技管并重，人機相輔！安盟信息助力企業暢通密評之路

一、密評密改發展迅速，供需監管三方發力

受到政策法規、標準測評以及工作考核要求落實等多方面推動，目前在全國各重要行業和領域正在如火如荼地開展密碼應用建設，而且建設范圍逐步擴大、建設深度逐步落實、建設速度急劇加速、建設要求日益規范，密評密改工作正在逐步落實并與各行業業務實際深度融合，發揮密碼技術在安全防護體系的底層支撐價值。

關鍵信息基礎設施（《關保條例》《信息安全技術 關鍵信息基礎設施安全防護要求》）、政務（政務57號文）、金融（金融140號文）、醫療（醫療1號文）、運營商等重要行業領域紛紛發布工作要求和工作計劃，按照標準、測評和行業規范的要求穩步推進密評密改工作。隨著建設工作的深入推進，密碼建設逐步實現體系化，從終端、鏈路、邊界、平臺和數據進行全方位覆蓋，為生產系統、關鍵業務系統及核心數據提供貼身的安全防護能力，密碼防護建設要點由滿足合規要求轉向解決安全問題。體系化建設只是密碼保障能力建設的起點，建設完成需要在運行階段對密碼應用情況進行實時的監測，對密碼設備進行統一的運維監管，保障密碼防護體系能夠發揮應有的價值，為網絡安全建設提供有力的補充，同時解決過去密碼應用建設“重建輕用”甚至“只建不用”的問題。

產業有序發展還離不開主管部門的有效監管和協調推動?！睹艽a法》《商用密碼管理條例（征求意見稿）》里均明確了密碼主管部門的職責和權限?！皣颐艽a管理部門負責管理全國的商用密碼工作?？h級以上地方各級密碼管理部門負責管理本行政區域的商用密碼工作”?！皣医⑸逃妹艽a應用促進協調機制，加強對商用密碼應用的統籌指導。國家機關和涉及商用密碼工作的單位在其職責范圍內負責本機關、 本單位或者本系統的商用密碼應用和安全保障工作”。

為協助主管部門更有效地開展密評工作和密碼管理的監督、檢查、指導，密碼行業標準化技術委員會（簡稱密標委）正在組織編制《商用密碼應用安全性評估監督檢查規范（征求意見稿）》《信息系統密碼安全管理體系（征求意見稿）》等標準規范，以規范監督檢查工作的有序開展和密碼管理工作的規范落實。

二、技管并重、人機相輔，安盟信息助力構建密評整改全環節支撐能力

目前，各地區各行業密碼應用建設的體系化程度持續增高，所涉獵的信息系統數量、復雜性顯著提升，過去繁雜的測評過程和建設整改工作對用戶單位、運營單位、密評機構和支撐廠商造成了較大的負擔。

隨著密評密改的規劃性、標準化持續提升和完善，安盟信息與行業共同成長，形成了專業化的技術團隊、簡便易用的技術工具、便捷好用的密碼產品和優質規范的交付物，能夠覆蓋密評密改工作開展的規劃、建設、運行和監管等各個環節，通過“人、技、物”協同配合，高效實現密評整改工作，降低用戶單位的人員成本、建設成本以及對日常工作的干擾。

（一）規劃階段

在規劃階段主要開展現狀調研、需求分析、方案編制和密評工作。安盟信息由專業的密碼咨詢團隊支撐測評機構對用戶的信息系統和業務流程進行深入的調研分析和總結提煉，通過自研的安全風險分析工具和自測評工具識別信息系統的運行風險以及密碼應用建設合規性、正確性、有效性方面的問題和差距，輸出差距分析報告和密碼應用方案，指導信息系統的密碼應用整改工作的實施建設。

