一、密評密改發(fā)展迅速，供需監(jiān)管三方發(fā)力

受到政策法規(guī)、標(biāo)準(zhǔn)測評以及工作考核要求落實(shí)等多方面推動，目前在全國各重要行業(yè)和領(lǐng)域正在如火如荼地開展密碼應(yīng)用建設(shè)，而且建設(shè)范圍逐步擴(kuò)大、建設(shè)深度逐步落實(shí)、建設(shè)速度急劇加速、建設(shè)要求日益規(guī)范，密評密改工作正在逐步落實(shí)并與各行業(yè)業(yè)務(wù)實(shí)際深度融合，發(fā)揮密碼技術(shù)在安全防護(hù)體系的底層支撐價值。

關(guān)鍵信息基礎(chǔ)設(shè)施（《關(guān)保條例》《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)要求》）、政務(wù)（政務(wù)57號文）、金融（金融140號文）、醫(yī)療（醫(yī)療1號文）、運(yùn)營商等重要行業(yè)領(lǐng)域紛紛發(fā)布工作要求和工作計(jì)劃，按照標(biāo)準(zhǔn)、測評和行業(yè)規(guī)范的要求穩(wěn)步推進(jìn)密評密改工作。隨著建設(shè)工作的深入推進(jìn)，密碼建設(shè)逐步實(shí)現(xiàn)體系化，從終端、鏈路、邊界、平臺和數(shù)據(jù)進(jìn)行全方位覆蓋，為生產(chǎn)系統(tǒng)、關(guān)鍵業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)提供貼身的安全防護(hù)能力，密碼防護(hù)建設(shè)要點(diǎn)由滿足合規(guī)要求轉(zhuǎn)向解決安全問題。體系化建設(shè)只是密碼保障能力建設(shè)的起點(diǎn)，建設(shè)完成需要在運(yùn)行階段對密碼應(yīng)用情況進(jìn)行實(shí)時的監(jiān)測，對密碼設(shè)備進(jìn)行統(tǒng)一的運(yùn)維監(jiān)管，保障密碼防護(hù)體系能夠發(fā)揮應(yīng)有的價值，為網(wǎng)絡(luò)安全建設(shè)提供有力的補(bǔ)充，同時解決過去密碼應(yīng)用建設(shè)“重建輕用”甚至“只建不用”的問題。

產(chǎn)業(yè)有序發(fā)展還離不開主管部門的有效監(jiān)管和協(xié)調(diào)推動?！睹艽a法》《商用密碼管理?xiàng)l例（征求意見稿）》里均明確了密碼主管部門的職責(zé)和權(quán)限?！皣颐艽a管理部門負(fù)責(zé)管理全國的商用密碼工作?？h級以上地方各級密碼管理部門負(fù)責(zé)管理本行政區(qū)域的商用密碼工作”?！皣医⑸逃妹艽a應(yīng)用促進(jìn)協(xié)調(diào)機(jī)制，加強(qiáng)對商用密碼應(yīng)用的統(tǒng)籌指導(dǎo)。國家機(jī)關(guān)和涉及商用密碼工作的單位在其職責(zé)范圍內(nèi)負(fù)責(zé)本機(jī)關(guān)、 本單位或者本系統(tǒng)的商用密碼應(yīng)用和安全保障工作”。

為協(xié)助主管部門更有效地開展密評工作和密碼管理的監(jiān)督、檢查、指導(dǎo)，密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會（簡稱密標(biāo)委）正在組織編制《商用密碼應(yīng)用安全性評估監(jiān)督檢查規(guī)范（征求意見稿）》《信息系統(tǒng)密碼安全管理體系（征求意見稿）》等標(biāo)準(zhǔn)規(guī)范，以規(guī)范監(jiān)督檢查工作的有序開展和密碼管理工作的規(guī)范落實(shí)。

二、技管并重、人機(jī)相輔，安盟信息助力構(gòu)建密評整改全環(huán)節(jié)支撐能力

目前，各地區(qū)各行業(yè)密碼應(yīng)用建設(shè)的體系化程度持續(xù)增高，所涉獵的信息系統(tǒng)數(shù)量、復(fù)雜性顯著提升，過去繁雜的測評過程和建設(shè)整改工作對用戶單位、運(yùn)營單位、密評機(jī)構(gòu)和支撐廠商造成了較大的負(fù)擔(dān)。

