+ + + + + + + + + + + 

近年來(lái)國(guó)家陸續(xù)發(fā)布《網(wǎng)絡(luò)安全法》、《密碼法》、《保守國(guó)家秘密法（修訂）》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《數(shù)據(jù)安全法》、《電子簽名法》、《商用密碼應(yīng)用安全性評(píng)估管理辦法》（試行）等，為網(wǎng)絡(luò)安全和密碼應(yīng)用提供了法律保障。

自2021年開(kāi)始，國(guó)家正式通過(guò)商用密碼應(yīng)用安全性評(píng)估（簡(jiǎn)稱“密評(píng)”），針對(duì)當(dāng)前密碼應(yīng)用不廣泛、不規(guī)范、不安全的現(xiàn)狀，大力促進(jìn)以國(guó)家認(rèn)可的密碼技術(shù)為基礎(chǔ)，以整體性、規(guī)范性和協(xié)同性為原則的密碼規(guī)范使用和管理，推動(dòng)科學(xué)規(guī)范的網(wǎng)絡(luò)安全密碼屏障體系盡快形成，保證密碼在網(wǎng)絡(luò)和信息系統(tǒng)中的有效使用，打造以密碼為基石的網(wǎng)絡(luò)空間新安全架構(gòu)，牢牢守住網(wǎng)絡(luò)安全最后一道防線。

商用密碼應(yīng)用安全評(píng)估與國(guó)家正在推進(jìn)實(shí)施的網(wǎng)絡(luò)安全等級(jí)保護(hù)、涉密信息系統(tǒng)分級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等一起共同構(gòu)成我國(guó)信息安全評(píng)估與管理的四項(xiàng)基本制度；除了密評(píng)本身對(duì)于密碼應(yīng)用安全提出系統(tǒng)性的要求，其他三項(xiàng)基本制度也都從各自角度分別對(duì)密碼安全應(yīng)用提出了明確的法定要求。

為此，根據(jù) GB/T 39786-2021的要求，結(jié)合密碼保障體系建設(shè)和服務(wù)的專業(yè)經(jīng)驗(yàn)，建議從數(shù)字轉(zhuǎn)型和網(wǎng)絡(luò)安全頂層設(shè)計(jì)出發(fā)，引入《密碼應(yīng)用服務(wù)中臺(tái)》為中心，對(duì)接全域密碼設(shè)備和服務(wù)，規(guī)劃建設(shè)統(tǒng)一的《密碼安全保障基礎(chǔ)平臺(tái)》，面向全域密碼應(yīng)用和管理，以全新的平臺(tái)化模式總成交付，通過(guò)對(duì)全域密碼應(yīng)用的全程追蹤、總體管控和統(tǒng)一服務(wù)，提高密碼應(yīng)用管理與服務(wù)的集約化和精細(xì)化水平，全面掌握密評(píng)合規(guī)和密碼應(yīng)用安全保障的主動(dòng)權(quán)，固本清源，切實(shí)守住網(wǎng)絡(luò)安全的最后一道防線。

+ + + + + 

密評(píng)最終目的是要系統(tǒng)性地推進(jìn)和規(guī)范全域密碼應(yīng)用，只有真正領(lǐng)會(huì)GB/T 39786-2021的要求，從密碼服務(wù)、應(yīng)用、管理同步進(jìn)行，實(shí)現(xiàn)對(duì)全域密碼應(yīng)用的全程追蹤、總體管控和統(tǒng)一服務(wù)，才能從根本上真正滿足密評(píng)合規(guī)所要求的整體性、協(xié)同性和規(guī)范性要求。實(shí)踐中需要切實(shí)把握規(guī)范化、體系化、主動(dòng)性和成長(zhǎng)性等幾個(gè)基本要?jiǎng)t：

· 規(guī)范化。選用國(guó)家認(rèn)可的密碼算法、技術(shù)、產(chǎn)品和服務(wù)，確保密碼服務(wù)可用。這一條涉及密評(píng)高風(fēng)險(xiǎn)項(xiàng)聚集的領(lǐng)域，需要首先保證。

 · 體系化。保持全域密碼應(yīng)用的全程追蹤和總體管控，確?？芍?、可管、可控。這一條涉及密評(píng)完備性和協(xié)同性，是克服密碼碎片化、避免疏漏的關(guān)鍵。

 · 成長(zhǎng)性。網(wǎng)絡(luò)信息系統(tǒng)是發(fā)展的，密改方案需支持動(dòng)態(tài)擴(kuò)展，確保其延續(xù)性。密評(píng)年檢制決定了密改的長(zhǎng)期性，必須在正確軌道上保持開(kāi)放敏捷性設(shè)計(jì)。

 · 主動(dòng)性。密評(píng)是手段，不是目標(biāo)，密改需要與數(shù)字轉(zhuǎn)型和網(wǎng)絡(luò)安全規(guī)劃融合。以密碼為內(nèi)生安全基因構(gòu)建網(wǎng)絡(luò)安全新體系，才是密評(píng)工作的真正目的，也是密評(píng)合規(guī)的底層邏輯。

