一、密評密改發(fā)展迅速，供需監(jiān)管三方發(fā)力

受到政策法規(guī)、標準測評以及工作考核要求落實等多方面推動，目前在全國各重要行業(yè)和領域正在如火如荼地開展密碼應用建設，而且建設范圍逐步擴大、建設深度逐步落實、建設速度急劇加速、建設要求日益規(guī)范，密評密改工作正在逐步落實并與各行業(yè)業(yè)務實際深度融合，發(fā)揮密碼技術在安全防護體系的底層支撐價值。

關鍵信息基礎設施（《關保條例》《信息安全技術 關鍵信息基礎設施安全防護要求》）、政務（政務57號文）、金融（金融140號文）、醫(yī)療（醫(yī)療1號文）、運營商等重要行業(yè)領域紛紛發(fā)布工作要求和工作計劃，按照標準、測評和行業(yè)規(guī)范的要求穩(wěn)步推進密評密改工作。隨著建設工作的深入推進，密碼建設逐步實現(xiàn)體系化，從終端、鏈路、邊界、平臺和數(shù)據(jù)進行全方位覆蓋，為生產(chǎn)系統(tǒng)、關鍵業(yè)務系統(tǒng)及核心數(shù)據(jù)提供貼身的安全防護能力，密碼防護建設要點由滿足合規(guī)要求轉向解決安全問題。體系化建設只是密碼保障能力建設的起點，建設完成需要在運行階段對密碼應用情況進行實時的監(jiān)測，對密碼設備進行統(tǒng)一的運維監(jiān)管，保障密碼防護體系能夠發(fā)揮應有的價值，為網(wǎng)絡安全建設提供有力的補充，同時解決過去密碼應用建設“重建輕用”甚至“只建不用”的問題。

產(chǎn)業(yè)有序發(fā)展還離不開主管部門的有效監(jiān)管和協(xié)調(diào)推動?！睹艽a法》《商用密碼管理條例（征求意見稿）》里均明確了密碼主管部門的職責和權限。“國家密碼管理部門負責管理全國的商用密碼工作?？h級以上地方各級密碼管理部門負責管理本行政區(qū)域的商用密碼工作”?！皣医⑸逃妹艽a應用促進協(xié)調(diào)機制，加強對商用密碼應用的統(tǒng)籌指導。國家機關和涉及商用密碼工作的單位在其職責范圍內(nèi)負責本機關、 本單位或者本系統(tǒng)的商用密碼應用和安全保障工作”。

為協(xié)助主管部門更有效地開展密評工作和密碼管理的監(jiān)督、檢查、指導，密碼行業(yè)標準化技術委員會（簡稱密標委）正在組織編制《商用密碼應用安全性評估監(jiān)督檢查規(guī)范（征求意見稿）》《信息系統(tǒng)密碼安全管理體系（征求意見稿）》等標準規(guī)范，以規(guī)范監(jiān)督檢查工作的有序開展和密碼管理工作的規(guī)范落實。

二、技管并重、人機相輔，安盟信息助力構建密評整改全環(huán)節(jié)支撐能力

目前，各地區(qū)各行業(yè)密碼應用建設的體系化程度持續(xù)增高，所涉獵的信息系統(tǒng)數(shù)量、復雜性顯著提升，過去繁雜的測評過程和建設整改工作對用戶單位、運營單位、密評機構和支撐廠商造成了較大的負擔。

隨著密評密改的規(guī)劃性、標準化持續(xù)提升和完善，安盟信息與行業(yè)共同成長，形成了專業(yè)化的技術團隊、簡便易用的技術工具、便捷好用的密碼產(chǎn)品和優(yōu)質規(guī)范的交付物，能夠覆蓋密評密改工作開展的規(guī)劃、建設、運行和監(jiān)管等各個環(huán)節(jié)，通過“人、技、物”協(xié)同配合，高效實現(xiàn)密評整改工作，降低用戶單位的人員成本、建設成本以及對日常工作的干擾。

（一）規(guī)劃階段

在規(guī)劃階段主要開展現(xiàn)狀調(diào)研、需求分析、方案編制和密評工作。安盟信息由專業(yè)的密碼咨詢團隊支撐測評機構對用戶的信息系統(tǒng)和業(yè)務流程進行深入的調(diào)研分析和總結提煉，通過自研的安全風險分析工具和自測評工具識別信息系統(tǒng)的運行風險以及密碼應用建設合規(guī)性、正確性、有效性方面的問題和差距，輸出差距分析報告和密碼應用方案，指導信息系統(tǒng)的密碼應用整改工作的實施建設。