隨著密評密改的規(guī)劃性、標(biāo)準(zhǔn)化持續(xù)提升和完善，安盟信息與行業(yè)共同成長，形成了專業(yè)化的技術(shù)團(tuán)隊(duì)、簡便易用的技術(shù)工具、便捷好用的密碼產(chǎn)品和優(yōu)質(zhì)規(guī)范的交付物，能夠覆蓋密評密改工作開展的規(guī)劃、建設(shè)、運(yùn)行和監(jiān)管等各個環(huán)節(jié)，通過“人、技、物”協(xié)同配合，高效實(shí)現(xiàn)密評整改工作，降低用戶單位的人員成本、建設(shè)成本以及對日常工作的干擾。

（一）規(guī)劃階段

在規(guī)劃階段主要開展現(xiàn)狀調(diào)研、需求分析、方案編制和密評工作。安盟信息由專業(yè)的密碼咨詢團(tuán)隊(duì)支撐測評機(jī)構(gòu)對用戶的信息系統(tǒng)和業(yè)務(wù)流程進(jìn)行深入的調(diào)研分析和總結(jié)提煉，通過自研的安全風(fēng)險(xiǎn)分析工具和自測評工具識別信息系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)以及密碼應(yīng)用建設(shè)合規(guī)性、正確性、有效性方面的問題和差距，輸出差距分析報(bào)告和密碼應(yīng)用方案，指導(dǎo)信息系統(tǒng)的密碼應(yīng)用整改工作的實(shí)施建設(shè)。

• 人員團(tuán)隊(duì)：測評機(jī)構(gòu)、密碼咨詢團(tuán)隊(duì)

• 技術(shù)平臺：安全風(fēng)險(xiǎn)分析工具、密碼自測評工具

• 交付物：信息系統(tǒng)密碼應(yīng)用需求調(diào)研表、差距分析報(bào)告、密碼應(yīng)用方案

（二）建設(shè)階段

在建設(shè)階段主要開展密碼應(yīng)用建設(shè)和測評工作。安盟信息密碼交付團(tuán)隊(duì)聯(lián)合項(xiàng)目集成商、應(yīng)用系統(tǒng)開發(fā)商根據(jù)密碼應(yīng)用方案的設(shè)計(jì)思路編制密碼應(yīng)用建設(shè)的實(shí)施方案，開展密碼產(chǎn)品的實(shí)施交付工作。由于部分密碼防護(hù)功能需要與信息系統(tǒng)的業(yè)務(wù)功能和數(shù)據(jù)存儲進(jìn)行深度對接，系統(tǒng)開發(fā)商需要根據(jù)標(biāo)準(zhǔn)接口文檔對信息系統(tǒng)進(jìn)行密碼改造，在具體的業(yè)務(wù)環(huán)節(jié)中增加密碼防護(hù)功能。在此，為了降低信息系統(tǒng)對接多個設(shè)備的改造成本、屏蔽底層異構(gòu)設(shè)備的管理復(fù)雜性以及提升對于云環(huán)境的適配性，密碼服務(wù)平臺基于云原生架構(gòu)，提供統(tǒng)一的密碼中間件實(shí)現(xiàn)應(yīng)用系統(tǒng)的一站式對接，通過底層服務(wù)管理下多樣化密碼服務(wù)功能的靈活組合滿足不同應(yīng)用系統(tǒng)的密評合規(guī)要求。

• 人員團(tuán)隊(duì)：密碼交付團(tuán)隊(duì)、應(yīng)用系統(tǒng)開發(fā)團(tuán)隊(duì)

• 技術(shù)平臺：密碼服務(wù)平臺、密碼設(shè)備及密碼應(yīng)用系統(tǒng)

