“密评”改变密码应用管理流程，“密评机构”能否优化行业格局？

Original 李志勇与智慧做朋友 2022-08-17

—背景—

这两天清明节，每个人都沉浸在缅怀过去和祭奠故人的气氛中，我大中华之炎黄子孙就是这么的有文化和有信仰。作者也难得有整块时间对“密评”这个话题做个思考和整理。

按照《密码法》的要求，密评工作是密码应用和密码管理必不可少的重要组成部分。为了更好的强调和牵引这项工作，国家规定在没有通过密码评测的信息化项目即无法获得项目立项批复，也无法正常上线运行。这无不体现密码应用之于信息化和密码评测之于密码应用的重要性。为了保障和落实好密码应用和密码检测工作，确保密码应用的正确性、有效性、合法性，密码主管单位，一方面制定和发布详实的标准规范，一方面遴选出相对有能力的密码应用评测机构【密评机构】，这都为密码应用的广泛和有效开展奠定一个好的基础。

节前的一段时间里，作者跑了四五个省份，接触了几十家单位和数以百计的安全特别是密码行业从业者、用户以及多家密评机构，大家对密码应用特别是密评这项工作还存在较大认识差别，作者结合自身的感受和认知，给出自己的几点看法，仅供参考。

—几点看法—

1、密评是开展密码应用重要抓手，过密评绝不仅是目标，践行密评精神是核心

当下的密评之于用户是一项任务，之于密评单位是一项商业活，但是密评之于整个密码行业乃是促进发展的重要抓手。作为从业者和应用者，需要充分认识到这一点，完成密评任务可作为密码应用初步需求来落地，但过密评仅是落实“以密码技术为核心和基础支撑，融合其他安全技术共同构建安全环境”之国家要求的开始。

密评工作是检验密码应用阶段性成果的有效方法，其中“正确性、有效性、合法性”是重要的考量指标，无需赘述，按章办事即可。密评这项工作机制的设立，所反映的问题才是从业者需要好好思考的。作者认为“可信、可见、可证明、可传承”是对密评精神最好总结，也是开展密码应用甚至是安全建设最为根本的指导精神。详细说明请参考作者以往的文章。

2、密评机构虽然被定位测评，但整体咨询规划能力却被给予厚望

从密评机构的遴选过程即可看出，国家主管单位对密评机构的重视程度，也反映管理层面对密评机构促进密码应用寄予厚望。主管部门的相关深意作者无能揣摩，但是从现在整体的工作现状看，密码应用单位对于密评机构也是寄予厚望的。当下开展密码应用的单位以政府行业为多，在现行的中国体制下，选择有权力的部门开展对应工作是第一选择，所以密评机构在短时间内成为当下密码应用中的重要力量，迅速从仅做测评的定位发展到涉足密码应用全流程工作。这样的现状，改变了以往的产业格局【用户直接和密码企业开展对接工作】，在这个业务链中，密评单位肩负更重的责任，这也给密评单位在整体咨询规划能力上提出更高的要求。一个有权力，更有能力的密评机构在当下的密码行业中一定会取得骄人的成绩。

3、技术标准化，管理自控化是密码应用在用户端最关键的践行原则

随着密码技术标准化和检测认证水平的提高，技术和产品问题已经不在是影响密码应用最根本问题，唯技术论、唯产品论的时代已经过去，“三分靠技术、七分靠管理”的时代已经到来，这也是信创工作的基本要求。所以在当下的密码应用过程中，在用户端以强化密码管理水平和自控能力为核心原则，以适配自身管理和服务机制为重点工作，以开放技术标准为依赖手段，以整体提升自身服务能力为支撑能力为发展方向来开展工作。

在用户端进行密码应用建设，管理是核心、适配是关键。适配的过程就是与原有体系进行融合的过程，密码技术上存在通用的功能性产品，但是在密码管理上只存在框架性产品，融合生长过程才是密码管理落地最根本的工作。明白这一点，就能在密码应用过程中强化管理设计、强化适配开发、弱化技术依赖。

4、密码行业还处于起步阶段，“教育引导”是各项工作的核心

相对于信息化和网络安全从业者的数量和发展时长，密码行业无论从哪个角度讲都处于起步阶段。对于处于起步阶段的密码行业，行业快速发展、商业机会的获取，教育引导是第一位的。所以无论密评机构还是密码企业，教育引导都是自身最重要的工作内容，甚至是核心内容。也正是基于此，作者在密码应用设计原则中特别强化“可传承”的原则。

—几点建议—

1、密评单位需要快速提升能力，整合构建优质咨询服务队伍

目前，密评机构自身能力水平还存在巨大差距，还不能满足基本密评工作需要，更没有办法满足用户整体密码咨询的工作需要。这个能力问题对于密评单位是必须要解决的，否者其权力有可能也被取消。如何进行能力提升，如何提供优质的咨询服务，在作者以往的文章中都有说明，在此就不做赘述了。

2、完善密码管理技术支撑框架，快速生长各类适配组件

密码应用的核心是密码管理和适配，鉴于此，密码从业者或企业，需要构建密码管理技术的支撑框架【可被称为密码管理服务平台】，并以技术框架为基础不断丰富各种适配组件，和应用者的具体业务场景、管理场景、审查场景等进行衔接，一方面生长出各式各样的服务以适配场景需要，一方面融合发展出安全和应用的共生关系【打破以往安全作为业务的伴生关系】。

此项工作彰显水平和能力的关键，也是密码应用在用户端最重要的表现形式，也是用户管理密码和开展密码服务的重要抓手。

3、形成完善的教育培训体系，以咨询教育方式开展业务推进

作者以往的文章中多次提到教育的意义，对于处于起步阶段的密码行业，教育培训更是意义深远。作者一直在尝试着将自己的一些认知和感受形成一套完整的体系，特别是便于传播和普及的咨询教育培训体系，这样一方面发挥作者的价值，一方面能将行业的一些认知进行优化，将“可传承”的安全设计原则践行到位。

咨询教育是密码行业必须长线贯彻的工作，每一名从业者都应该置身其中，无论你资历与水平高低，只要有一技之长，不过作者强调咨询教育要做到“五有原则”【有理论、有方法论、有方案、有技术、有抓手】，相关内容见作者以往的文章。

总结：

密码行业迎来好的发展机遇，从业者需要正确把握；

密码行业过去经历了一些曲折，有众多误区和错误需要纠正；

密码行业要广泛发展，需要所有从业者立足创新、立足教育，播种希望；

密评机构，作为你密码行业重要的组成部分，要做到权力和能力匹配，创新的开展工作是不二之选。

【注：以上仅是作者肤浅认识，仅供参考】

参考文章

信息化规划和建设应贯彻“可传承”的原则