推进国密改造，安恒信息助力密评“大考”

密码是保障网络与信息安全的核心技术和基础支撑，是解决网络与信息安全问题最有效、最可靠、最经济的手段，在我国革命、建设、改革各个历史时期，都发挥了不可替代的重要作用。

2022年，“密评”（即“商用密码应用安全性评估”）成了各行业关注的热词。在《密码法》的要求下，在国标《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）的指导下，各地各行业积极、严谨地开展密评工作，将是推动密码应用的良好开端。各行业纷纷出台了相关标准、要求，将密评工作提上日程，关键信息基础设施、政务信息系统、等保三级以上信息系统建设，都要“过密评”。

今天，安恒信息从密码专业领域来解读2022年商用密码安全性评估（简称“密评”）那些事儿。

1

什么是密评

商用密码应用安全性评估（简称“密评”）是指针对采用商用密码技术、产品和服务集成建设的网络和信息系统应用的合规性、正确性、有效性进行评估。

合规性：使用密码算法、密码协议、密钥管理符合国家法律法规和标准规定，密码产品或服务经过国家密码管理局核准和认证机构认证合格。

正确性：密码算法、密码协议、密钥管理、密码产品或服务使用正确，即按照密码相关的国家和行业标准进行正确设计和实现，密码产品和服务的部署、使用正确。

有效性：密码保障系统在系统运行过程中能够发挥实际效用，保障信息系统的安全需求，解决信息系统面临的安全问题。

2

遵循的技术标准

《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）是贯彻落实《中华人民共和国密码法》，指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准。中国密码学会密评联委会发布并持续更新依照GB/T 39786-2021开展密评的系列指导文件，目前包括5项：

01  GM/T 0115-2021《信息系统密码应用测评要求》

02  GM/T 0116-2021《信息系统密码应用测评过程指南》

03 《信息系统密码应用高风险判定指引》

04 《商用密码应用安全性评估量化评估规则》

05 《商用密码应用安全性评估报告模板（2021版）》

3

密评的基本要求和程序设计

范围要求

法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统并定期进行密评。

机构性质

密评机构应当经国家密码管理局认定，依法取得商用密码检测机构资质，且资质认定业务范围载明“商用密码应用安全性评估”。

实施要求

包含方案测评、系统测评、运营者支持配合义务、结果备案等。

信息系统密码应用基本要求

4

如何通过“密评”

需要从实际业务需求出发，根据GB/T 39786要求的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理制度、人员管理、建设运行及应急处置等层面，进行密码应用需求分析，规划密码应用方案，搭建符合密评要求的密码服务平台。

5

某省地矿院案例解析

安恒信息基于某省地矿院的实际业务需求，结合云平台架构情况，根据实际安全需求编制密码应用方案，并针对性选择密码产品实现方案中所述的密码应用措施，助力该省地矿院高分通过密评。

\  政策背景

● 国家要求：2019年12月30 日国办发布《国家政务信息化项目建设管理办法》要求：“同步规划、同步建设、同步运行密码保障系统并定期进行密码应用安全性评估”（三同步一评估）对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

● 公安部要求：2020年9月22日，公安部印发《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》要求：第三级及以上网络在规划、建设和运行阶段充分考虑符合要求的密码产品及服务，并在网络安全等保测评中同步开展商用密码应用安全性评估工作（三级系统要用密码过密评）

● 国家密码管理局要求：2020年8月20日发布的《商用密码管理条例(修订草案征求意见稿)》要求：非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，其运营者应当使用商用密码进行保护，同步规划、同步建设、同步运行商用密码保障系统，自行或委托商用密码检测机构开展商用密码应用安全性评估。

●国家密码管理局要求：《商用密码应用与安全性评估》第二章第十条关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

\  项目需求

● 根据云平台架构与业务系统需求，搭建密码资源池，建设统一的密码服务平台

● 需满足信息系统的商用密码应用安全性评估的要求。

● 各类密码服务能够满足不同系统的现状，尽可能避免业务系统改造。

● 需要实现对各租户密码资源的可视化管理，提升运维及管理工作效率。

\  解决方案

针对于政务云平台上多云、多机房、多系统的现状，统筹建设标准化、集约化的密码服务平台，在每朵云的机房内，各自部署密码资源池，通过密码能力的封装，向云上的各类系统提供多样化的密码服务，满足密评的要求，实现密码资源的统一管理与监管。

\  四大管理功能

● 租户权限分级管理：根据不同单位的权限划分，提供密码资源的权限分级设置，实现本单位内对密码服务平台的系统管理、服务管理、状态管理功能。

● 密码资源动态调度：聚焦业务需求，利用平台化手段实现密码能力的整合、复用，实现各类密码服务及密码计算资源按需分配、动态调度，灵活调整密码资源池中的密码资源与信息系统的对应关系，满足信息系统的签名/验签、加密/解密等密码需求。

● 资源状态监测预警：支持密码资源监测功能，能够准确度量密码服务平台的各项指标，量化说明CPU、带宽、硬盘等各个密码资源的使用情况；提供自动报警服务。

● 密码资源统计分析：能够根据不同用户单位的政务信息系统对各项密码服务的使用情况，提供平台运行态势的全景展示，并形成相关数据分析图表。

\  客户价值

●满足云上系统与云平台自身对于商用密码应用安全性评估的需求。

●构建了“集约化”的理念，减少了各单位为满足密码应用安全性评估的需要而重复投资密码基础设施，避免了安全系统的重复建设，节省密码应用领域的建设成本。

●提供了轻量化改造模式，能够应对多样化的信息系统，满足不同应用在密评上的需求，减少系统二次改造的成本。

支持弹性扩容，能满足功能不断扩展以及系统容量和用户数量不断增长的要求，使业务系统不会因将来内容和功能上的扩充而导致数据安全需求无法满足的情况。

\  四大效益

● 利用平台化手段实现密码能力的整合、复用，提供各类密码服务，实现密码资源按需分配、弹性扩容 。

● 通过建设标准统一、集约化的共性安全支撑平台，减少基础设施重复投资，避免安全系统重复建设。

● 实现密码业务的融合协同、应用的快速开发部署、安全的整体防护、资源的统一调配与管理，极大的降低了开发、运营和运维成本 。

● 通过统筹设计云上系统的密码安全体系，尽可能消除云平台信息系统的安全隐患，保障大数据行业运行质量和安全。

密码服务平台目前已经在多个地级市数据资源管理局得到应用和实践。通过密码服务平台建设，打造行业标杆项目，各省市的大数据资源管理局提供借鉴意义，进行广泛推广。包括推广至医疗、教育、金融等客户。

关于我们

安恒信息子公司弗兰科信息，专注于密码领域，聚焦密码功能服务，构建国密整体建设方案；以密码基础设施为依托，搭建密码产品体系；全面满足国家对信息系统的密码建设要求；为各类信息系统提供整体密码建设方案咨询、密码应用规划、实施运维等一体化服务和产品。

产品涵盖密码应用、密码服务平台、密码生态三个层面，广泛服务智慧城市、大数据、政务信息化领域，为政府组织、医疗、金融、互联网等20+行业提供国密完整解决方案。

参考文献：

1、《商用密码应用与安全性评估 》

2、GB/T39786-2021信息安全技术信息系统密码应用基本要求

3、《国家政务信息化项目建设管理办法》2019-12-30

4、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》2020-9-22

5、《商用密码管理条例(修订草案征求意见稿)》2020-8-20