附下载 | 图解密评联委会《商用密码应用安全性评估FAQ(第二版)》

密码作为保障数据安全的核心技术和基础支撑，已经渗透到社会生产生活的方方面面，在维护国家安全、促进经济社会发展、保护人民群众利益等方面发挥着不可替代的重要作用。近年来，我国陆续出台《密码法》、《商用密码管理条例（修订草案征求意见稿）》等法律法规，不断完善密码法治体系框架，要求重点领域和关键环节开展密码应用安全性评估（简称密评）。密评作为规范商用密码应用、发挥商用密码作用的必要手段，是支撑网络和数据安全发展、护航数字经济安全的基线要求。依据《密码法》等法律法规，按照相关工作安排，中国密码学会密评联委会修订了《商用密码应用安全性评估FAQ》，形成了《商用密码应用安全性评估FAQ（第二版）》，2022年8月发布，用于替代2021年12月发布的《商用密码应用安全性评估FAQ》。

FAQ是密评技术标准体系的有效补充。当下，密评所涉及的国标、行标、团标等技术标准体系已经逐步健全，密评推广工作正在如火如荼的开展。密评作为“数据安全之过程合规”的技术落地，需要和信息系统的支撑环境与业务应用等紧密结合，才能发挥出密码的安全价值。炼石认为，在各行业各场景的密评落地中，会遇到多种多样的实操层面问题，而现有的技术标准在遇到这些细节问题时需要更清晰明确的指引，因此由中国密码学会密评联委会官方发布的FAQ常见问题解答具有重要意义。从微观上，对用户单位、密评评测机构、密评改造厂商等的工作落实具有很高的实践参考价值。从宏观上，FAQ等这类持续改进的技术规范补充，有利于推动商用密码产业的做强做优做大。

一图胜千言。炼石通过图解形式分析了《商用密码应用安全性评估FAQ（第二版）》的26个常见问题，并根据官方解答示例绘制了部署场景等，希望能提升密评相关人员的交流与沟通效率。欢迎业界同仁共同探讨完善。

炼石网络是一家数据安全技术创新厂商，先后获得安天、国科嘉和、腾讯等投资，面向个人信息和商业数据保护等场景，开创自研“免改造数据安全”产品，以及DSM数据安全管理平台。炼石免改造数据安全夺得第七届互联网安全大会（ISC 2019）首届“创新独角兽沙盒大赛”总冠军，技术特色是免开发改造应用的数据保护、高性能国产密码和去标识化技术，为政府、金融、运营商、交通、教医旅、工业等用户提供个人信息保护、商业数据保护、DSM数据安全管理合规改造、国密合规改造。面向《密码法》《数据安全法》《个人信息保护法》等法律法规，企业重要数据与个人信息亟待提升防护水平与合规改造。炼石基于免改造数据安全技术，通过高覆盖率的数据控制点，横向覆盖广泛应用，纵向叠加发现识别、加密、去标识化、检测/响应、审计追溯等安全能力，有效保护结构化与非结构化数据，实现集中式管控、分布式保护，可应用在数据存储、使用、加工、传输、提供等环节。炼石方案可在不影响业务的前提下敏捷实施上线，将安全与业务在技术上解耦、但又在能力上融合交织，实现主体到应用内用户、客体到字段/文档级的有效保护，打造实战化数据安全防护体系。

微信号：炼石网络CipherGateway