2024年高考落下帷幕，多地高考成績陸續(xù)公布，高考查分“名場面”屢上熱搜。

說到考卷，小天也想給大家分享一張考卷：密評“模擬”考！作為國家重要戰(zhàn)略資源，密碼是保障網(wǎng)絡與信息安全的核心技術(shù)和基礎支持，是保護國家安全的戰(zhàn)略性資源?！吨腥A人民共和國密碼法》《商用密碼管理條例》《商用密碼應用安全性評估管理辦法》中均提到商用密碼應用安全性評估，明確指出關(guān)鍵信息基礎設施、政務信息系統(tǒng)建設都要“過密評”。

密評，大家都比較熟悉了。但“過密評”卻未必，用5W1H “六何”分析法來（What、Where、When、Who、Why、How）解析“過密評”這件事兒，可以更為清晰客觀地了解TA！

點擊問題，即可查看答案→

Q：What——密評是什么？

密評全稱是商用密碼應用安全性評估，旨在確保網(wǎng)絡與信息系統(tǒng)中商用密碼技術(shù)、產(chǎn)品和服務的合規(guī)性、正確性和有效性。

Q：Where——在哪里過密評？

密評的地點通常是在實際信息系統(tǒng)運行的機房中，具體的評估工作可能需要在密評機構(gòu)的辦公地點或?qū)嶋H的信息系統(tǒng)環(huán)境中進行。在選擇密評機構(gòu)和進行評估工作時，應注意確保機構(gòu)的資質(zhì)和專業(yè)性，并與機構(gòu)充分溝通和配合。

Q：When——什么時間過密評？

具體的密評時間點應由系統(tǒng)運營者根據(jù)自身的安全需求和評估計劃來確定。通常，這可能會與系統(tǒng)的規(guī)劃、建設、投入運行等關(guān)鍵階段相結(jié)合，以確保在重要時刻之前完成評估。

Q：Who——什么人來過密評？

密評的參與人員主要包括密評人員、系統(tǒng)運營者、商用密碼檢測機構(gòu)以及其他相關(guān)人員。密評人員負責執(zhí)行評估工作，系統(tǒng)運營者負責配合評估并提供支持，商用密碼檢測機構(gòu)負責接受委托并開展評估工作，其他相關(guān)人員可以根據(jù)需要協(xié)助工作。這些人員共同協(xié)作，確保密評工作的順利進行。

Q：Why——為什么要過密評？

在法律層面：根據(jù)《中華人民共和國密碼法》和相關(guān)法律法規(guī)，法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎設施，其運營者應當使用商用密碼進行保護，并自行或委托商用密碼檢測機構(gòu)開展商用密碼應用安全性評估。

在安全層面：密評可以及時發(fā)現(xiàn)在密碼應用過程中存在的問題，為網(wǎng)絡和信息安全提供科學的評價方法。通過密評，可以逐步規(guī)范密碼的使用和管理，從根本上改變密碼應用不廣泛、不規(guī)范、不安全的現(xiàn)狀，確保密碼在網(wǎng)絡和信息系統(tǒng)中得到有效應用。

劃重點劃重點，怎么過才是關(guān)鍵！

Q：How——如何過密評？

1、根據(jù)法規(guī)要求和信息系統(tǒng)的重要性，確定需要進行密評的具體系統(tǒng)和網(wǎng)絡；

2、詳細調(diào)查被測系統(tǒng)的基本信息、行業(yè)特征、密碼管理策略等；

3、基于收集的信息編制詳細的密碼應用改造方案；

4、根據(jù)密碼應用改造方案對信息系統(tǒng)進行改造；

5、組織測評機構(gòu)對信息系統(tǒng)進行測評。

本文從管理與技術(shù)兩個層面總結(jié)凝練出密評建設中常見的8個問題，涵蓋“過密評”的重點、難點以及得分點，一起來學習下吧。

管理層面（30分）

1、如何建立完善密評管理制度？

管理制度應包括人員管理、密鑰管理、建設運行、應急處置、密碼軟硬件及介質(zhì)等管理制度。

2、依據(jù)什么進行密評人員職責劃分？

根據(jù)GB/T 39786《信息安全技術(shù) 信息系統(tǒng)密碼應用基本要求》，信息系統(tǒng)應具備密鑰管理員、密碼安全審計員、密碼操作員等相關(guān)人員。

