《商用密码应用清静性评估治理步伐》

2023年11月1日正式施行

《中华人民共和国密码法》《商用密码治理条例》中均提到商用密码应用清静性评估，，，，，，，，而《商用密码应用清静性评估治理步伐》（以下简称《步伐》）的出台就是细化商用密码应用清静性评估事情主体、方法程序、备案等方面要求，，，，，，，，吸收继续商用密码应用清静性评估试点履历做法，，，，，，，，团结事情现实，，，，，，，，注重正当性、合理性和可操作性，，，，，，，，力争做到内容完整、逻辑严密。。。。。。。。

《步伐》共21条，，，，，，，，从总体要求、程序和内容要求、实验规范、监视检查及执法责任以及其他事项划分举行了叙述。。。。。。。。《步伐》中明确要求，，，，，，，，主要网络与信息系统运行前，，，，，，，，应当通过商用密码应用清静性评估，，，，，，，，未通过评估的主要网络与信息系统应当举行商用密码刷新，，，，，，，，直至通过评估后才可投入运行。。。。。。。。而运行后的主要网络与信息系统也应当每年至少开展一次商用密码应用清静性评估，，，，，，，，未通过评估的系统应当举行刷新，，，，，，，，并在刷新时代接纳须要步伐包管清静。。。。。。。。

商用密码应用清静性评估事情从密码应用手艺和密码清静治理两个方面考量。。。。。。。。3377体育网官网入口在协助客户举行商用密码应用清静性评估的实践中，，，，，，，，大部分主要网络与信息系统运营者已具备较强的商用密码应用能力，，，，，，，，而部分运营者虽然已具备基础的商用密码应用能力，，，，，，，，但在一些细节问题上仍保存一定缺乏，，，，，，，，这也是举行密码刷新的要害问题。。。。。。。。

在此，，，，，，，，3377体育网官网入口基于在各行业中开展商用密码应用清静性评估的实践积累，，，，，，，，梳理了密评事情开展常见典范问题及建议，，，，，，，，与业界同仁配合分享。。。。。。。。

★密码应用手艺的问题及建议★

1、物理和情形清静

保存问题：在项目实践中，，，，，，，，机房治理通常已安排电子门禁系统，，，，，，，，机房治理职员已具备非接触卡，，，，，，，，实现门禁卡的“一卡一密”。。。。。。。。但关于外来职员通常只需填写《机房收支挂号表》，，，，，，，，并没有给予一律的密码防护要求。。。。。。。。

刷新建议：建议凭证GM/T 0036—2014 《接纳非接触卡的门禁系统密码应用手艺指南》规范，，，，，，，，基于 SM4 算法对职员身份举行判别，，，，，，，，对机房治理职员和访客防护步伐并重。。。。。。。。

2、网络和通讯清静

保存问题：在项目实践历程中，，，，，，，，许多客户的通讯传输已接纳流量加密、隧道加密等手艺，，，，，，，，但由于应用系统、浏览器沿革问题，，，，，，，，一些系统并未接纳国密证书、算法，，，，，，，，不切合《中华人民共和国密码法》《商用密码治理条例》《商用密码应用清静性评估治理步伐》等有关执律例则和政策文件要求。。。。。。。。

刷新建议：建议在网络接入区安排具有商密认证证书的SSL VPN清静网关，，，，，，，，实现对通讯实体的身份判别，，，，，，，，包管通讯历程中数据的完整性和神秘性，，，，，，，，包管网络界线会见控制信息的完整与清静。。。。。。。。

3、装备和盘算清静

保存问题：在项目实践历程中，，，，，，，，所有客户均有堡垒机登录日志的留存意识，，，，，，，，也将系统会见控制信息外地化存储。。。。。。。。然而关于留存下的日志、涉及到的会见控制信息，，，，，，，，并没有接纳密码手艺包管日志纪录的完整性。。。。。。。。

刷新建议：建议挪用服务器密码机使用 HMAC-SM3 算法包管堡垒机、应用服务器和数据库服务器的日志纪录完整性，，，，，，，，挪用署名验签服务器的 SM2 算法对主要可执行程序泉源真实性和完整性举行验证。。。。。。。。

4、应用和数据清静

保存问题：在项目实践历程中，，，，，，，，应用和数据清静领域通常是与密评事情差别较大的部分，，，，，，，，也是客户需要举行密评刷新事情的重点。。。。。。。。在应用和数据清静领域中，，，，，，，，问题主要体现在登录系统用户的身份真实性验证环节未接纳密码手艺、信息系统应用的会见控制信息的完整性有所欠缺、主要数据传输和存储的完整性与神秘性有待提升、营业数据操作的不可否定性难以包管等。。。。。。。。

刷新建议：建议为客户配备USBKey或协同署名系统，，，，，，，，对登任命户睁开身份判别，，，，，，，，包管应用系统用户身份的真实性；；；；；；；挪用密码装备或密码服务平台提供的加解密服务、署名验签服务实现主要数据的神秘性和完整性；；；；；；；；；；；；；；对要害数据操作举行数字署名，，，，，，，，包管营业数据操作的不可否定性。。。。。。。。

★密码清静治理的问题及建议★

1、治理制度

保存问题：在项目实践历程中，，，，，，，，客户在现真相形中虽然具备部分密码应用治理相关制度，，，，，，，，可是缺乏细化的规则、密码应用计划、操作流程、执行纪录等。。。。。。。。

刷新建议：应依据客户现真相形举行治理系统的整体妄想建设，，，，，，，，制订密码应用清静治理制度和操作规程。。。。。。。。在制订治理制渡历程中，，，，，，，，需把控多方的治理制度、设计密码应用计划、审计妄想、操作规程及执行情形等。。。。。。。。

2、职员治理

保存问题：在项目实践历程中，，，，，，，，许多客户的密码应用岗是兼职职员认真，，，，，，，，由于岗位职员的相关审核、培训缺乏，，，，，，，，因而无法指导密评系统建设。。。。。。。。

刷新建议：应建设明确岗位职责的密码应用岗位治理制度，，，，，，，，并增强清静意识培训、按期举行职员审核等。。。。。。。。

3、应急处置惩罚

保存问题：在项目实践历程中，，，，，，，，客户缺乏密码应用的应急战略，，，，，，，，因而不具备事务处置惩罚的应急手段。。。。。。。。

刷新建议：应建设密码应用应急机制，，，，，，，，包括制订应急战略、准备应急资源、完善应急处置惩罚流程以及事务处置惩罚上报流程等。。。。。。。。

商用密码应用清静性评估是增强和规范商用密码应用的主要抓手。。。。。。。。《步伐》细化落实“三同步一评估”要求，，，，，，，，体现商用密码应用清静性评估系统性原则，，，，，，，，明确商用密码应用清静性评估实验依据，，，，，，，，为未来密评事情的开展指出了更清晰的路径。。。。。。。。

3377体育网官网入口推出知足合规要求的密码产品、完善的商用密码应用清静解决计划以及专业的全流程商用密码应用清静性评估咨询服务，，，，，，，，为客户提供商用密码应用清静建设的同时，，，，，，，，协助客户开展自评估等相关事情。。。。。。。。现在3377体育网官网入口在政府、交通、运营商等行业均已具备项目落地乐成案例，，，，，，，，资助客户乐成通过商用密码应用清静性评估，，，，，，，，获得客户的一致好评。。。。。。。。

未来，，，，，，，，3377体育网官网入口将充分验展自身手艺实力与服务优势，，，，，，，，起劲投身到商用密码应用清静建设中去，，，，，，，，为各行业客户的商用密码应用清静保驾护航。。。。。。。。