商用密码应用解决方案编写指南

随着互联网的兴起，基于数字证书的PKI技术得到大力发展，经过技术不断的发展和创新，我国商用密码产业蓬勃发展。随着一系列密码算法标准、密码算法协议等行业标准的制定和发布，我国商用密码标准体系逐渐成型。

密评是国家相关法律法规等明确要求的，已有大部分公司内部已经根据不同业务进行系统梳理，且陆续在开展各项密评工作。但据目前市场而言，大部分密码应用方案是无法完全符合要求的，那么该如何有效编写？

我们将分别以甲方、集成商、第三方角度进行分析，从项目、角色、标准、技术框架等方向提供相应建议，如有不同意见可联系小编进行商榷探讨。

一、项目建议

在开展密码应用建设与安全性评估工作时，需要根据项目所处阶段，采用针对性策略。

1、售前交流阶段

对处于售前交流阶段，应根据国家密码局的要求，在上报审批前，完成密码应用方案的编写、专家审核等工作，项目预算不仅要包含密码应用建设经费，还要包括密码应用安全性评估经费，还要考虑后续的商密改造费用。

2、已经中标正在建设阶段

对处于正在建设阶段，如果需要采购密码安全产品，建议采用项目变更进行处理，应优先安排密码应用安全性评估的经费，对部分重要业务应用系统进行商密处理时要综合考虑加解密过程对应用系统性能所产生的影响。

3、已经验收正在运维阶段

对处于验证且正在运维阶段，要充分与建设单位沟通，明确商密应用和安全性评估的政策要求，促使建设单位尽可能另外立项，同时根据商用密码安全性评估的要求，同步建设应用系统商密改造方案，明确项目改造实施工作量。

二、商用密码应用中不同的角色

在商用密码整体应用中，分为密码厂商、集成商、网络与信息系统责任单位、测评机构和测评人员、密码管理部门五大角色，我们认为其中集成商的技术水平和能力直接决定商用密码应用的效果。

以下为密码集成商的三种角色：

1、密码应用方案的撰写者

商用密码保障系统应随着项目同步规划、同步建设、同步运行，并定期开展商用密码安全性评估，其中密码应用建设方案是前提条件。

商用密码应用方案应包括密码应用解决方案、密码实施方案、密码应急处置方案三个部分组成。

2、密码产品的实施者

在系统实施过程中，实施者要根据商用密码应用方案的要求，完成设备的采购、部署、联调、测试、上线等工作。尤其是涉及不同密码设备厂家的产品，及时协调厂商进行适配。

3、商密安全性评估的配合者

在开展商密安全性评估过程中，应配合测评单位进行安全性评估，提供网络架构图和实施文档，评估商密测评对整个项目带来的风险。

三、密码应用解决方案-科普类

【此篇幅建议从科普知识、政策方面、技术标准入手】 

1、密评改造中的密码是什么？

    这里人们通常以为就是每天接触的计算机或手机开机“密码”、电子邮箱登录“密码”、银行卡支付“密码”等。生活中的这些“密码”实际上属于口令，是一种基于密码技术的简单认证手段，是最常见的密码。

    真正意义上的密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

加密保护：就是将明文变换成密文，再进行传输和存储。

身份认证：验证一个信息、一个身份、一个行为是否真实。

2、从密码政策方面指出为什么要密改，可从以下几方面入手

《网络安全等级保护条例》

第四十七条【非涉密网络密码保护】非涉密网络应当按照国家密码管理法律法规和标准的要求，使用密码技术、产品和服务。第三级以上网络应当采用密码保护，并使用国家密码管理部门认可的密码技术、产品和服务。

《商用密码应用安全性评估管理办法（试行ÿ