引言

密碼作為網絡空間安全體系的重要組成部分，是目前世界上公認的，保障網絡與信息安全最有效、最可靠、最經濟的關鍵核心技術，是網絡空間安全防護的“基因”和信任體系的基石。在商用密碼領域，國家出臺一系列法律法規(guī)、政策文件和標準規(guī)范，為各單位密碼應用建設與整改提供了方向和指南。

• 《中華人民共和國密碼法》

• 《國家政務信息化項目建設管理辦法》

• 《商用密碼管理條例》

• 《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》

綜合分析國內網絡安全領域法律法規(guī)和政策文件，政務信息系統(tǒng)、（非涉密）關鍵信息基礎設施、等保三級以上網絡應當開展密碼應用安全性評估（簡稱：“密評”）！ “密評”是重要領域網絡與信息系統(tǒng)運營者必須承擔的責任，很多單位在缺乏密評建設或整改措施的情況下直接進行密評，導致密評結果不合格，造成資金、人力等資源的浪費。

安盟信息作為領先的商用密碼應用解決方案供應商，結合成功的實踐經驗，總結了完成信息系統(tǒng)密評建設與整改的六個步驟，詳細內容如下。

步驟一：明確密評建設與整改目標

• 以系統(tǒng)的等保定級范圍作為密評的測評范圍，各單位需明確自身信息系統(tǒng)法律法規(guī)、政策文件和標準規(guī)范約束，確定信息系統(tǒng)密評建設與整改目標。

• 通過了解上級主管部門、所屬行業(yè)以及業(yè)務信息系統(tǒng)存儲、傳輸和處理數據性質等方面，確定自身需要遵從哪些合規(guī)要求。

如信息系統(tǒng)建設運營單位主要目的在于通過商用密碼技術加強自身網絡安全，需對自身安全需求進行詳細梳理，重點梳理用戶身份認證、數據加密傳輸和存儲方面的安全需求，以此明確密碼應用建設與整改的主要目標。

步驟二：信息系統(tǒng)調研

明確密碼應用建設和整改的主要目標后，要圍繞目標對自身信息系統(tǒng)開展詳細調研。調研的主要內容包括：

• 信息系統(tǒng)基本情況；

• 物理環(huán)境情況與物理安防設施；

• 拓撲圖與網絡結構描述；

• 已部署密碼產品或應用；

• 服務器、存儲設備、網絡設備、安全設備、數據庫管理系統(tǒng)情況；

• 關鍵業(yè)務應用情況；

• 關鍵數據情況等。

實際上密碼應用安全性評估信息系統(tǒng)調研的內容相當繁多復雜且有深度，很多運營單位調研工作不完善，為密評工作帶來了巨大麻煩。為了方便大家開展自身信息系統(tǒng)調研工作，安盟信息可為大家提供詳細的《信息系統(tǒng)密碼應用方案情況調研表》。

步驟三：密碼應用需求梳理

結合信息系統(tǒng)調研結果并對標GB/T 39786-2021《信息系統(tǒng)密碼應用基本要求》中的密碼應用要求，梳理信息系統(tǒng)密碼應用需求。信息系統(tǒng)建設運營單位可參照《信息系統(tǒng)密碼應用需求表》整理自身密碼應用需求。（下表主要考慮等保三級系統(tǒng)，且僅包括密碼技術要求部分。）

表中標紅的指標要求是高風險項，如果信息系統(tǒng)未能滿足高風險項而又無相關合規(guī)的替代或緩解措施，則很有可能被“一票否決”，導致密評不通過。

步驟四：密碼應用方案編制

• 針對密評建設/整改工程，制定密評方案要充分考慮信息系統(tǒng)現狀、密評合規(guī)要求、工程實施的現實可行性；

• 平衡成本與安全風險降低的收益，選擇最佳的技術路線；

• 按照有關部門提供的模板編制《XXX信息系統(tǒng)密碼應用方案》。

目前，安盟信息已總結了各行業(yè)、各種場景設定下的典型密碼應用方案模板以便用戶使用。

步驟五：密碼應用部署

按照密碼應用方案采購相關密碼產品和密碼應用系統(tǒng)，為避免造成浪費，現將目前主流的密碼產品的部署條件整理成下表。

步驟六：密碼應用安全性評估

在完成密碼應用方案編制和密評建設/整改實施后，需要密碼測評機構對信息系統(tǒng)進行密碼應用安全性評估（即密評）。

目前發(fā)布的密評機構有兩類，一類是各省市培育的密評機構，另一類是國家重要行業(yè)培育的密評機構，所有密評機構均可在全國開展密評業(yè)務。

安盟信息擁有一支經驗豐富的商用密碼領域的技術專家團隊，以自身特色的密碼技術產品體系為基礎，可根據客戶信息系統(tǒng)情況提供完善的密評建設方案，以及基于密評建設與整改的技術咨詢服務，為客戶提供全面、優(yōu)質的密碼應用和建設服務。