干货｜深度解读密评整改与建设六步骤

引言

密码作为网络空间安全体系的重要组成部分，是目前世界上公认的，保障网络与信息安全最有效、最可靠、最经济的关键核心技术，是网络空间安全防护的“基因”和信任体系的基石。在商用密码领域，国家出台一系列法律法规、政策文件和标准规范，为各单位密码应用建设与整改提供了方向和指南。

• 《中华人民共和国密码法》

• 《国家政务信息化项目建设管理办法》

• 《商用密码管理条例》

• 《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

综合分析国内网络安全领域法律法规和政策文件，政务信息系统、（非涉密）关键信息基础设施、等保三级以上网络应当开展密码应用安全性评估（简称：“密评”）！ “密评”是重要领域网络与信息系统运营者必须承担的责任，很多单位在缺乏密评建设或整改措施的情况下直接进行密评，导致密评结果不合格，造成资金、人力等资源的浪费。

安盟信息作为领先的商用密码应用解决方案供应商，结合成功的实践经验，总结了完成信息系统密评建设与整改的六个步骤，详细内容如下。

步骤一：明确密评建设与整改目标

• 以系统的等保定级范围作为密评的测评范围，各单位需明确自身信息系统法律法规、政策文件和标准规范约束，确定信息系统密评建设与整改目标。

• 通过了解上级主管部门、所属行业以及业务信息系统存储、传输和处理数据性质等方面，确定自身需要遵从哪些合规要求。

如信息系统建设运营单位主要目的在于通过商用密码技术加强自身网络安全，需对自身安全需求进行详细梳理，重点梳理用户身份认证、数据加密传输和存储方面的安全需求，以此明确密码应用建设与整改的主要目标。

步骤二：信息系统调研

明确密码应用建设和整改的主要目标后，要围绕目标对自身信息系统开展详细调研。调研的主要内容包括：

• 信息系统基本情况；

• 物理环境情况与物理安防设施；

• 拓扑图与网络结构描述；

• 已部署密码产品或应用；

• 服务器、存储设备、网络设备、安全设备、数据库管理系统情况；

• 关键业务应用情况；

• 关键数据情况等。

实际上密码应用安全性评估信息系统调研的内容相当繁多复杂且有深度，很多运营单位调研工作不完善，为密评工作带来了巨大麻烦。为了方便大家开展自身信息系统调研工作，安盟信息可为大家提供详细的《信息系统密码应用方案情况调研表》。

步骤三：密码应用需求梳理

结合信息系统调研结果并对标GB/T 39786-2021《信息系统密码应用基本要求》中的密码应用要求，梳理信息系统密码应用需求。信息系统建设运营单位可参照《信息系统密码应用需求表》整理自身密码应用需求。（下表主要考虑等保三级系统，且仅包括密码技术要求部分。）

表中标红的指标要求是高风险项，如果信息系统未能满足高风险项而又无相关合规的替代或缓解措施，则很有可能被“一票否决”，导致密评不通过。

步骤四：密码应用方案编制

• 针对密评建设/整改工程，制定密评方案要充分考虑信息系统现状、密评合规要求、工程实施的现实可行性；

• 平衡成本与安全风险降低的收益，选择最佳的技术路线；

• 按照有关部门提供的模板编制《XXX信息系统密码应用方案》。

目前，安盟信息已总结了各行业、各种场景设定下的典型密码应用方案模板以便用户使用。

步骤五：密码应用部署

按照密码应用方案采购相关密码产品和密码应用系统，为避免造成浪费，现将目前主流的密码产品的部署条件整理成下表。

步骤六：密码应用安全性评估

在完成密码应用方案编制和密评建设/整改实施后，需要密码测评机构对信息系统进行密码应用安全性评估（即密评）。

目前发布的密评机构有两类，一类是各省市培育的密评机构，另一类是国家重要行业培育的密评机构，所有密评机构均可在全国开展密评业务。

安盟信息拥有一支经验丰富的商用密码领域的技术专家团队，以自身特色的密码技术产品体系为基础，可根据客户信息系统情况提供完善的密评建设方案，以及基于密评建设与整改的技术咨询服务，为客户提供全面、优质的密码应用和建设服务。