• 交付物：密碼應(yīng)用對接接口文檔、密碼應(yīng)用建設(shè)實(shí)施方案

（三）運(yùn)行階段

在運(yùn)行階段需要對密碼保障體系進(jìn)行日常運(yùn)維監(jiān)測，并支撐測評機(jī)構(gòu)的定期密評工作。密碼設(shè)備的專用性較強(qiáng)，運(yùn)維使用難度較大，部署位置覆蓋廣泛，為提升運(yùn)維效率，實(shí)時監(jiān)測密碼設(shè)備運(yùn)行狀態(tài)和密碼保障體系運(yùn)行情況，安盟信息提供密碼應(yīng)用監(jiān)測平臺，聯(lián)合建設(shè)的密碼服務(wù)平臺，從設(shè)備資產(chǎn)狀態(tài)和健康度、信息系統(tǒng)密評運(yùn)行情況、密碼防護(hù)體系整體監(jiān)測等角度對平臺側(cè)的密碼應(yīng)用系統(tǒng)以及終端、鏈路和邊界的密碼設(shè)備進(jìn)行集中監(jiān)測，協(xié)助信息系統(tǒng)運(yùn)營單位實(shí)時掌握運(yùn)行情況，從系統(tǒng)整體運(yùn)行角度識別潛在的密碼設(shè)備運(yùn)行風(fēng)險(xiǎn)和安全事件，進(jìn)行風(fēng)險(xiǎn)的預(yù)警報(bào)警；此外通過設(shè)備狀態(tài)和信息系統(tǒng)密評運(yùn)行情況的監(jiān)測和展示，能夠協(xié)助密評機(jī)構(gòu)開展定期測評，降低密評工作對用戶單位正常業(yè)務(wù)工作的影響，提升工作效率。

• 人員團(tuán)隊(duì)：密碼運(yùn)維支撐團(tuán)隊(duì)、用戶單位運(yùn)維團(tuán)隊(duì)

• 技術(shù)平臺：密碼服務(wù)平臺、密碼應(yīng)用監(jiān)測平臺（監(jiān)測版）

• 交付物：運(yùn)維保障制度、密碼運(yùn)行情況報(bào)表/報(bào)告（定期、按需）

（四）主管部門監(jiān)管

行業(yè)監(jiān)管是保障行業(yè)有序發(fā)展、工作有序落實(shí)的重要手段，密碼主管部門按照法規(guī)政策行使所轄區(qū)域的密碼工作的監(jiān)督、檢察和指導(dǎo)職責(zé)。為協(xié)助主管部門實(shí)時了解密碼工作開展情況，密碼應(yīng)用監(jiān)測平臺通過密碼建設(shè)可視化、密評項(xiàng)目管理、密評合規(guī)性檢查、密評指導(dǎo)、密評拓?fù)?、?shù)據(jù)報(bào)表等功能，能夠讓主管部門對所轄區(qū)域和行業(yè)的密碼應(yīng)用情況做到常態(tài)化監(jiān)管；重點(diǎn)項(xiàng)目開展情況和重要單位的工作成果進(jìn)行環(huán)節(jié)把控，實(shí)現(xiàn)績效考核和評優(yōu)定序；定期和按需輸出區(qū)域密碼工作態(tài)勢，支撐部門工作的總結(jié)和分析。

• 人員團(tuán)隊(duì)：駐場服務(wù)支撐團(tuán)隊(duì)、產(chǎn)品定制研發(fā)團(tuán)隊(duì)

• 技術(shù)平臺：密碼應(yīng)用監(jiān)測平臺（監(jiān)管版）、密評監(jiān)測工具/探針

• 交付物：區(qū)域/行業(yè)密碼應(yīng)用工作開展報(bào)告、密碼工作總體應(yīng)用態(tài)勢

三、人、技、物協(xié)同配合，實(shí)現(xiàn)密評密改提速增效

密碼應(yīng)用建設(shè)是一項(xiàng)專業(yè)化程度較高的系統(tǒng)性工作，涉及信息系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行各個階段，覆蓋終端、鏈路、應(yīng)用、設(shè)備、數(shù)據(jù)等信息系統(tǒng)的各個要素。要高效開展密評密碼工作，需要用戶單位、應(yīng)用開發(fā)商、密碼支撐單位、測評機(jī)構(gòu)和密碼主管部門多方配合、高效協(xié)同，安盟信息依托專業(yè)的人才團(tuán)隊(duì)、專用的技術(shù)工具、便捷的服務(wù)平臺、有效的監(jiān)管工具，輸出高質(zhì)量的交付物，能夠滿足各地區(qū)各行業(yè)密碼工作開展的要求，降低密評密改對用戶業(yè)務(wù)開展的影響。

安盟信息通過人員團(tuán)隊(duì)、技術(shù)平臺、交付物的有機(jī)結(jié)合和協(xié)同使用，采用人機(jī)相輔的工作開展模式，能夠協(xié)助區(qū)域行業(yè)密碼工作的規(guī)范建設(shè)和高速發(fā)展，聯(lián)合密評密改各關(guān)聯(lián)方，形成用戶單位主抓、業(yè)務(wù)廠商配合、產(chǎn)業(yè)單位服務(wù)、測評機(jī)構(gòu)支撐、主管部門長效監(jiān)管的協(xié)同發(fā)展格局，推動密碼行業(yè)在各行業(yè)各區(qū)域的高質(zhì)量發(fā)展。