什么是密评密改

2023年1月12日，国务院印发的《“十四五”数字经济发展规划》中指出数据作为新型生产要素已写入到国家顶层规划中，体现了数据作为基础性和战略性资源。数据在应用系统各流转环节均面临诸多泄露威胁与安全挑战，密码技术是目前世界上公认最有效、最可靠、最经济的保障数据安全核心技术。

什么是密评密改

“密评”是商用密码应用安全性评估的简称。简单地说，就是对使用商业密码的系统进行评估，从而确保其密码应用的合规、正确、有效。国家密码管理局出台多项密评政策文件，明确要求非涉密的关键信息基础设施、等保三级及以上系统、国家政务信息系统等要开展密评工作，提升商用密码应用和管理水平，深化商用密码在各行业或领域的应用。

为什么做密评密改

• 国家层面意义深远

密评和密改是国家网络安全战略的重要组成部分，有效降低国家重要系统和数据被窃取或篡改的风险，提升了关键领域的安全防护能力，支撑数字经济高质量发展。

• 降低重要数据泄露风险

通过密评密改重要数据的机密性得到全面提升，确保即使数据被截获，也无法破解。

• 提升系统的抗攻击能力

密评密改保障核心数据不被篡改和非法访问，增强信息系统的抗攻击性。

• 符合法规要求

密评密改是符合国家和地区商用密码法规的必要步骤。

密评密改要点分析

在商密合规的政策要求下，在进行密评密改过程中面临几大困扰：

• 与业务应用紧耦合，方案需要删繁就简

鉴于密改与业务系统紧密配合，一旦遇到密改设备故障，业务系统将终止工作，所以，不能搞一刀切的实施方案，必须找专业的公司实施；

• 每个用户各有特点，方案量身定制（减少大范围改动，找到最优解决方案）

由于涉及到正常生产环境，建议采用既能合规又小规模改造的整改方案，由于各个密码厂商倾向不一样，甲方很难决策，此时需要专业的密改公司，集中各厂家优势产品，找到最适应实际情况的产品组合；

• 后期运维不容忽视

密评密改不是一次性的改造，每年都需要复测，后期运维是将改造项目的短期成果转化为长期价值。

信息系统责任单位由于技术人员对密评密改要求理解不到位，密码产品错用、误用情况经常发生，且密评需要每年进行一次。因此，密改工作不仅需要适配现阶段的业务系统，还需要兼容未来一段时间的密评需求。密码设备厂商存在限定性的弊端，密改集成商就起到至关重要的作用，北京协力友联科技发展有限公司正是这样一家专业商密全栈式改造的密改集成商，拥有自己的售前咨询、项目实施、售后运维团队，具备丰富的密改项目经验，以专业化、标准化、模块化的工作模式，最大程度的减轻系统密改单位工作量，构建了一体化服务体系，让客户密改无忧，真正做到用户省时、省心、安全、高效的完成密改项目。

结语

密码新技术、新应用、新场景的不断涌现，密改集成商正积极响应国家密评密改政策、持续跟进密码技术的发展，以密评密改之力，守护信息安全，为个人隐私、企业发展、国家安全撑起一把坚不可摧的 “密码保护伞”！

商用密码应用安全性评估

对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用合规性、正确性和有效性进行评估。

合规性

指密码算法、密码协议、密钥管理、密码产品和服务使用合规，使用符合国家密码法规和标准规定的商用密码算法，使用经过国家密码管理局核准的密码产品，许可的密码服务。

正确性

指密码算法、密码协议、密钥管理、密码产品和服务使用正确，即采用密码算法、协议和密钥管理机制按照相应的密码国家和行业标准进行正确的设计和实现，密码保障系统建设或改造过程中密码产品和服务部署和应用正确。

有效性

是指采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制不仅设计合理，而且在系统运行过程中能够发挥密码效用，保障信息的机密性、完整性、真实性和抗抵赖性。

密评流程