3、 密評方案的設置、評估有哪些要點？（重點※、難點△）

需在信息系統(tǒng)規(guī)劃階段，依據(jù)密碼相關(guān)標準和信息系統(tǒng)密碼應用需求，制定密碼應用方案并根據(jù)密碼應用方案制定密碼實施方案；測評時核查是否有通過評估的密碼應用方案，并核查是否按照密碼應用方案制定密碼實施方案。

4、如何進行密評的應急處置？

制定密碼應用應急策略，做好應急資源準備，當密碼應用安全事件發(fā)生時，立即啟動應急處置措施，結(jié)合實際情況及時處置。

天融信商密安全支撐

天融信可以提供涵蓋密評全流程的解決方案，結(jié)合客戶當前應用系統(tǒng)的運行狀況和功能，梳理密評場景并進行密碼建設方案設計，同時為客戶提供人員管理、密碼管理、建設運行、應急處置、密碼軟硬件及介質(zhì)管理等制度，并安排專項人員跟進，為客戶密評全流程保駕護航。

技術(shù)層面（70分）

5、在物理和環(huán)境層面，有哪些技術(shù)得分點？（10分）

1） 身份鑒別（重點※）

2） 電子門禁記錄數(shù)據(jù)存儲完整性

3） 視頻監(jiān)控記錄數(shù)據(jù)存儲完整性

6、 在網(wǎng)絡和通信層面，有哪些技術(shù)得分點？（20分）

1） 身份鑒別（重點※）

2） 通信數(shù)據(jù)完整性

3） 通信過程中重要數(shù)據(jù)的機密性（重點※）

4） 網(wǎng)絡邊界訪問控制信息的完整性

5） 安全接入認證

7、 在設備和計算層面，有哪些技術(shù)得分點？（10分）

1） 身份鑒別（重點※）

2） 遠程管理通道安全（重點※）

3） 系統(tǒng)資源訪問控制信息完整性

4） 重要信息資源安全標記完整性

5） 日志記錄完整性

6） 重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實性

8、在應用和數(shù)據(jù)層面，有哪些技術(shù)得分點？（30分）

1） 身份鑒別（重點※、難點△）

2） 訪問控制信息完整性（難點△）

3） 重要信息系統(tǒng)安全標記完整性

4） 重要數(shù)據(jù)傳輸機密性（重點※、難點△）

5） 重要數(shù)據(jù)存儲機密性（重點※、難點△）

6） 重要數(shù)據(jù)傳輸完整性（難點△）

7） 重要數(shù)據(jù)存儲完整性（重點※、難點△）

8） 不可否認性（重點※）

天融信商密安全支撐

自1998年開始，天融信面向國內(nèi)市場提供VPN產(chǎn)品，并于2001年首批通過商用密碼認證，歷經(jīng)二十余年的技術(shù)積累與市場考驗，目前已具備成熟、完善的商用密碼解決方案，包括VPN、服務器密碼機、簽名驗簽服務器、PCI-E密碼卡、云服務器密碼機、密碼服務管理平臺、協(xié)同簽名系統(tǒng)、密鑰管理系統(tǒng)等商用密碼產(chǎn)品，滿足密評技術(shù)層面各類技術(shù)要求，助力客戶拿下密評“得分點”。

過密評

選擇天融信

提供涵蓋密評全流程的解決方案

可控、可管、可靠

時刻為客戶數(shù)據(jù)安全護航

政府、金融、交通、能源

各類行業(yè)密評場景通通拿捏

助您輕松過密評！

注：文中截圖來源于網(wǎng)絡