10月15日，由北京威廉希尔股份有限公司（簡稱“威廉希尔”）和北京數(shù)字世界咨詢有限公司聯(lián)合主辦的“2021年商用密碼應(yīng)用與安全性評估技術(shù)沙龍”召開，與會各位嘉賓圍繞密碼保障系統(tǒng)的相關(guān)政策和要求，介紹了密評的過程及注意要點，探討了密碼保障系統(tǒng)建設(shè)的方法思路，并就密碼應(yīng)用和安全性評估廣為關(guān)心的問題發(fā)表了看法。

數(shù)世咨詢創(chuàng)始人兼總經(jīng)理李少鵬主持開場

隨著《密碼法》《數(shù)據(jù)安全法》的落地實施，開展密評成為檢驗商用密碼應(yīng)用合規(guī)、正確、有效的重要途徑，將有助于從根本上改變商用密碼應(yīng)用不廣泛、不規(guī)范、不安全的現(xiàn)狀，確保商用密碼在網(wǎng)絡(luò)和信息系統(tǒng)中有效使用，切實構(gòu)建起堅實可靠的網(wǎng)絡(luò)安全密碼屏障。開展密評，同時也是國家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)提出的明確要求，是法定責任和義務(wù)。

中科院信息工程研究所副研究員、中國密碼學會密評聯(lián)委會副主任委員馬原從《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T39786-2021）出發(fā)，介紹了密評體系和測評要點，即從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全、管理制度、人員管理、建設(shè)運行、應(yīng)急處置8個方面，按照“高風險判定+量化評估”的原則，判定密碼應(yīng)用的合規(guī)性、安全性、正確性和有效性。

國家信息技術(shù)安全研究中心密評實驗室主任吳冬宇結(jié)合工作經(jīng)驗，對密評流程和內(nèi)容作了介紹，對于密評的內(nèi)容，吳冬宇詳細地介紹了密評中通用指標測評、技術(shù)測評、管理測評的測評項、關(guān)鍵測評點和測評對象，以及每項測評內(nèi)容中的重點注意事項，為系統(tǒng)運營方開展密評提供了專業(yè)的建議和系統(tǒng)建設(shè)思路。此外，他還從對象、測評內(nèi)容、評估流程等方面介紹了密評、網(wǎng)絡(luò)安全等級測評、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估之間的關(guān)系，指明了用戶在開展密評時常見的誤區(qū)。

了解了為什么要開展密評和怎樣開展密評之后，那么究竟如何建設(shè)行之有效的密碼保障系統(tǒng)呢？威廉希尔研究院院長夏魯寧博士給出了解答，他提到，設(shè)計一個好的密碼應(yīng)用方案應(yīng)當分為“四步走”，即厘清系統(tǒng)保護對象、確定密碼應(yīng)用需求、編制密碼應(yīng)用方案和方案自評估。厘清系統(tǒng)保護對象，就是要梳理業(yè)務(wù)重要信息，明確信息保護的范圍和對象；確定密碼應(yīng)用需求，主要是從機密性、完整性、真實性、不可否認性四個維度進行風險評估與密碼需求分析；編制密碼應(yīng)用方案，需要遵循總體性、成熟性與經(jīng)濟性原則，以GB/T39786-2021標準為指引，設(shè)計包含密碼技術(shù)措施、安全管理措施在內(nèi)的建設(shè)方案，科學選擇密碼應(yīng)用措施；同時，要特別重視證書及密鑰管理，以及密碼應(yīng)用方案的自評估工作。

在壓軸的圓桌討論環(huán)節(jié)，活動特邀請到國家廣播電視總局衛(wèi)管中心網(wǎng)絡(luò)安全負責人趙予汐同與會嘉賓共同研討，吳冬宇和夏魯寧分別站在系統(tǒng)測評方和系統(tǒng)運營方的角度，就開展密評過程中的典型問題進行探討。談到密評給用戶帶來的價值時，趙予汐提到，開展密評一方面可以有效提高系統(tǒng)運營方內(nèi)部對于密碼應(yīng)用的重視程度，另一方面，更能為構(gòu)建完整的網(wǎng)絡(luò)安全體系提供思路，讓密碼應(yīng)用發(fā)揮更有效的網(wǎng)絡(luò)安全保障作用。

密評是手段，不是目的，最終是為了密碼技術(shù)更安全有效的應(yīng)用，保障重要信息系統(tǒng)的網(wǎng)絡(luò)安全，本次技術(shù)沙龍撥云見日，為用戶建設(shè)密碼保障系統(tǒng)提供了實用“方法論”。面向未來，威廉希尔將繼續(xù)堅持密碼主航道，以密碼之力護航網(wǎng)絡(luò)安全，與千行百業(yè)攜手并進，共建可信任的數(shù)字世界。