信息化觀察網(wǎng)

網(wǎng)絡安全形勢所需：

1、網(wǎng)絡空間霸權主義依然存在：互聯(lián)網(wǎng)主根服務器位于美國，其他12個附屬根服務器中的9個在美國，剩余3個部署于美國盟國境內(nèi)，整體上互聯(lián)網(wǎng)是由美國霸權控制的網(wǎng)聯(lián)網(wǎng)。

2、敵對勢力意圖通過網(wǎng)絡扳倒中國的圖謀沒有改變：西方國家長期制造不利我國的輿論環(huán)境，不利情形短期內(nèi)難以扭轉(zhuǎn)。外國情報機構、黑客組織針對我國的網(wǎng)絡攻擊層出不窮。

3、關鍵技術受制于人：中興事件、華為事件，充分暴露出我國的網(wǎng)絡技術及其他信息安全領域的技術受制于人。

4、密碼技術不可控：密碼技術作為網(wǎng)絡安全基礎性核心技術，是信息保護和網(wǎng)絡信任體系建設的基礎，是保障網(wǎng)絡空間安全的關鍵技術。但前期通用的國際密碼算法頻繁被爆出漏洞。

所以：建設自主可控、安全領先、整體合規(guī)的密碼體系迫在眉睫

國家網(wǎng)絡安全戰(zhàn)略所需：

中共中央辦公廳 國務院辦公廳下發(fā)《金融和重要領域密碼應用與創(chuàng)新發(fā)展工作規(guī)劃（2018-2022年）》廳字【2018】36號 明確指出：

【密碼】是保障網(wǎng)絡安全的核心技術和基礎支撐，在維護國家安全、促進經(jīng)濟社會發(fā)展、保護人民群眾利益中發(fā)揮著不可替代的重要作用。并部署在金融和重要領域推進密碼全面應用，著力在構建自主可控信息技術體系中推進密碼優(yōu)先發(fā)展，構建以密碼技術為核心、多種技術相互融合的新網(wǎng)絡安全體系，建設以密碼基礎設施為支撐的新網(wǎng)絡安全環(huán)境。

全面提升密碼基礎支撐能力，進一步完善法規(guī)制度，促進密碼產(chǎn)業(yè)發(fā)展，規(guī)范密碼應用，加強事中事后監(jiān)管，完善密碼應用安全性評估審查機制，建立商用密碼測評認證和分類檢測體系。

所以：密碼應用和密碼測評成為落實國家網(wǎng)絡安全戰(zhàn)略的重要手段

法治所需：

我國社會全面進入法治社會，各行各業(yè)都需在法治框架下進行工作開展，信息化行業(yè)也不例外，《中華人民共和國網(wǎng)絡安全法》就是現(xiàn)行信息化建設特別是網(wǎng)絡安全工作的法律基礎。在此基礎上諸如《電子商務法》、《數(shù)據(jù)安全法》、《個人信息保護法》、《電子簽名法》、《密碼法》、《網(wǎng)絡安全等級保護條例》等相關法律都在頒布、修訂或制訂中。

其中所有的法律或條例都明確要求要采用密碼對系統(tǒng)、環(huán)境、數(shù)據(jù)等進行安全保護。

已經(jīng)頒布執(zhí)行的《密碼法》明確指出：

【國家推進密碼檢測認證體系建設，制定密碼檢測、認證規(guī)則。密碼檢測、認證機構應當依法取得相關資質(zhì)，并依照法律、法規(guī)的規(guī)定和密碼檢測、認證規(guī)則開展密碼檢測、認證。

國家對關鍵信息基礎設施的密碼應用安全性進行分類分級評估，按照國家安全審查的要求對影響或者可能影響國家安全的密碼產(chǎn)品、密碼相關服務和密碼保障系統(tǒng)進行安全審查?！?/p>

另外，《網(wǎng)絡安全等級保護條例》對于密碼更是做了詳實的要求說明，密碼要求涉及【物理環(huán)境、通信網(wǎng)絡、區(qū)域邊界、計算環(huán)境、管理中心、管理制度、管理機構、管理人員、建設管理、運維管理】十個方面，達到全覆蓋。同時對【云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)】這樣新型的應用形式給出了密碼應用要求。同時特別強調(diào)【在可能涉及法律責任認定的應用中，應采用密碼技術提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實現(xiàn)數(shù)據(jù)原發(fā)行為的抗抵賴和數(shù)據(jù)接收行為的抗抵賴】。

所以：密碼應用和密碼測評是落實《網(wǎng)絡安全法》，踐行依法治網(wǎng)重要保障

業(yè)務所需：

業(yè)務在安全技術層面重點涉及保密、完整、可靠，在體系層面涉及認證、授權、責任認定，在結果層面涉及真實、關聯(lián)、合法（業(yè)務需求【三三原則】），而這三個層面的實現(xiàn)保障手段非密碼技術莫屬，而密碼評測又是確實保障密碼技術在落實“三三原則”時是否達到合規(guī)、正確、有效的最可行方法（有明確的標準和規(guī)范）。

所以：密碼保障業(yè)務安全、密碼評測保障密碼體系完善，二者有機協(xié)同，才能建立完善的網(wǎng)絡安全環(huán)境。

總結：

密碼體系是網(wǎng)絡安全環(huán)境的基礎，密碼評測是密碼體系建設優(yōu)良最重要的考量，密碼應用與密碼評測工作同為網(wǎng)絡安全環(huán)境建設的重要部分，意義重大。希望從業(yè)者和應用者要重視密碼體系建設的同時，更要重視密碼評測工作，切實保障密碼體系能被合規(guī)建設、正確應用、管理無盲區(qū)，防止被誤導（當下太多的密碼體系建設瑕疵太多，市場痕跡太重）。