綜上所述。需求分類歸納如下：

1. 規(guī)范完備的密碼服務(wù)功能體系

檢測(cè)定位不合格的密碼算法、技術(shù)、產(chǎn)品和服務(wù)，選配國(guó)家認(rèn)可的密碼算法、技術(shù)、產(chǎn)品和服務(wù)。比如具有國(guó)密型號(hào)的服務(wù)器密碼機(jī)/密碼卡、數(shù)字證書系統(tǒng)（CA）、簽名驗(yàn)簽服務(wù)器、時(shí)間戳服務(wù)器、協(xié)同簽名系統(tǒng)、電子簽章系統(tǒng)、安全認(rèn)證網(wǎng)關(guān)、SSL VPN/IPsec VPN、多因素認(rèn)證系統(tǒng)、統(tǒng)一認(rèn)證系統(tǒng)，以及具有工信部許可的CA電子認(rèn)證服務(wù)等等。滿足全域?qū)φ鎸?shí)性、機(jī)密性、完整性和不可否認(rèn)性等密碼服務(wù)保障能力的需求，構(gòu)成規(guī)范完整、科學(xué)專業(yè)的密碼服務(wù)功能體系。

2. 科學(xué)系統(tǒng)的密碼服務(wù)管理體系

針對(duì)全域的密碼應(yīng)用統(tǒng)一管理，除了基本信息的登記備案，還需要實(shí)現(xiàn)服務(wù)方、依賴方（調(diào)用方）和管理方三者及其相關(guān)策略的統(tǒng)一管理與協(xié)調(diào)一致，避免密碼服務(wù)在管理上出現(xiàn)漏洞。

3. 安全穩(wěn)定的密碼受控服務(wù)體系

對(duì)接全域密碼服務(wù)的功能和管理體系，按照設(shè)定的訪問(wèn)策略，面向密碼應(yīng)用方提供安全可控和穩(wěn)定高效的差異化密碼服務(wù)，在密碼產(chǎn)品安全合規(guī)的同時(shí)，確保全域密碼應(yīng)用體系的結(jié)構(gòu)性安全，并具備適當(dāng)?shù)膽?yīng)急保障能力。

4. 獨(dú)立權(quán)威的密碼服務(wù)數(shù)據(jù)體系

針對(duì)全域碎片化的密碼服務(wù)數(shù)據(jù)進(jìn)行匯總梳理和完整性保護(hù)，并針對(duì)密碼服務(wù)情況提供權(quán)威的查詢展示和審計(jì)服務(wù)。

5. 便捷高效的密碼服務(wù)運(yùn)行體系

全程跟蹤展示密碼應(yīng)用情況；保障平臺(tái)高質(zhì)量安全運(yùn)行；支持平臺(tái)運(yùn)營(yíng)日常維護(hù)以及用戶自助服務(wù)的極簡(jiǎn)高效；提供第三方開(kāi)發(fā)者二次開(kāi)發(fā)和仿真調(diào)測(cè)環(huán)境等。

6. 支持多樣化用戶終端場(chǎng)景

密碼客戶端需要適配多樣化用戶終端場(chǎng)景，比如手機(jī)、電腦、pad等終端設(shè)備；SDK、插件、APP、小程序、專用客戶端等終端軟件形態(tài)；支持外接USBKey或者內(nèi)置密碼軟件模塊；支持主流操作系統(tǒng)和信創(chuàng)平臺(tái)等等，確保用戶體驗(yàn)。

7. 支持靈活擴(kuò)展專項(xiàng)密碼應(yīng)用系統(tǒng)

要求無(wú)縫擴(kuò)展提供各種密碼類專項(xiàng)服務(wù)，滿足特定項(xiàng)目對(duì)于密碼服務(wù)的個(gè)性化定制。比如身份治理、電子簽署、電子合同、電子證照、電子存證等。

8. 支持基于密碼的網(wǎng)絡(luò)安全新體系

支持平滑演進(jìn)為電子認(rèn)證、零信任框架、區(qū)塊鏈網(wǎng)絡(luò)等以密碼為基石的網(wǎng)絡(luò)安全新體系，充分發(fā)揮密碼的核心基礎(chǔ)價(jià)值，守住新形勢(shì)下網(wǎng)絡(luò)安全的最后一道防線。

總之，密評(píng)不只是政策紅利和法定責(zé)任，以密碼為內(nèi)生安全基因構(gòu)建網(wǎng)絡(luò)安全新體系的未來(lái)已經(jīng)來(lái)到，責(zé)任單位盡早統(tǒng)籌規(guī)劃統(tǒng)一的密碼應(yīng)用安全保障體系，并據(jù)此安排分步實(shí)施落實(shí)，避免陷入“盲人摸象，欲速則不達(dá)”的誤區(qū)。

來(lái)源：數(shù)觀天下