• 人員團隊：測評機構、密碼咨詢團隊

• 技術平臺：安全風險分析工具、密碼自測評工具

• 交付物：信息系統密碼應用需求調研表、差距分析報告、密碼應用方案

（二）建設階段

在建設階段主要開展密碼應用建設和測評工作。安盟信息密碼交付團隊聯合項目集成商、應用系統開發商根據密碼應用方案的設計思路編制密碼應用建設的實施方案，開展密碼產品的實施交付工作。由于部分密碼防護功能需要與信息系統的業務功能和數據存儲進行深度對接，系統開發商需要根據標準接口文檔對信息系統進行密碼改造，在具體的業務環節中增加密碼防護功能。在此，為了降低信息系統對接多個設備的改造成本、屏蔽底層異構設備的管理復雜性以及提升對于云環境的適配性，密碼服務平臺基于云原生架構，提供統一的密碼中間件實現應用系統的一站式對接，通過底層服務管理下多樣化密碼服務功能的靈活組合滿足不同應用系統的密評合規要求。

• 人員團隊：密碼交付團隊、應用系統開發團隊

• 技術平臺：密碼服務平臺、密碼設備及密碼應用系統

• 交付物：密碼應用對接接口文檔、密碼應用建設實施方案

（三）運行階段

在運行階段需要對密碼保障體系進行日常運維監測，并支撐測評機構的定期密評工作。密碼設備的專用性較強，運維使用難度較大，部署位置覆蓋廣泛，為提升運維效率，實時監測密碼設備運行狀態和密碼保障體系運行情況，安盟信息提供密碼應用監測平臺，聯合建設的密碼服務平臺，從設備資產狀態和健康度、信息系統密評運行情況、密碼防護體系整體監測等角度對平臺側的密碼應用系統以及終端、鏈路和邊界的密碼設備進行集中監測，協助信息系統運營單位實時掌握運行情況，從系統整體運行角度識別潛在的密碼設備運行風險和安全事件，進行風險的預警報警；此外通過設備狀態和信息系統密評運行情況的監測和展示，能夠協助密評機構開展定期測評，降低密評工作對用戶單位正常業務工作的影響，提升工作效率。

• 人員團隊：密碼運維支撐團隊、用戶單位運維團隊

• 技術平臺：密碼服務平臺、密碼應用監測平臺（監測版）

• 交付物：運維保障制度、密碼運行情況報表/報告（定期、按需）

（四）主管部門監管

行業監管是保障行業有序發展、工作有序落實的重要手段，密碼主管部門按照法規政策行使所轄區域的密碼工作的監督、檢察和指導職責。為協助主管部門實時了解密碼工作開展情況，密碼應用監測平臺通過密碼建設可視化、密評項目管理、密評合規性檢查、密評指導、密評拓撲、數據報表等功能，能夠讓主管部門對所轄區域和行業的密碼應用情況做到常態化監管；重點項目開展情況和重要單位的工作成果進行環節把控，實現績效考核和評優定序；定期和按需輸出區域密碼工作態勢，支撐部門工作的總結和分析。

• 人員團隊：駐場服務支撐團隊、產品定制研發團隊

• 技術平臺：密碼應用監測平臺（監管版）、密評監測工具/探針

• 交付物：區域/行業密碼應用工作開展報告、密碼工作總體應用態勢

三、人、技、物協同配合，實現密評密改提速增效

密碼應用建設是一項專業化程度較高的系統性工作，涉及信息系統的規劃、建設、運行各個階段，覆蓋終端、鏈路、應用、設備、數據等信息系統的各個要素。要高效開展密評密碼工作，需要用戶單位、應用開發商、密碼支撐單位、測評機構和密碼主管部門多方配合、高效協同，安盟信息依托專業的人才團隊、專用的技術工具、便捷的服務平臺、有效的監管工具，輸出高質量的交付物，能夠滿足各地區各行業密碼工作開展的要求，降低密評密改對用戶業務開展的影響。

安盟信息通過人員團隊、技術平臺、交付物的有機結合和協同使用，采用人機相輔的工作開展模式，能夠協助區域行業密碼工作的規范建設和高速發展，聯合密評密改各關聯方，形成用戶單位主抓、業務廠商配合、產業單位服務、測評機構支撐、主管部門長效監管的協同發展格局，推動密碼行業在各行業各區域的高質量發展。