商用密码应用解决方案编写指南.pdf

商用密码应用解决方案编写指南--第1页 商用密码应用解决方案编写指南 一、项目建议在开展密码应用建设与安全性评估工作时，需要根据 项目所处阶段，采用针对性策略。 1、售前交流阶段 对处于售前交流阶段，应根据国家密码局的要求，在上报审批前， 完成密码应用方案的编写、专家审核等工作，项目预算不仅要包含密码 应用建设经费，还要包括密码应用安全性评估经费，还要考虑后续的商 密改造费用。2、已经中标正在建设阶段 对处于正在建设阶段，如果需要采购密码安全产品，建议采用项目 变更进行处理，应优先安排密码应用安全性评估的经费，对部分重要业 务应用系统进行商密处理时要综合考虑加解密过程对应用系统性能所 产生的影响。3、已经验收正在运维阶段对处于验证且正在运维阶段， 要充分与建设单位沟通，明确商密应用和安全性评估的政策要求，促使 建设单位尽可能另外立项，同时根据商用密码安全性评估的要求，同步 建设应用系统商密改造方案，明确项目改造实施工作量。二、商用密码 应用中不同的角色在商用密码整体应用中，分为密码厂商、集成商、网 络与信息系统责任单位、测评机构和测评人员、密码管理部门五大角色， 我们认为其中集成商的技术水平和能力直接决定商用密码应用的效果。 以下为密码集成商的三种角色： 商用密码应用解决方案编写指南--第1页 商用密码应用解决方案编写指南--第2页 1、密码应用方案的撰写者 商用密码保障系统应随着项目同步规划、同步建设、同步运行，并 定期开展商用密码安全性评估，其中密码应用建设方案是前提条件。商 用密码应用方案应包括密码应用解决方案、密码实施方案、密码应急处 置方案三个部分组成。2、密码产品的实施者 在系统实施过程中，实施者要根据商用密码应用方案的要求，完成 设备的采购、部署、联调、测试、上线等工作。尤其是涉及不同密码设 备厂家的产品，及时协调厂商进行适配。3、商密安全性评估的配合者 在开展商密安全性评估过程中，应配合测评单位进行安全性评估， 提供网络架构图和实施文档，评估商密测评对整个项目带来的风险。三、 密码应用解决方案-科普类 【此篇幅建议从科普知识、政策方面、技术标准入手】 1、密评改造中的密码是什么？ 这里人们通常以为就是每天接触的计算机或手机开机“密码”、电 子邮箱登录“密码”、银行卡支付“密码”等。生活中的这些“密码” 实际上属于口令，是一种基于密码技术的简单认证手段，是最常见的密 码。 真正意义上的密码是指采用特定变换的方法对信息等进行加密保护、 商用密码应用解决方案编写指南--第2页 商用密码应用解决方案编写指南--第3页 安全认证的技术、产品和服务。 加密保护：就是将明文变换成密文，再进行传输和存储。 身份认证：验证一个信息、一个身份、一个行为是否真实。2、从 密码政策方面指出为什么要密改，可从以下几方面入手《网络安全等级 保护条例》 第四十七条【非涉密网络密码保护】非涉密网络应当按照国家密码 管理法律法规和标准的要求，使用密码技术、产品和服务。第三级以上 网络应当采用密码保护，并使用国家密码管理部门认可的密码技术、产 品和服务。 《商用密码应用安全性评估管理办法（试行）》--2017 年国家密码 管理局发布施行 第三条涉及国家安全和社会公共利益的重要领域网络和信息系统的 建设、使用、管理单位（责任单位），应当健全密码保障体系，实施商 用密码应用安全性评估。 重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基