国密应用及改造——测评篇

国密应用及改造——测评篇

发布时间：September 1, 2022

密码应用与密码系统测评是我国安全密码产业发展的一体两翼，正在国家政策和法律法规的积极引导下蓬勃发展。之前我们分析过了国密应用及改造的政策及标准，今天我们来着重讲一下密码应用与改造测评相关的内容。

什么是“密评”

"密评"全称是：商用密码应用安全性评估，是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。通过密评发现在网络和信息系统中商用密码应用中存在的问题与不足，为网络和信息系统的安全提供科学评价方法，逐步规范商用密码的使用和管理。

“密评”的对象

• 基础信息网络： 电信网、广播电视网、互联网；

• 涉及国计民生和基础信息资源的重要信息系统：能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统；

• 重要工业控制系统：核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统；

• 面向社会服务的政务信息系统：党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。

（注：关键信息基础设施、网络安全等级保护第三级及以上的信息系统，密码应用安全性评估每年至少一次。）

“密评”的工作内容

“密评”的测评工作是网络运营者组织专家或委托测评机构进行评估的一项工作。

对于新建系统需在系统规划阶段，可组织专家或委托测评机构进行评估；

对于已建系统需在系统建设完成后以及运行阶段，由测评机构进行评估。

“密评”的测评工作主要包括密码应用方案评估、测评准备、方案编制、现场测评、分析和报告编制五个环节。

“密评”的要点

根据此前讲的密评标准GB/T39786—2021《信息安全技术信息系统密码应用基本要求》，“密评”主要从管理要求和技术要求出发，围绕制度管理、人员管理、建设运行、应急处理、物理和环境、网络和通信、设备和计算、应用和数据八个维度进行评估。下图以密评3级为例，标出了“密评”的要点，供您参考。

密评项目中上海CA可以提供的服务

作为上海市密码管理局指定的7家商用密码应用安全性评估支撑单位之一，上海CA从2018年开始参与金融和重要领域国产密码应用试点工作，先后参与完成宝山区、松江区、上海市档案局、上海市应急管理局等多家单位的密码安全性评估试点工作，参与上海市级、区级政务云密码服务平台建设，打造密码服务运营平台，形成云化密码服务能力，在密码产品和安全密码服务方面具有丰厚的咨询、建设和运营经验。

上海CA可承担业务系统密码应用情况调研和前期规划评估、方案设计、辅助备案，以及改造实施过程中的软硬件部署配置、调试等工作，我们的商用密码安全服务团队还将在相应阶段根据项目实际情况为客户输出各种定制化解决方案。若您有相关需求或疑问，欢迎致电021-36393170咨询或探讨。