商用密码应用安全性评估与等保测评协同机制的研究

1 引言

在数字化时代，网络与信息系统承载着海量的关键信息，其安全性至关重要。商用密码应用安全性评估（以下简称 “密评”）与网络安全等级测评（以下简称 “等保测评”）是保障网络安全的两项重要工作。密评主要针对网络与信息系统中商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证；等保测评则依据国家网络安全等级保护制度规定，对非涉及国家秘密的网络安全等级保护状况进行检测评估。《中华人民共和国密码法》第二十七条明确提出，商用密码应用安全性评估应当与关键信息基础设施的安全检测评估及网络安全等级测评紧密衔接，避免出现不必要的重复测评现象。因此，建立两者的协同机制，不仅有助于提高测评效率，降低测评成本，还能全面提升网络与信息系统的安全防护水平。

2 商用密码应用安全性评估与等保测评概述

2.1 商用密码应用安全性评估

密评内容涵盖密码应用合规性、正确性和有效性三个方面。合规性评估判定信息系统使用的密码算法、协议、密钥管理等是否符合法律法规及相关标准要求，所使用的密码产品和服务是否经过核准或认证合格；正确性评估判定密码算法、协议、密钥管理等的使用是否正确，密码产品和服务的部署与应用是否正确；有效性评估判定密码保障系统是否在信息系统运行中发挥实际效用，满足系统安全需求。评估流程通常包括测评准备、方案编制、现场测评、分析与报告编制等阶段。在测评准备阶段，评估机构需收集被测评系统的相关资料，了解系统架构、密码应用情况等；方案编制阶段，依据收集的信息制定详细的测评方案，明确测评指标、方法和工具；现场测评阶段，通过访谈、测试、查看文档等方式对系统进行全面检查；最后在分析与报告编制阶段，对测评数据进行分析，得出评估结论并编制报告。

2.2 网络安全等级保护测评

等保测评是测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。其主要依据为《GB/T 22239—2019 信息安全技术网络安全等级保护基本要求》等相关标准，这些标准针对不同安全保护等级的信息系统，从安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心以及安全管理等多个层面提出了具体的安全要求。

等保测评内容围绕信息系统的安全技术和安全管理两个方面展开。安全技术测评包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心的评估；安全管理测评涵盖安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面。

3 协同机制的必要性

3.1 提升测评效率，降低成本

若密评与等保测评各自独立开展，被测评单位需投入大量时间和精力配合两次测评工作，包括准备资料、安排人员访谈、协调现场测试等。同时，测评机构也需重复进行一些基础工作，如系统信息收集、现场环境熟悉等，这不仅浪费了资源，还增加了测评成本。通过建立协同机制，实现“一次入场，同步双评”，可大幅减少测评时间，降低被测评单位和测评机构的人力、物力和时间成本。例如，某大型企业若分别进行密评与等保测评，每次测评可能需要数周时间，且涉及多个部门的协调配合。而采用协同机制，一次入场即可完成两项测评，时间可缩短至一半左右，成本也相应大幅降低。

3.2 全面保障网络安全

密评侧重于密码技术在信息系统中的应用安全，确保密码机制能够有效保护信息的保密性、完整性和可用性；等保测评则从整体上对信息系统的安全技术和安全管理进行全面评估，涵盖物理、网络、主机、应用、数据及管理等多个层面。两者协同能够从不同角度对信息系统进行全方位的安全检测，相互补充，避免安全漏洞的遗漏。例如，等保测评可能发现系统在网络边界防护方面存在薄弱环节，而密评可进一步评估在该网络环境下密码应用能否有效保障数据传输安全，两者结合可全面提升系统的安全防护能力。

3.3 满足法律法规要求

《中华人民共和国密码法》《商用密码管理条例》等法律法规明确要求商用密码应用安全性评估应当与网络安全等级测评制度相衔接，避免重复评估、测评。建立协同机制是贯彻落实这些法律法规的具体体现，有助于规范网络与信息系统的安全管理，确保运营者依法履行安全保障义务。对于关键信息基础设施的运营者而言，遵循协同机制开展测评，可有效避免因违反法律法规而面临的处罚风险。

4 协同机制的具体内容

4.1 协同流程设计

在准备阶段，将密评与等保测评的资产调研表进行融合，增加密码产品与服务的相关调研内容，形成一张综合调研表。由于密评依据《GB/T 39786—2021 信息安全技术信息系统密码应用基本要求》选取指标，等保测评依据《GB/T 22239—2019 信息安全技术网络安全等级保护基本要求》选取指标，两者在测评指标和重点上存在差异。在现场测评阶段，充分利用两者测评内容与测评方法的交集，对等级保护条款中包含密码部分的技术条款同时进行密评与等保测评工作。在分析与报告编制阶段，密评与等保测评都采用单元测评和整体测评的方法进行分析和统计，但在量化评估和高风险判定指引方面采用的方法不同。

5 协同机制的应用案例分析

5.1 案例背景

某市级政务信息系统，承担着大量政务业务的处理和数据存储工作，涉及众多部门和广大民众的信息。该系统已确定为安全保护等级第三级，根据相关法律法规要求，需同时开展密评与等保测评。为提高测评效率，降低测评成本，全面提升系统安全防护水平，该政务信息系统管理部门决定采用密评与等保测评协同机制。

5.2 协同机制实施过程

在准备阶段，测评机构与政务信息系统管理部门共同制定了融合的资产调研表，详细收集了系统的硬件设备、软件系统、网络架构、密码应用等方面的信息。

方案编制阶段，测评机构分别编制了密评方案和等保测评方案。针对身份鉴别、数据传输与存储等交集部分，进行了充分沟通和协调，明确了统一的测评方法和要求。

现场测评阶段，测评人员按照协同流程，对系统进行了全面检测。

分析与报告编制阶段，测评机构分别对密评和等保测评数据进行分析，得出各自的评估结果。

5.3 应用效果

通过采用协同机制，该政务信息系统的测评工作效率大幅提高。原本预计分别进行密评与等保测评需要两个月时间，实际采用协同机制后，一个月内就完成了两项测评工作，节省了大量时间和人力成本。

6 结论

商用密码应用安全性评估与等保测评的协同机制是提升网络与信息系统安全防护能力的有效途径。通过建立协同流程、强化组织保障、促进技术融合以及完善信息共享与反馈机制，能够实现 “一次入场，同步双评”，提高测评效率，降低测评成本，全面保障网络安全。协同实施二者能够提升网络安全防护能力、满足法律法规要求、优化资源配置。未来，随着数字化进程的加速和网络攻击手段的不断升级，密评与等保测评的协同机制将不断完善和发展。通过加强政策法规保障、人才队伍建设、监督管理与责任追究等措施，构建更加完善的网络安全防护体系，为数字经济的蓬勃发展提供坚实保障。