本文來(lái)自微信公眾號(hào)“安全牛”。
隨著信息技術(shù)的飛速發(fā)展,數(shù)據(jù)安全問(wèn)題日益凸顯,商用密碼技術(shù)作為保護(hù)數(shù)據(jù)安全的重要手段,其應(yīng)用和推廣受到了廣泛關(guān)注。在《密碼法》、密評(píng)、《數(shù)據(jù)安全法》等一系列合規(guī)要求的驅(qū)動(dòng)下,在信創(chuàng)、云計(jì)算、AI、5G、物聯(lián)網(wǎng)等新興的ICT應(yīng)用場(chǎng)景下,商用密碼市場(chǎng)迎來(lái)了前所未有的發(fā)展機(jī)遇。
為了更好地了解商用密碼技術(shù)當(dāng)前在我國(guó)企業(yè)組織中的創(chuàng)新應(yīng)用情況,安全牛日前面向各行業(yè)甲方用戶開展了針對(duì)商用密碼技術(shù)創(chuàng)新應(yīng)用現(xiàn)狀的問(wèn)卷調(diào)查。本次調(diào)研通過(guò)線上方式開展,一共收回84份問(wèn)卷,其中有效問(wèn)卷63份(由甲方用戶的網(wǎng)絡(luò)安全、管理崗位相關(guān)人員填寫),涉及金融、制造、政府、能源、醫(yī)療衛(wèi)生、交通等行業(yè)。安全牛希望本次調(diào)查工作能夠在一定程度上反映出當(dāng)前我國(guó)商用密碼技術(shù)的創(chuàng)新應(yīng)用現(xiàn)狀,并為更多用戶在后續(xù)商用密碼技術(shù)應(yīng)用中提供可行的實(shí)施思路與建議。
以下是本次調(diào)研結(jié)果分享:
6成以上用戶已開展商密建設(shè)
(1)調(diào)研樣本行業(yè)覆蓋與分布
本次調(diào)研樣本的范圍,涵蓋了金融、制造、能源、政務(wù)、教育、醫(yī)療衛(wèi)生、計(jì)算機(jī)或互聯(lián)網(wǎng)等多個(gè)行業(yè)。
其中,從行業(yè)來(lái)看,金融行業(yè)用戶最多,占比27.4%,其次是制造業(yè)企業(yè)用戶。從企業(yè)類型來(lái)看,民營(yíng)企業(yè)用戶超過(guò)國(guó)央企和事業(yè)單位,占比最高,達(dá)到33.3%。從企業(yè)規(guī)模來(lái)看,42%的企業(yè)規(guī)模都在500人以下。
(2)商用密碼應(yīng)用建設(shè)現(xiàn)狀
根據(jù)調(diào)研,有超過(guò)60%的受訪用戶已經(jīng)開展了商用密碼技術(shù)相關(guān)的應(yīng)用與建設(shè),但其中絕大部分處于早期和部分應(yīng)用階段,而只有3.6%的受訪用戶進(jìn)入商業(yè)密碼的全面應(yīng)用階段,并通過(guò)密評(píng)。
(3)商用密碼應(yīng)用建設(shè)的出發(fā)點(diǎn)
調(diào)研結(jié)果顯示,86%的甲方用戶出于安全防護(hù)需求而考慮商用密碼應(yīng)用建設(shè),包括數(shù)據(jù)泄露風(fēng)險(xiǎn)、數(shù)據(jù)冒用風(fēng)險(xiǎn)、數(shù)據(jù)自主性需求、勒索攻擊的風(fēng)險(xiǎn);另有14%的用戶是出于密評(píng)要求。表明商用密碼技術(shù)在用戶側(cè)的建設(shè)和應(yīng)用,已不僅僅是以合規(guī)為出發(fā)點(diǎn),更多是以保護(hù)數(shù)據(jù)安全和數(shù)字業(yè)務(wù)發(fā)展安全為出發(fā)點(diǎn)。
核心業(yè)務(wù)系統(tǒng)是商密技術(shù)應(yīng)用的重點(diǎn)領(lǐng)域
(4)商用密碼應(yīng)用建設(shè)范圍及程度
調(diào)研發(fā)現(xiàn):八成以上的受訪用戶已選擇在與實(shí)際業(yè)務(wù)相關(guān)的信息系統(tǒng)中開展商密應(yīng)用建設(shè),特別是在核心業(yè)務(wù)信息系統(tǒng)和物理環(huán)境中,92%的受訪用戶已開展商密應(yīng)用建設(shè)。與此同時(shí),用戶在不同級(jí)別業(yè)務(wù)信息系統(tǒng)中的商密建設(shè)程度也并不相同,總體呈現(xiàn)出比較分散的特點(diǎn):
在物理環(huán)境方面,44%的受訪用戶應(yīng)用程度低于40%,顯示出用戶在物理環(huán)境的商密應(yīng)用建設(shè)方面相對(duì)較少;
在核心業(yè)務(wù)信息系統(tǒng)方面,近三成用戶的商密應(yīng)用建設(shè)程度達(dá)到了60%~90%,成為此項(xiàng)建設(shè)中的最高占比,反應(yīng)出用戶對(duì)核心業(yè)務(wù)信息系統(tǒng)進(jìn)行商密應(yīng)用建設(shè)的緊迫感;
