什么是商用密码应用改造

当前，随着国家对信息安全的愈发重视，越来越多与我们息息相关的各类信息系统都在不断强化安全防护，而其中一个非常重要的手段就是商用密码改造。

01

什么是密改

密改，即商用密码应用改造环节。按照国家密码管理有关法律法规、关键信息基础设施和重要信息系统的密码应用必须落实“三同步一评估”，即密码应用与对应系统同步规划、同步建设、同步运行，实施密码应用安全性评估。实践中，因为信息化发展历程，未使用、没有合规使用密码技术现象普遍存在，需要实施密码应用工程，建立健全基于密码的安全保护体系，维护密码应用安全性。

对于密改，目前存在两类误解：一是认为没有通过密评的信息系统才需要密改；二是认为密改通过密评就一劳永逸。其实，密评与密改的关系就像人类针对病毒的体检与抗体的关系，需要随着外部病毒和体内抗体的变化，开展周期性体检和增强抗体。

02

密改环节

密改是一项对规范性和技术性要求很高的系统工程。整个工程分为三大阶段：规划阶段、建设阶段和运行阶段。每个阶段都有各自的抓手，分别是密码应用解决方案、密码应用实施方案和密码应用应急处置方案等。密改过程中需要严格把握这些方案的技术水平和工程质量。

03

密改的要则

密改应该遵循基本的项目管理要则，做好密改项目队伍建设，可以事半功倍。在密改过程中，把握好项目建设者的资质/资金、进度、质量和可持续性等关键指标的设计和落实。密改方案应充分体现密码支撑总体架构、密码基础设施建设部署、密钥管理体系构建、密码产品部署及管理等内容，维护密码应用的持续性和发展性。密改技术上，选用国家认可的密码算法、技术、产品和服务，确保密码应用的合规、正确和有效。

04

合规自查

密改项目队伍应当充分做好合规自查，为密评工作做好准备。合规自查应当依据密码应用相关技术标准和管理规范。认真评审项目的密码应用方案，评审密码应用与对应信息系统整体安全保护等级的一致性，评审密码应用在整个信息系统的完备性、正确性和有效性。分项细查物理与环境安全、网络和通信安全、设备和计算安全、应用和数据安全等层面的密码技术应用的合规性、正确性和有效性，细查密码应用相关的规章制度、人员管理、建设运行和应急处置等策略配置和流程细节。

05

密改产品

密码改造产品主要包括服务器密码机、安全网关和签名验签服务器等。服务器密码机是服务端密码运算类设备，提供密钥生成、数字签名、签名验证、数据加密和数据解密等通用密码服务功能；安全网关是一种网络安全设备，提供虚拟专用网络、访问控制和传输加密等密码安全服务；签名验签服务器具有数据签名与验证、证书验证和身份认证等功能。

原文始发于微信公众号（苏说安全）：什么是商用密码应用改造

• 本文由 admin 发表于 2024年2月16日10:55:46
• 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
                 什么是商用密码应用改造https://cn-sec.com/archives/2497477.html

• 目录
• 在线咨询

  13688888888

  8888 QQ在线咨询

  微信

  
• 

  本页二维码