+ + + + + + + + + + + 

近年(nián)來國家(jiā)陸續發(fā／fà)布《網絡安全法》、《密碼法》、《保守國家(jiā)秘密法（修訂）》、《關鍵信息基礎設施安全保護條例》、《數據安全法》、《電子簽名法》、《商用(yòng)密碼應用(yòng)安全性評估管理辦法》（試行(háng / xíng)）等，爲網絡安全和密碼應用(yòng)提供了法律保障。

自(zì)2021年(nián)開始，國家(jiā)正式通過(guò)商用(yòng)密碼應用(yòng)安全性評估（簡稱“密評”），針對(duì)當前密碼應用(yòng)不廣泛、不規範、不安全的現狀，大力促進以國家(jiā)認可(kě)的密碼技術爲基礎，以整體性、規範性和協同性爲原則的密碼規範使用(yòng)和管理，推動科學規範的網絡安全密碼屏障體系盡快形成，保證密碼在網絡和信息系統中的有效使用(yòng)，打造以密碼爲基石的網絡空間新安全架構，牢牢守住網絡安全最後(hòu)一道防線。

商用(yòng)密碼應用(yòng)安全評估與國家(jiā)正在推進實施的網絡安全等級保護、涉密信息系統分級保護、關鍵信息基礎設施保護等一起共同構成我國信息安全評估與管理的四項基本制度；除了密評本身對(duì)于(yú)密碼應用(yòng)安全提出系統性的要(yào / yāo)求，其(qí)他三項基本制度也都從各自(zì)角度分别對(duì)密碼安全應用(yòng)提出了明确的法定要(yào / yāo)求。

爲此，根據 GB/T 39786-2021的要(yào / yāo)求，結合密碼保障體系建設和服務的專業經驗，建議從數字轉型和網絡安全頂層設計出發(fā／fà)，引入《密碼應用(yòng)服務中台》爲中心，對(duì)接全域密碼設備和服務，規劃建設統一的《密碼安全保障基礎平台》，面向全域密碼應用(yòng)和管理，以全新的平台化模式總成交付，通過(guò)對(duì)全域密碼應用(yòng)的全程追蹤、總體管控和統一服務，提高密碼應用(yòng)管理與服務的集約化和精細化水平，全面掌握密評合規和密碼應用(yòng)安全保障的主動權，固本清源，切實守住網絡安全的最後(hòu)一道防線。

+ + + + + 

密評最終目的是要(yào / yāo)系統性地推進和規範全域密碼應用(yòng)，隻有真正領會(huì)GB/T 39786-2021的要(yào / yāo)求，從密碼服務、應用(yòng)、管理同步進行(háng / xíng)，實現對(duì)全域密碼應用(yòng)的全程追蹤、總體管控和統一服務，才能(néng)從根本上真正滿足密評合規所(suǒ)要(yào / yāo)求的整體性、協同性和規範性要(yào / yāo)求。實踐中需要(yào / yāo)切實把握規範化、體系化、主動性和成長性等幾個基本要(yào / yāo)則：

· 規範化。選用(yòng)國家(jiā)認可(kě)的密碼算法、技術、産品和服務，确保密碼服務可(kě)用(yòng)。這一條涉及密評高風險項聚集的領域，需要(yào / yāo)首先保證。

 · 體系化。保持全域密碼應用(yòng)的全程追蹤和總體管控，确保可(kě)知、可(kě)管、可(kě)控。這一條涉及密評完備性和協同性，是克服密碼碎片化、避免疏漏的關鍵。

 · 成長性。網絡信息系統是發(fā／fà)展的，密改方案需支持動态擴展，确保其(qí)延續性。密評年(nián)檢制決定了密改的長期性，必須在正确軌道上保持開放敏捷性設計。

 · 主動性。密評是手段，不是目标，密改需要(yào / yāo)與數字轉型和網絡安全規劃融合。以密碼爲内生(shēng)安全基因構建網絡安全新體系，才是密評工作的真正目的，也是密評合規的底層邏輯。

綜上所(suǒ)述。需求分類歸納如(rú)下(xià)：

1. 規範完備的密碼服務功能(néng)體系

檢測定位不合格的密碼算法、技術、産品和服務，選配國家(jiā)認可(kě)的密碼算法、技術、産品和服務。比如(rú)具有國密型号的服務器密碼機/密碼卡、數字證書系統（CA）、簽名驗簽服務器、時間戳服務器、協同簽名系統、電子簽章系統、安全認證網關、SSL VPN/IPsec VPN、多因素認證系統、統一認證系統，以及具有工信部許可(kě)的CA電子認證服務等等。滿足全域對(duì)真實性、機密性、完整性和不可(kě)否認性等密碼服務保障能(néng)力的需求，構成規範完整、科學專業的密碼服務功能(néng)體系。

2. 科學系統的密碼服務管理體系

針對(duì)全域的密碼應用(yòng)統一管理，除了基本信息的登記備案，還需要(yào / yāo)實現服務方、依賴方（調用(yòng)方）和管理方三者及其(qí)相關策略的統一管理與協調一緻，避免密碼服務在管理上出現漏洞。

3. 安全穩定的密碼受控服務體系

對(duì)接全域密碼服務的功能(néng)和管理體系，按照設定的訪問策略，面向密碼應用(yòng)方提供安全可(kě)控和穩定高效的差異化密碼服務，在密碼産品安全合規的同時，确保全域密碼應用(yòng)體系的結構性安全，并具備适當的應急保障能(néng)力。

4. 獨立權威的密碼服務數據體系

針對(duì)全域碎片化的密碼服務數據進行(háng / xíng)彙總梳理和完整性保護，并針對(duì)密碼服務情況提供權威的查詢展示和審計服務。

5. 便捷高效的密碼服務運行(háng / xíng)體系

全程跟蹤展示密碼應用(yòng)情況；保障平台高質量安全運行(háng / xíng)；支持平台運營日常維護以及用(yòng)戶自(zì)助服務的極簡高效；提供第三方開發(fā／fà)者二次開發(fā／fà)和仿真調測環境等。

6. 支持多樣化用(yòng)戶終端場景

密碼客戶端需要(yào / yāo)适配多樣化用(yòng)戶終端場景，比如(rú)手機、電腦、pad等終端設備；SDK、插件、APP、小程序、專用(yòng)客戶端等終端軟件形态；支持外接USBKey或者内置密碼軟件模塊；支持主流操作系統和信創平台等等，确保用(yòng)戶體驗。

7. 支持靈活擴展專項密碼應用(yòng)系統

要(yào / yāo)求無縫擴展提供各種密碼類專項服務，滿足特定項目對(duì)于(yú)密碼服務的個性化定制。比如(rú)身份治理、電子簽署、電子合同、電子證照、電子存證等。

8. 支持基于(yú)密碼的網絡安全新體系

支持平滑演進爲電子認證、零信任框架、區塊鏈網絡等以密碼爲基石的網絡安全新體系，充分發(fā／fà)揮密碼的核心基礎價值，守住新形勢下(xià)網絡安全的最後(hòu)一道防線。

總之，密評不隻是政策紅利和法定責任，以密碼爲内生(shēng)安全基因構建網絡安全新體系的未來已經來到，責任單位盡早統籌規劃統一的密碼應用(yòng)安全保障體系，并據此安排分步實施落實，避免陷入“盲人摸象，欲速則不達”的誤區。

來源：數觀天(tiān)下(xià)