• 人員團隊：測評機構、密碼咨詢團隊

• 技術平臺：安全風險分析工具、密碼自測評工具

• 交付物：信息系統(tǒng)密碼應用需求調(diào)研表、差距分析報告、密碼應用方案

（二）建設階段

在建設階段主要開展密碼應用建設和測評工作。安盟信息密碼交付團隊聯(lián)合項目集成商、應用系統(tǒng)開發(fā)商根據(jù)密碼應用方案的設計思路編制密碼應用建設的實施方案，開展密碼產(chǎn)品的實施交付工作。由于部分密碼防護功能需要與信息系統(tǒng)的業(yè)務功能和數(shù)據(jù)存儲進行深度對接，系統(tǒng)開發(fā)商需要根據(jù)標準接口文檔對信息系統(tǒng)進行密碼改造，在具體的業(yè)務環(huán)節(jié)中增加密碼防護功能。在此，為了降低信息系統(tǒng)對接多個設備的改造成本、屏蔽底層異構設備的管理復雜性以及提升對于云環(huán)境的適配性，密碼服務平臺基于云原生架構，提供統(tǒng)一的密碼中間件實現(xiàn)應用系統(tǒng)的一站式對接，通過底層服務管理下多樣化密碼服務功能的靈活組合滿足不同應用系統(tǒng)的密評合規(guī)要求。

• 人員團隊：密碼交付團隊、應用系統(tǒng)開發(fā)團隊

• 技術平臺：密碼服務平臺、密碼設備及密碼應用系統(tǒng)

• 交付物：密碼應用對接接口文檔、密碼應用建設實施方案

（三）運行階段

在運行階段需要對密碼保障體系進行日常運維監(jiān)測，并支撐測評機構的定期密評工作。密碼設備的專用性較強，運維使用難度較大，部署位置覆蓋廣泛，為提升運維效率，實時監(jiān)測密碼設備運行狀態(tài)和密碼保障體系運行情況，安盟信息提供密碼應用監(jiān)測平臺，聯(lián)合建設的密碼服務平臺，從設備資產(chǎn)狀態(tài)和健康度、信息系統(tǒng)密評運行情況、密碼防護體系整體監(jiān)測等角度對平臺側的密碼應用系統(tǒng)以及終端、鏈路和邊界的密碼設備進行集中監(jiān)測，協(xié)助信息系統(tǒng)運營單位實時掌握運行情況，從系統(tǒng)整體運行角度識別潛在的密碼設備運行風險和安全事件，進行風險的預警報警；此外通過設備狀態(tài)和信息系統(tǒng)密評運行情況的監(jiān)測和展示，能夠協(xié)助密評機構開展定期測評，降低密評工作對用戶單位正常業(yè)務工作的影響，提升工作效率。

• 人員團隊：密碼運維支撐團隊、用戶單位運維團隊

• 技術平臺：密碼服務平臺、密碼應用監(jiān)測平臺（監(jiān)測版）

• 交付物：運維保障制度、密碼運行情況報表/報告（定期、按需）

（四）主管部門監(jiān)管

行業(yè)監(jiān)管是保障行業(yè)有序發(fā)展、工作有序落實的重要手段，密碼主管部門按照法規(guī)政策行使所轄區(qū)域的密碼工作的監(jiān)督、檢察和指導職責。為協(xié)助主管部門實時了解密碼工作開展情況，密碼應用監(jiān)測平臺通過密碼建設可視化、密評項目管理、密評合規(guī)性檢查、密評指導、密評拓撲、數(shù)據(jù)報表等功能，能夠讓主管部門對所轄區(qū)域和行業(yè)的密碼應用情況做到常態(tài)化監(jiān)管；重點項目開展情況和重要單位的工作成果進行環(huán)節(jié)把控，實現(xiàn)績效考核和評優(yōu)定序；定期和按需輸出區(qū)域密碼工作態(tài)勢，支撐部門工作的總結和分析。

• 人員團隊：駐場服務支撐團隊、產(chǎn)品定制研發(fā)團隊

• 技術平臺：密碼應用監(jiān)測平臺（監(jiān)管版）、密評監(jiān)測工具/探針

• 交付物：區(qū)域/行業(yè)密碼應用工作開展報告、密碼工作總體應用態(tài)勢

三、人、技、物協(xié)同配合，實現(xiàn)密評密改提速增效

密碼應用建設是一項專業(yè)化程度較高的系統(tǒng)性工作，涉及信息系統(tǒng)的規(guī)劃、建設、運行各個階段，覆蓋終端、鏈路、應用、設備、數(shù)據(jù)等信息系統(tǒng)的各個要素。要高效開展密評密碼工作，需要用戶單位、應用開發(fā)商、密碼支撐單位、測評機構和密碼主管部門多方配合、高效協(xié)同，安盟信息依托專業(yè)的人才團隊、專用的技術工具、便捷的服務平臺、有效的監(jiān)管工具，輸出高質量的交付物，能夠滿足各地區(qū)各行業(yè)密碼工作開展的要求，降低密評密改對用戶業(yè)務開展的影響。

安盟信息通過人員團隊、技術平臺、交付物的有機結合和協(xié)同使用，采用人機相輔的工作開展模式，能夠協(xié)助區(qū)域行業(yè)密碼工作的規(guī)范建設和高速發(fā)展，聯(lián)合密評密改各關聯(lián)方，形成用戶單位主抓、業(yè)務廠商配合、產(chǎn)業(yè)單位服務、測評機構支撐、主管部門長效監(jiān)管的協(xié)同發(fā)展格局，推動密碼行業(yè)在各行業(yè)各區(qū)域的高質量發(fā)展。