国密应用及改造——流程篇

国密应用及改造——流程篇

发布时间：September 18, 2022

国密应用及改造系列内容已经为大家科普了相关政策、标准及测评的内容。上一期，我们围绕商用密码应用安全性评估（以下简称“密评”）的对象、内容、流程、要点等进行了简单分享。今天我们分享的主要内容是国密应用及改造的流程，国密应用及改造通常紧贴“密评”相关要求展开，因而本次分享，我们将就“密评”流程做详细展开。

详探“密评”流程

上期我们讲到，“密评”工作主要流程依次为：①密码应用方案评估、②测评准备、③方案编制、④现场测评、⑤分析和报告编制五个环节。

1）密码应用方案评估活动

密码应用方案评估是根据系统的定级情况，审查系统密码应用设计方案或系统安全设计方案中密码应用设计部分密码防护措施是否满足密码使用要求或规定。针对新建系统，在系统规划阶段，网络运营者需编制密码应用建设方案方案编制完成后需经专家或测评机构评审

密码应用方案经评估，应上报主管部门审核，由密码管理部门备案。

2）测评准备活动

测评机构收集所需的测评资料，网络运营者提供、填写系统信息调研表。测评机构根据调研信息，分析调查结果，了解/熟悉被测系统的实际情况，及时完善调研内容，尽量确保调研信息的准确性，同时准备好测评工具。

3) 方案编制活动

测评机构根据被测系统的定级情况，结合GB/T39786—2021《信息安全技术信息系统密码应用基本要求》和信息系统密码测评要求，选择相应等级的基本要求项作为测评指标，并根据系统的实际情况确定不适用的测评指标。

根据调研的资产对象，确定测评对象，并将测评指标与测评对象进行映射，根据测评对象特征，确定测评防方法，开发测评作业指导书。合理选择测试接入点，分析系统内部密码算法、密码协议的应用合规性、正确性，分析提供的密码服务的有效性。

基于上述获取的信息，编制成密码测评方案。

4) 现场测评活动

通过访谈、配置核查、工具测试、实地察看、文档审查等手段，获取系统边界内所有实现密码算法、密码技术、密码产品、密码系统使用的实际情况，并进行记录，形成现场测评结果记录。

5）分析与报告编制活动

现场测评完成后，根据现场的测评结果记录进行分析，输出测评结果，并准备编制测评报告。“密评”的结论包括单项测评结论、单元测评结论、风险分析结论以及最终的评估结论。

实际推进流程

在信息系统“密评”工作的实际推进过程中，上海CA作为密码咨询方参与全流程的建设工作，提供全套的密评咨询、整改、实施等相关服务，为用户单位打造一站式过评体系，为应用系统通过密评保驾护航。

①系统差距分析：以相关标准文件为要求，对被测系统进行安全风险评估、排查，对信息系统进行密码应用的差距分析。

②密码应用方案设计：以相关标准文件为要求，结合行业特性要求、监管单位要求和密码安全业务需求进行系统方案设计与撰写。

③密码应用方案评审：协调密评检测机构，对《信息系统密码应用解决方案》进行专家评审或机构评审，并依据评审结论，对方案进行修订，完成方案最终评审。

④整改工作推进：梳理整改要点和实施改造要点，辅助集成商进行系统改造，使应用系统真正满足“密评”的相关要求。

⑤密评测评及项目验收：辅助用户完成密评测评全流程资料准备，配合用户与测评机构完成系统现场测评的相关工作，配合用户通过密评，获取密评报告。

密评项目中上海CA可提供的服务

作为上海市密码管理局指定的7家商用密码应用安全性评估支撑单位之一，上海CA从2018年开始参与金融和重要领域国产密码应用试点工作，先后参与完成宝山区、松江区、上海市档案局、上海市应急管理局等多家单位的密码安全性评估试点工作，参与上海市级、区级政务云密码服务平台建设，打造密码服务运营平台，形成云化密码服务能力，在密码产品和安全密码服务方面具有丰厚的咨询、建设和运营经验。

上海CA可承担业务系统密码应用情况调研和前期规划评估、方案设计、辅助备案，以及改造实施过程中的软硬件部署配置、调试等工作，我们的商用密码安全服务团队还将在相应阶段根据项目实际情况为客户输出各种定制化解决方案。若您有相关需求或疑问，欢迎致电021-36393170咨询或探讨。