引言

密碼作為網(wǎng)絡(luò)空間安全體系的重要組成部分，是目前世界上公認(rèn)的，保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟(jì)的關(guān)鍵核心技術(shù)，是網(wǎng)絡(luò)空間安全防護(hù)的“基因”和信任體系的基石。在商用密碼領(lǐng)域，國(guó)家出臺(tái)一系列法律法規(guī)、政策文件和標(biāo)準(zhǔn)規(guī)范，為各單位密碼應(yīng)用建設(shè)與整改提供了方向和指南。

• 《中華人民共和國(guó)密碼法》

• 《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》

• 《商用密碼管理?xiàng)l例》

• 《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》

綜合分析國(guó)內(nèi)網(wǎng)絡(luò)安全領(lǐng)域法律法規(guī)和政策文件，政務(wù)信息系統(tǒng)、（非涉密）關(guān)鍵信息基礎(chǔ)設(shè)施、等保三級(jí)以上網(wǎng)絡(luò)應(yīng)當(dāng)開(kāi)展密碼應(yīng)用安全性評(píng)估（簡(jiǎn)稱：“密評(píng)”）！ “密評(píng)”是重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營(yíng)者必須承擔(dān)的責(zé)任，很多單位在缺乏密評(píng)建設(shè)或整改措施的情況下直接進(jìn)行密評(píng)，導(dǎo)致密評(píng)結(jié)果不合格，造成資金、人力等資源的浪費(fèi)。

安盟信息作為領(lǐng)先的商用密碼應(yīng)用解決方案供應(yīng)商，結(jié)合成功的實(shí)踐經(jīng)驗(yàn)，總結(jié)了完成信息系統(tǒng)密評(píng)建設(shè)與整改的六個(gè)步驟，詳細(xì)內(nèi)容如下。

步驟一：明確密評(píng)建設(shè)與整改目標(biāo)

• 以系統(tǒng)的等保定級(jí)范圍作為密評(píng)的測(cè)評(píng)范圍，各單位需明確自身信息系統(tǒng)法律法規(guī)、政策文件和標(biāo)準(zhǔn)規(guī)范約束，確定信息系統(tǒng)密評(píng)建設(shè)與整改目標(biāo)。

• 通過(guò)了解上級(jí)主管部門、所屬行業(yè)以及業(yè)務(wù)信息系統(tǒng)存儲(chǔ)、傳輸和處理數(shù)據(jù)性質(zhì)等方面，確定自身需要遵從哪些合規(guī)要求。

如信息系統(tǒng)建設(shè)運(yùn)營(yíng)單位主要目的在于通過(guò)商用密碼技術(shù)加強(qiáng)自身網(wǎng)絡(luò)安全，需對(duì)自身安全需求進(jìn)行詳細(xì)梳理，重點(diǎn)梳理用戶身份認(rèn)證、數(shù)據(jù)加密傳輸和存儲(chǔ)方面的安全需求，以此明確密碼應(yīng)用建設(shè)與整改的主要目標(biāo)。

步驟二：信息系統(tǒng)調(diào)研

明確密碼應(yīng)用建設(shè)和整改的主要目標(biāo)后，要圍繞目標(biāo)對(duì)自身信息系統(tǒng)開(kāi)展詳細(xì)調(diào)研。調(diào)研的主要內(nèi)容包括：

• 信息系統(tǒng)基本情況；

• 物理環(huán)境情況與物理安防設(shè)施；

• 拓?fù)鋱D與網(wǎng)絡(luò)結(jié)構(gòu)描述；

• 已部署密碼產(chǎn)品或應(yīng)用；

• 服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)管理系統(tǒng)情況；

• 關(guān)鍵業(yè)務(wù)應(yīng)用情況；

• 關(guān)鍵數(shù)據(jù)情況等。

實(shí)際上密碼應(yīng)用安全性評(píng)估信息系統(tǒng)調(diào)研的內(nèi)容相當(dāng)繁多復(fù)雜且有深度，很多運(yùn)營(yíng)單位調(diào)研工作不完善，為密評(píng)工作帶來(lái)了巨大麻煩。為了方便大家開(kāi)展自身信息系統(tǒng)調(diào)研工作，安盟信息可為大家提供詳細(xì)的《信息系統(tǒng)密碼應(yīng)用方案情況調(diào)研表》。

步驟三：密碼應(yīng)用需求梳理

結(jié)合信息系統(tǒng)調(diào)研結(jié)果并對(duì)標(biāo)GB/T 39786-2021《信息系統(tǒng)密碼應(yīng)用基本要求》中的密碼應(yīng)用要求，梳理信息系統(tǒng)密碼應(yīng)用需求。信息系統(tǒng)建設(shè)運(yùn)營(yíng)單位可參照《信息系統(tǒng)密碼應(yīng)用需求表》整理自身密碼應(yīng)用需求。（下表主要考慮等保三級(jí)系統(tǒng)，且僅包括密碼技術(shù)要求部分。）

表中標(biāo)紅的指標(biāo)要求是高風(fēng)險(xiǎn)項(xiàng)，如果信息系統(tǒng)未能滿足高風(fēng)險(xiǎn)項(xiàng)而又無(wú)相關(guān)合規(guī)的替代或緩解措施，則很有可能被“一票否決”，導(dǎo)致密評(píng)不通過(guò)。

步驟四：密碼應(yīng)用方案編制

• 針對(duì)密評(píng)建設(shè)/整改工程，制定密評(píng)方案要充分考慮信息系統(tǒng)現(xiàn)狀、密評(píng)合規(guī)要求、工程實(shí)施的現(xiàn)實(shí)可行性；

• 平衡成本與安全風(fēng)險(xiǎn)降低的收益，選擇最佳的技術(shù)路線；

• 按照有關(guān)部門提供的模板編制《XXX信息系統(tǒng)密碼應(yīng)用方案》。

目前，安盟信息已總結(jié)了各行業(yè)、各種場(chǎng)景設(shè)定下的典型密碼應(yīng)用方案模板以便用戶使用。

步驟五：密碼應(yīng)用部署

按照密碼應(yīng)用方案采購(gòu)相關(guān)密碼產(chǎn)品和密碼應(yīng)用系統(tǒng)，為避免造成浪費(fèi)，現(xiàn)將目前主流的密碼產(chǎn)品的部署條件整理成下表。

步驟六：密碼應(yīng)用安全性評(píng)估

在完成密碼應(yīng)用方案編制和密評(píng)建設(shè)/整改實(shí)施后，需要密碼測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行密碼應(yīng)用安全性評(píng)估（即密評(píng)）。

目前發(fā)布的密評(píng)機(jī)構(gòu)有兩類，一類是各省市培育的密評(píng)機(jī)構(gòu)，另一類是國(guó)家重要行業(yè)培育的密評(píng)機(jī)構(gòu)，所有密評(píng)機(jī)構(gòu)均可在全國(guó)開(kāi)展密評(píng)業(yè)務(wù)。

安盟信息擁有一支經(jīng)驗(yàn)豐富的商用密碼領(lǐng)域的技術(shù)專家團(tuán)隊(duì)，以自身特色的密碼技術(shù)產(chǎn)品體系為基礎(chǔ)，可根據(jù)客戶信息系統(tǒng)情況提供完善的密評(píng)建設(shè)方案，以及基于密評(píng)建設(shè)與整改的技術(shù)咨詢服務(wù)，為客戶提供全面、優(yōu)質(zhì)的密碼應(yīng)用和建設(shè)服務(wù)。