密评的开展流程和等级保护测评的流程基本一致,但密评的测评对象专注于信息系统的密码应用。李博士还以“电子公文系统”为例现场分享了信息系统密码应用案例。
最后,省商用密码应用协会秘书长姜林海对于江西省政务云密码应用解决方案进行了详细的讲解和剖析。他表示江西省政务云依托全省电子政务外网统一网络平台,为各级党政部门的跨部门、综合性业务应用系统提供了基础平台支撑,而现阶段各级政务系统中普遍存在国产算法密码应用不合规、未使用或者使用不规范的问题,因此,政务云密码应用改造工作是紧迫而急切的。
他指出,由云上(江西)密码服务科技有限公司搭建政务云(省级)密码应用服务平台,能够保障政务云内系统在身份识别、安全隔离、信息加密、完整性保护、抗抵赖性等方面的密码防护,实现密码应用的合规性、正确性和有效性,为信息系统的安全可靠运行提供全面高效的密码支撑,满足《信息系统密码应用基本要求》的密码行业标准要求。
他同时提到,政务云(省级)密码应用服务平台有三大特点:第一,创新的云密码服务模式,平台建立统一的云密码服务平台,极大降低各单位使用密码服务的资金成本和技术成本;第二,形成政务云的密码服务体系建设模型,为其他省市政务云密码服务体系建设提供了可借鉴、可复制的模型样本;第三,构建以密码为基础支撑的政务云安全保障体系,通过密码科技创新突破核心关键技术,实现重要领域密码技术的自主可控。
江西省国家密码管理局商密办主任钱志伟对本次大会进行总结。他谈到,省信息中心托管了省直单位相当多的信息系统,对这些系统进行改造,如果是一个一个系统去改造的话,需要花费很大精力,有些都会重复建设,打造政务云(省级)密码应用服务平台后,能让全省各级信息系统密码改造更为方便。钱主任提出会议后参会人员需将大会上传递的精神向上级领导汇报,并组织密码法及相关知识的学习及宣传。
本次培训班的顺利举办是贯彻落实《金融和重要领域密码应用与创新发展工作规划(2018-2022)实施方案》的重要举措,推动了密码知识在省内重点人群中的普及,加快了江西省密码产业人才队伍的建设进度,促进了我省密码改造工作的顺利实施,提升了商用密码的社会影响力,确保《中华人民共和国密码法》在江西省的顺利落实。