其他如在一般業(yè)務(wù)信息系統(tǒng)、經(jīng)營(yíng)管理信息系統(tǒng)以及辦公信息系統(tǒng)方面,同類用戶中占比最高的均為商密應(yīng)用建設(shè)程度處于40%~60%,用戶數(shù)超過(guò)三成,再次表明一般業(yè)務(wù)信息系統(tǒng)、經(jīng)營(yíng)管理信息系統(tǒng)以及辦公信息系統(tǒng)的商密應(yīng)用建設(shè)的緊迫感僅次于核心業(yè)務(wù)信息系統(tǒng)。
可見,用戶在進(jìn)行商密應(yīng)用建設(shè)中,不僅會(huì)考量選擇哪些信息系統(tǒng)來(lái)實(shí)施,也會(huì)考量在相應(yīng)信息系統(tǒng)中實(shí)施多少比例的建設(shè)程度,這表明商用密碼技術(shù)應(yīng)用的市場(chǎng)規(guī)模具備超大想象空間。
(5)商用密碼應(yīng)用建設(shè)效果
調(diào)研顯示:在商用密碼應(yīng)用建設(shè)的硬件和軟件方面,有50%左右的用戶在可用性方面選擇了“能用”、在成熟度方面選擇了“一般”;在商用密碼應(yīng)用建設(shè)的服務(wù)和數(shù)據(jù)保護(hù)方面,有40%左右的用戶在可用性方面選擇了“能用”、在成熟度方面選擇了“一般”。表明我國(guó)商用密碼市場(chǎng)還有進(jìn)一步發(fā)展空間,用戶需要更好用、更成熟的技術(shù)、產(chǎn)品及方案。
場(chǎng)景化應(yīng)用是商密項(xiàng)目落地的主要挑戰(zhàn)
(6)商密項(xiàng)目建設(shè)的難點(diǎn)
調(diào)研發(fā)現(xiàn),商用密碼項(xiàng)目在建設(shè)過(guò)程中面臨的最大挑戰(zhàn)是場(chǎng)景化密碼的應(yīng)用,其次是核心業(yè)務(wù)的風(fēng)險(xiǎn)和安全等級(jí)劃分,以及多因素IT環(huán)境下的融合密碼方案規(guī)劃。這些難點(diǎn)的占比超過(guò)60%,將是未來(lái)商用密碼應(yīng)用發(fā)展的關(guān)鍵突破點(diǎn)。
(7)商密項(xiàng)目預(yù)算情況
調(diào)研數(shù)據(jù)顯示,超過(guò)50%的用戶在網(wǎng)絡(luò)安全建設(shè)中商密領(lǐng)域的建設(shè)預(yù)算占比超過(guò)了30%,另外有近20%的用戶,其商密建設(shè)費(fèi)用占到了網(wǎng)絡(luò)安全投入的50%及以上,表明商用密碼建設(shè)費(fèi)用在網(wǎng)絡(luò)安全整體預(yù)算中占比較高。
技術(shù)領(lǐng)先性和應(yīng)用靈活性是最受關(guān)注的選型因素
(8)商密項(xiàng)目熱門需求、建設(shè)方式、選型考量
調(diào)研顯示,甲方用戶對(duì)商用密碼軟件類產(chǎn)品和功能組件類的建設(shè)需求較高,占比約為50%,其他需求如硬件、系統(tǒng)級(jí)、服務(wù)類以及咨詢類也有一定比例。45%的甲方用戶傾向于自行建設(shè)商用密碼項(xiàng)目,這表明商用密碼項(xiàng)目在產(chǎn)品形態(tài)和建設(shè)方式上選擇空間很大,相應(yīng)的復(fù)雜度也較高。
在選擇合作供應(yīng)商時(shí),技術(shù)領(lǐng)先性和業(yè)務(wù)模式靈活性成為最受關(guān)注的選型因素,其次是產(chǎn)品線多元化和品牌知名度。用戶對(duì)于合作供應(yīng)商的訴求更多側(cè)重在技術(shù)產(chǎn)品的可信度和落地效果。
(9)商密產(chǎn)業(yè)發(fā)展挑戰(zhàn)及建議
26%的甲方用戶認(rèn)為耗費(fèi)人力和資金較多是影響發(fā)展的第一因素,其次是創(chuàng)新技術(shù)投入不足,表明用戶內(nèi)心期待能夠提升當(dāng)前商用密碼項(xiàng)目的投入產(chǎn)出比。
結(jié)語(yǔ)
本次調(diào)研發(fā)現(xiàn),無(wú)論是央國(guó)企還是民營(yíng)企業(yè)用戶,甚至是中小規(guī)模企業(yè),都普遍認(rèn)可商用密碼能夠解決數(shù)據(jù)安全方面的問(wèn)題,但對(duì)于如何在具體應(yīng)用場(chǎng)景下規(guī)劃商用密碼方案、如何融合新興IT基礎(chǔ)設(shè)施環(huán)境,是企業(yè)在開展商用密碼應(yīng)用建設(shè)時(shí)的必經(jīng)之路和關(guān)鍵挑戰(zhàn)。對(duì)本次調(diào)研中企業(yè)(金融行業(yè)占比最多)而言,更傾向于自行建設(shè)全套商用密碼體系,以降低投入、形成實(shí)效。在此過(guò)程中,會(huì)選擇與可信度高、技術(shù)領(lǐng)先的專業(yè)商密技術(shù)供應(yīng)商合作。