前言

密码技术是保障网络与信息安全的核心技术和基础支撑，通过加密保护和安全认证两大核心功能，可以完整实现防假冒、防泄密、防篡改、抗抵赖等安全需求，在网络空间中扮演着“信使”“卫士”和“基因”的重要角色。《中华人民共和国密码法》正式实施两年以来，我国商用密码应用安全工作蓬勃发展，在全面坚持总体国家安全观基础上，不断建立和完善商用密码标准体系，规范密码应用和管理、护航经济社会高质量发展、保障网络和信息安全。

国家密码管理局相继发布了《商用密码管理条例（修订草案征求意见稿）》《商用密码应用安全性评估管理办法（试行）》《商用密码应用安全性测评机构管理办法(试行)》等法规办法，逐步开展商用密码应用安全性评估试点工作，在网络安全等级保护的基础之上，建立健全商用密码应用安全性评估的架构体系和实施规范。对此，如何做好本单位的密码应用建设工作，能否通过密码应用安全性评估将会是各单位网络安全工作中的重要一环。

商用密码应用安全咨询服务

网御星云商用密码应用安全咨询服务是顺应数字化形势推出的新兴安全咨询服务，可为网络和信息系统责任单位提供一站式的密码应用安全解决方案。网御星云安全咨询团队依照国家密码相关法规政策和标准规范，结合客户数字化业务应用特点，在密码应用规划、建设和运行阶段，为客户提供不同场景需求的密码应用安全咨询服务，帮助客户发现商用密码应用中存在的问题与不足，协助客户构建密码应用体系，在通过密码应用安全性评估的同时，满足国家密码管理合规性要求。网御星云商用密码应用安全咨询服务架构如图1所示。

图1   商用密码应用安全咨询服务架构

Ø  密码应用建设/改造方案咨询服务

网御星云可对信息系统责任单位密码应用业务需求、管理要求、信息网络架构、机房物理环境等情况进行调研和分析，依据《信息系统密码应用基本要求》（GB/T 39786-2021）和《信息系统密码应用设计技术要求》（征求意见稿）进行密码应用建设/改造方案设计。

Ø  密码应用架构体系设计咨询服务

网御星云在对信息系统功能、系统架构、业务应用情况、密码应用情况、重要信息资源、软硬件组成和管理机制等进行现状分析的基础上，依据差距分析结果和《信息系统密码应用设计技术要求》（征求意见稿）的相关要求，从密码应用系统、密码服务支撑、计算环境、密钥管理设计等四个方面协助用户进行密码应用体系设计和架构调整。

Ø  密码应用方案评估与备案服务

邀请专家或密评机构对密码应用方案进行评估，根据评估结果出具《密码应用整改建议》或《商用密码应用安全性评估报告》，协助信息系统责任单位进行方案优化和调整，并将通过评估的密码应用方案与《商用密码应用安全性评估报告》报送至密码管理部门备案。

Ø  密码应用差距分析服务

网御星云可对信息系统责任单位密码应用系统的等级保护定级、承载业务、网络拓扑、密码应用/产品/服务、服务器/存储设备、网络安全设备、数据库、关键业务应用、管理制度和人员等情况进行调研分析，并依照《信息系统密码应用基本要求》（GB/T 39786-2021）和《信息系统密码应用测评要求》（GM/T 0115-2021）相关要求，对密码应用系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全，以及管理制度、人员管理、建设运行、应急处置开展差距分析，结合密码应用检测工具对设备之间通信环节密码技术的检测结果进行分析，形成密码应用差距分析结果，并提出整改加固建议。

Ø  密码应用安全整改加固咨询服务

网御星云可依据差距分析和安全测试结果，针对应用、接口、协议等存在的安全问题提供行之有效的安全加固建议，包含补丁下载地址、加固流程等内容，指导信息系统责任单位进行安全加固工作。

Ø  密码应用管理制度建设

网御星云依据差距分析结果和《信息系统密码应用基本要求》（GB/T 39786-2021）相关规定，结合信息系统责任单位现有组织架构和制度体系，协助客户制定密码安全相关制度、人员、建设、运行和应急等方面的管理措施。

Ø  应急响应与保障服务

网御星云结合用户实际业务状况、安全控制措施、人员组织结构以及密码应用相关要求，对客户的应急能力与业务影响进行分析，协助用户制定密码应用相关应急策略，编写应急预案，开展应急演练工作，如密钥泄露应急处置措施、密码服务中断应急预案等，并提供7×24小时应急响应服务，助力用户第一时间解决安全事件。

Ø  模拟测评服务

在建设整改阶段完成之后，网御星云依据《信息系统密码应用测评过程指南》（GM/T 0116-2021）和《商用密码应用安全性评估量化评估规则》，对信息系统进行模拟密码应用安全性评估，评价是否达到密码应用安全建设目标及相应保护等级的密码应用基本要求。

Ø  辅助测评服务

密码测评机构现场测评过程中，网御星云协助客户准备密码应用测评需要的相关资料，帮助客户回答测评人员提出的问题，出具相关资料，并记录测评中提出的问题项。针对测评机构提出的测评问题项，网御星云还可协助用户制定整改计划，并落实整改方案。

网御星云安全咨询能力

网御星云安全咨询团队依托创新的信息安全和IT服务管理理念，结合国内行业特点，保持独立、中立和客观的立场，为客户提供符合国际、国内法律法规和政策标准的信息安全咨询服务。经过多年的实践，网御星云安全咨询团队已形成一套成熟的安全咨询方法论，建立较为完备的安全咨询服务体系。我们善于将ISO27001、ISO20000、BCM、SDL、SAS70、PCI、COBIT、NIST等国际标准和最佳实践恰当引入，同时结合客户行业特点及企业实际安全现状和需求，帮助客户建立符合业务需要的业务连续性管理体系、应急管理体系、信息安全管理体系、数据安全治理体系、信息安全保障体系和安全运营体系，提升其网络安全整体水平，使安全管理真正成为企业整体发展的助动之力。

推荐阅读：庖丁解牛，详解密评实施过程及要点