技管并重，人机相辅！安盟信息助力企业畅通密评之路

一、密评密改发展迅速，供需监管三方发力

受到政策法规、标准测评以及工作考核要求落实等多方面推动，目前在全国各重要行业和领域正在如火如荼地开展密码应用建设，而且建设范围逐步扩大、建设深度逐步落实、建设速度急剧加速、建设要求日益规范，密评密改工作正在逐步落实并与各行业业务实际深度融合，发挥密码技术在安全防护体系的底层支撑价值。

关键信息基础设施（《关保条例》《信息安全技术 关键信息基础设施安全防护要求》）、政务（政务57号文）、金融（金融140号文）、医疗（医疗1号文）、运营商等重要行业领域纷纷发布工作要求和工作计划，按照标准、测评和行业规范的要求稳步推进密评密改工作。随着建设工作的深入推进，密码建设逐步实现体系化，从终端、链路、边界、平台和数据进行全方位覆盖，为生产系统、关键业务系统及核心数据提供贴身的安全防护能力，密码防护建设要点由满足合规要求转向解决安全问题。体系化建设只是密码保障能力建设的起点，建设完成需要在运行阶段对密码应用情况进行实时的监测，对密码设备进行统一的运维监管，保障密码防护体系能够发挥应有的价值，为网络安全建设提供有力的补充，同时解决过去密码应用建设“重建轻用”甚至“只建不用”的问题。

产业有序发展还离不开主管部门的有效监管和协调推动。《密码法》《商用密码管理条例（征求意见稿）》里均明确了密码主管部门的职责和权限。“国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作”。“国家建立商用密码应用促进协调机制，加强对商用密码应用的统筹指导。国家机关和涉及商用密码工作的单位在其职责范围内负责本机关、 本单位或者本系统的商用密码应用和安全保障工作”。

为协助主管部门更有效地开展密评工作和密码管理的监督、检查、指导，密码行业标准化技术委员会（简称密标委）正在组织编制《商用密码应用安全性评估监督检查规范（征求意见稿）》《信息系统密码安全管理体系（征求意见稿）》等标准规范，以规范监督检查工作的有序开展和密码管理工作的规范落实。

二、技管并重、人机相辅，安盟信息助力构建密评整改全环节支撑能力

目前，各地区各行业密码应用建设的体系化程度持续增高，所涉猎的信息系统数量、复杂性显著提升，过去繁杂的测评过程和建设整改工作对用户单位、运营单位、密评机构和支撑厂商造成了较大的负担。

随着密评密改的规划性、标准化持续提升和完善，安盟信息与行业共同成长，形成了专业化的技术团队、简便易用的技术工具、便捷好用的密码产品和优质规范的交付物，能够覆盖密评密改工作开展的规划、建设、运行和监管等各个环节，通过“人、技、物”协同配合，高效实现密评整改工作，降低用户单位的人员成本、建设成本以及对日常工作的干扰。

（一）规划阶段

在规划阶段主要开展现状调研、需求分析、方案编制和密评工作。安盟信息由专业的密码咨询团队支撑测评机构对用户的信息系统和业务流程进行深入的调研分析和总结提炼，通过自研的安全风险分析工具和自测评工具识别信息系统的运行风险以及密码应用建设合规性、正确性、有效性方面的问题和差距，输出差距分析报告和密码应用方案，指导信息系统的密码应用整改工作的实施建设。

• 人员团队：测评机构、密码咨询团队

• 技术平台：安全风险分析工具、密码自测评工具

• 交付物：信息系统密码应用需求调研表、差距分析报告、密码应用方案

（二）建设阶段

在建设阶段主要开展密码应用建设和测评工作。安盟信息密码交付团队联合项目集成商、应用系统开发商根据密码应用方案的设计思路编制密码应用建设的实施方案，开展密码产品的实施交付工作。由于部分密码防护功能需要与信息系统的业务功能和数据存储进行深度对接，系统开发商需要根据标准接口文档对信息系统进行密码改造，在具体的业务环节中增加密码防护功能。在此，为了降低信息系统对接多个设备的改造成本、屏蔽底层异构设备的管理复杂性以及提升对于云环境的适配性，密码服务平台基于云原生架构，提供统一的密码中间件实现应用系统的一站式对接，通过底层服务管理下多样化密码服务功能的灵活组合满足不同应用系统的密评合规要求。

• 人员团队：密码交付团队、应用系统开发团队

• 技术平台：密码服务平台、密码设备及密码应用系统

• 交付物：密码应用对接接口文档、密码应用建设实施方案

（三）运行阶段

在运行阶段需要对密码保障体系进行日常运维监测，并支撑测评机构的定期密评工作。密码设备的专用性较强，运维使用难度较大，部署位置覆盖广泛，为提升运维效率，实时监测密码设备运行状态和密码保障体系运行情况，安盟信息提供密码应用监测平台，联合建设的密码服务平台，从设备资产状态和健康度、信息系统密评运行情况、密码防护体系整体监测等角度对平台侧的密码应用系统以及终端、链路和边界的密码设备进行集中监测，协助信息系统运营单位实时掌握运行情况，从系统整体运行角度识别潜在的密码设备运行风险和安全事件，进行风险的预警报警；此外通过设备状态和信息系统密评运行情况的监测和展示，能够协助密评机构开展定期测评，降低密评工作对用户单位正常业务工作的影响，提升工作效率。

• 人员团队：密码运维支撑团队、用户单位运维团队

• 技术平台：密码服务平台、密码应用监测平台（监测版）

• 交付物：运维保障制度、密码运行情况报表/报告（定期、按需）

（四）主管部门监管

行业监管是保障行业有序发展、工作有序落实的重要手段，密码主管部门按照法规政策行使所辖区域的密码工作的监督、检察和指导职责。为协助主管部门实时了解密码工作开展情况，密码应用监测平台通过密码建设可视化、密评项目管理、密评合规性检查、密评指导、密评拓扑、数据报表等功能，能够让主管部门对所辖区域和行业的密码应用情况做到常态化监管；重点项目开展情况和重要单位的工作成果进行环节把控，实现绩效考核和评优定序；定期和按需输出区域密码工作态势，支撑部门工作的总结和分析。

• 人员团队：驻场服务支撑团队、产品定制研发团队

• 技术平台：密码应用监测平台（监管版）、密评监测工具/探针

• 交付物：区域/行业密码应用工作开展报告、密码工作总体应用态势

三、人、技、物协同配合，实现密评密改提速增效

密码应用建设是一项专业化程度较高的系统性工作，涉及信息系统的规划、建设、运行各个阶段，覆盖终端、链路、应用、设备、数据等信息系统的各个要素。要高效开展密评密码工作，需要用户单位、应用开发商、密码支撑单位、测评机构和密码主管部门多方配合、高效协同，安盟信息依托专业的人才团队、专用的技术工具、便捷的服务平台、有效的监管工具，输出高质量的交付物，能够满足各地区各行业密码工作开展的要求，降低密评密改对用户业务开展的影响。

安盟信息通过人员团队、技术平台、交付物的有机结合和协同使用，采用人机相辅的工作开展模式，能够协助区域行业密码工作的规范建设和高速发展，联合密评密改各关联方，形成用户单位主抓、业务厂商配合、产业单位服务、测评机构支撑、主管部门长效监管的协同发展格局，推动密码行业在各行业各区域的高质量发展。