密评沙龙|专家现身解读,顺利过密评有章可循!

10月15日，由北京数字认证股份有限公司（简称“数字认证”）和北京数字世界咨询有限公司联合主办的“2021年商用密码应用与安全性评估技术沙龙”召开，与会各位嘉宾围绕密码保障系统的相关政策和要求，介绍了密评的过程及注意要点，探讨了密码保障系统建设的方法思路，并就密码应用和安全性评估广为关心的问题发表了看法。

数世咨询创始人兼总经理李少鹏主持开场

随着《密码法》《数据安全法》的落地实施，开展密评成为检验商用密码应用合规、正确、有效的重要途径，将有助于从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中有效使用，切实构建起坚实可靠的网络安全密码屏障。开展密评，同时也是国家网络安全和密码相关法律法规提出的明确要求，是法定责任和义务。

中科院信息工程研究所副研究员、中国密码学会密评联委会副主任委员马原从《信息安全技术 信息系统密码应用基本要求》（GB/T39786-2021）出发，介绍了密评体系和测评要点，即从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置8个方面，按照“高风险判定+量化评估”的原则，判定密码应用的合规性、安全性、正确性和有效性。

国家信息技术安全研究中心密评实验室主任吴冬宇结合工作经验，对密评流程和内容作了介绍，对于密评的内容，吴冬宇详细地介绍了密评中通用指标测评、技术测评、管理测评的测评项、关键测评点和测评对象，以及每项测评内容中的重点注意事项，为系统运营方开展密评提供了专业的建议和系统建设思路。此外，他还从对象、测评内容、评估流程等方面介绍了密评、网络安全等级测评、关键信息基础设施安全检测评估之间的关系，指明了用户在开展密评时常见的误区。

了解了为什么要开展密评和怎样开展密评之后，那么究竟如何建设行之有效的密码保障系统呢？数字认证研究院院长夏鲁宁博士给出了解答，他提到，设计一个好的密码应用方案应当分为“四步走”，即厘清系统保护对象、确定密码应用需求、编制密码应用方案和方案自评估。厘清系统保护对象，就是要梳理业务重要信息，明确信息保护的范围和对象；确定密码应用需求，主要是从机密性、完整性、真实性、不可否认性四个维度进行风险评估与密码需求分析；编制密码应用方案，需要遵循总体性、成熟性与经济性原则，以GB/T39786-2021标准为指引，设计包含密码技术措施、安全管理措施在内的建设方案，科学选择密码应用措施；同时，要特别重视证书及密钥管理，以及密码应用方案的自评估工作。

在压轴的圆桌讨论环节，活动特邀请到国家广播电视总局卫管中心网络安全负责人赵予汐同与会嘉宾共同研讨，吴冬宇和夏鲁宁分别站在系统测评方和系统运营方的角度，就开展密评过程中的典型问题进行探讨。谈到密评给用户带来的价值时，赵予汐提到，开展密评一方面可以有效提高系统运营方内部对于密码应用的重视程度，另一方面，更能为构建完整的网络安全体系提供思路，让密码应用发挥更有效的网络安全保障作用。

密评是手段，不是目的，最终是为了密码技术更安全有效的应用，保障重要信息系统的网络安全，本次技术沙龙拨云见日，为用户建设密码保障系统提供了实用“方法论”。面向未来，数字认证将继续坚持密码主航道，以密码之力护航网络安全，与千行百业携手并进，共建可信任的数字世界。