说明:
当下谈及密码工作,“密评”、“密改”成为出现频率最高的词汇。也正是因为国家通过开展商用密码应用安全性评估的方式,很大程度上促进了密码应用的范围和效果,也在一定程度上拉动了商用密码产业的发展,“密评”对于商用密码应用的积极作用不言而喻。但,就目前从绝大部分密码应用建设单位、密码应用评测单位、密码应用改造供给单位对密评工作的意义认识和做法来看,阶段性、片面性、表面性、功利性等相关问题还普遍存在,这些问题与“以评促建”、“以评促改”、“以评促管”、“以评促强”的主旨目标和原则还是有很多相悖的地方,产生如此的结果对于刚刚起步的“密评”工作而言也属正常。
以作者看来,“密评”不应该从字面上去理解它的含义,而应从“密评”是一项商用密码应用开展整体工作抓手的层级上、并结合商用密码应用需遵循“四四原则”《》的层面去认识和开展这项工作。所以,本文所提及的“密评”绝对不是单单指密评单位所参与的工作类型,而是一种泛指,具体内容就不再详细说明了,大家尝试性去理解吧。
鉴于“密评”工作对商用密码应用工作的重要意义,及时总结和纠偏“密评”工作就成为从业者时常要开展的一项重要工作。本文就以作者的角度尝试性对“密评”工作做一点点分析,希望能对商用密码应用整体工作有一点点参考意义。
注:“密评”工作所取得的成绩是有目共睹的,本文对其赞美之词就免了,更多的文字还是放在对问题的总结和分析上吧。
1、国家通过各种手段明确“密评”工作的重要性,希望通过“以评促建”、“以评促改”、“以评促管”、“以评促强”来提升我国商用密码应用的整体能力,促使密码工作常态化。密评工作是密码应用建设单位、密码应用安全性评测单位、密码应用改造供给单位的工作抓手。
2、既然关乎商用密码应用的整体能力,在工作层面就应该满足“四四原则”《》,那些阶段性、片面性、产品性等层面的认识都是有欠缺的
3、“密评”工作关乎商用密码应用工作的全生命周期,任何阶段都有其价值体现形式,一切阶段性定位、通用性定位都是有失偏颇的4、“密评”工作最重要的核心问题应该聚焦对人密码应用能力的持续提升上,一切定位技术、产品、工程等都是错误的
5、密评强调的是一种工作思维,而不是一项具体的工作内容。既然是工作思维就需要从思想认识上、理论与方法上、解决方案上、体系保障上、落实抓手上都需要进行严密的设计和落实,重点强调整体性、持续性和完备性6、密评在落实层面必须坚守传承性、适配性、融合性,在效果上更应该追求实际功效
总之,必须从全局层面认识密评,并结合商用密码应用工作的特质特点来对待密评工作,才能充分发挥密评工作在商用密码应用工作中的重要作用。
密评工作虽然取得了不错的成绩,也引起了的较为广泛的关注,但,在具体落实过程中还存在如下的现状值得大家分析和面对:
1、国家为了鼓励密评工作的落实,从一开始就采用项目扶持的形式,导致密评在工作方向性上产生了一定项目侧重性2、密评工作在密码应用建设单位中的定位并没有达到工作抓手级别,没有充分认识其工作价值和意义,还仅仅作为一项工作任务对待,且呈现阶段性、局部性的特质3、密评单位在工作开展过程中,偏重项目性,对能力传承、体系融合、业务适配等层面侧重性不够
4、密评工作多为在明确政策、技术标准层面的落实,而对实效层面的落实缺失关注和手段5、密码应用供给单位,更关注产品、关注数量,在能力体系、业务传承、共生共长层面做的工作要少很多,商业化体系设计仍然体现短视的特点6、密评单位在体系运作上、能力供给上、格局定位上、方式方法上还存在不小的空间,特别是对商用密码应用产业氛围的营造更需要肩负重要的责任7、一锤子买卖、裁判员运动员关联等现象尚存,形式、面子、背书等性质的工作缘由依然存在,行业发展还需要参与单位的行业自律性和主管单位加大监督力度,行业环境需要持续净化8、个性化、场景化、专业化很强的一项工作,呈现出标准化、模式化、套路化的表现形式,有点降低商用密码应用行业的专业化形象,无形中也损害了行业的价值导向9、工作好坏优劣、能力高低好像缺失公正的衡量指标,很难形成激浊扬清、持续提升的体系保障。怎么着都行、怎么着都一样,这种状态着实不利于行业进步
10、因任务而任务,缺失对商用密码行业整体提升的机制保障,同时体现单打独斗,各自为政的工作现状,行业很难形成合力总之,国家开展“密评”工作站在全局提升商用密码应用价值的初衷,在执行过程中产生了不小的偏差,产生这些偏差其实也是可以理解的,并且原因也是多方面的,以作者看来《》一文中所提及的“小格局、小视野”也许是关键原因。希望从业这能对客观存在的问题做正确的总结和分析,虽然作者没有权力对这个行业指手划脚,但希望行业健康发展的初衷还是值得鼓励的。
密评工作关系商用密码应用的全局工作,为了能充分落实“以评促建”、“以评促改”、“以评促管”、“以评促强”的工作初衷,进一步体现密码技术是网络安全的核心技术和基础支撑,在大的层面落实网络安全、数据安全等相关国家战略贡献力量。在密评工作开展过程中可以酌情在如下几个层面做一些保障:1、有必要逐步形成由思想框架、理论框架、方法论体系、方案体系、落实抓手、智库保障组成的完整有机能力体系,做到“上拥顶(政策依据)、下拥情(实情保障)、中拥律(规律依托)”的有机行为逻辑体系2、形成可持续输出的能力传承体系,并提供有效的交付手段,把人能力的因素发挥到极致
3、设计与需方、供给方能持续共生、共长的保障机制和融合适配的共赢保障机制4、设计实效能力评价体系,能结合实际情况在实效层面给出相对客观的能力水平衡量
5、专业化、场景化要为密评工作的主线思路,实地设计落实是最基础的保障,杜绝模式化6、主管单位有必要有意识的引导基础共享,并在正本清源的层面要深入强化
7、在密评的工作原则上有必要坚守“四四原则”《》,在工作方法上有必要融合工作平台的理念《》8、要形成角色清晰的协同关系,建设单位、评测单位、供给单位、主管单位、从业者、公众能形成合力,在职能链条上也做必要的设计,请参考《》做好广义的密评工作,可以采取的方法有很多种,希望大家自行结合实际情况进行设计即可,只要把握在大视野、大格局的前提下提升自身的综合能力一定是正确的。
开展商用密码工作是落实国家安全战略的重要组成部分,“以评促建”又是国家主导的商业密码工作落实的基本思路为了能正确的落实工作,有效的理解“密评”成为必不可少的基础前提,并对当下的“密评”现状有比较清醒和客观的认识
本文以作者角度对密评的一些认识和当下现状做了一点分析和总结,并为后续做好密评工作给了几点建议
总之,密评工作意义重大,所有参与者都应该在大视野、大格局的前提下竭尽全力提升自身的综合能力才是正途。因为,在越明显、越透明的环境下开展工作,一切的其他操作都显得幼稚和无力。编辑:陈十九
审核:商密君
大家好,为了更好地促进同业间学术交流,商密君现开启征文活动,只要你对商用密码、网络安全、数据加密等有自己的独到见解和想法,都可以积极向商密君投稿,商密君一定将您的声音传递给更多的人。点击购买《2020-2021中国商用密码产业发展报告》
来源:与智慧做朋友
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。
还没有评论,来说两句吧...