招标讯息

项目介绍 ：

【资料图】

商用密码应用与安全性评估及整改服务采购项目

招标项目的:

为切实了解商用密码技术应用及安全管理方面与其相应安全等级信息系统密码应用基本要求之间的差距，提高信息系统的安全性，现进行商用密码应用与安全性评估（以下简称密码评估）并提供相关技术咨询服务。

项目规模：

预算金额 ： 500万元

招标范围：

商用密码应用与安全性评估及整改工作

工作内容：

商用密码应用安全性调研、协助编制密码应用方案、对密码应用方案提出咨询建议、密码应用方案评审、整改后商用密码应用安全性评估。

大家见到以上招标信息，是不是有点小心动？近两年，随着密评相关政策的实施，密评变成了一个热门话题，但密码真正为客户提供了什么？好像很少有人说的清楚。

在和一位安全圈资深创业大佬聊天时，他提到“安全行业做的是情怀，安全很有意思，给客户产生的价值会让自己有成就感。”所以价值又是什么？作为一名多年密码从业者和安全爱好者，我对密码领域一直具有浓厚的兴趣，在任何场所遇到密码圈的人，都想凑过去一起聊聊对密码的看法。以下仅限本人对密码的一些看法，如有偏颇之处，请大家批评指正。

最开始接触密码时，只知道加密，甚至连商密、国密都搞不清楚，只停留在vpn等设备的认知里，到后面《密码法》等相关政策发布，才对密码有了一些了解。随着GB∕T 39786-2021 《信息安全技术 信息系统密码应用基本要求》的发布实施，密评已经成为国家网络安全建设的第三大合规市场，密码圈也掀起了一波小热潮，业界很多安全厂商均进入了这个赛道，并陆续推出了自己的密码安全体系架构。

当然，密评变得火热的同时也向甲方发起了一些挑战，无论是对于思想意识还停留在“为了密评而密评”的甲方，还是对安全有更深理解的安全技术人员，在密评这件事情上，他们最关心的是“密评不做行不行？密评提供了哪些能力？”

作为一名密码从业者，我也一直在思考这个问题，密码真正给用户提供了哪些能力？合规？加密？还是保护了什么？在既有政策、又有热度的阶段，对于密码厂商来说，无疑是以密评政策为导向，为客户提供整体的密码安全体系。对于密评机构来说，则是根据对合规的理解，为客户提供检测，我认为以上两者只是密码体系中的一小部分。

从我个人的理解来说，密码应从以下几个方面考虑：

1.从密码全局视角出发

密码应用一定是个全局工作，需要用整体化、体系化的角度来思考：意识、体系、技术、产品、应用、管理等都是必须考虑的内容，不能只注重某一个环节，要做到密码工作的正确性、有效性、合法性、长期性，才能真正发挥密码的核心和基础保障作用。举个例子，在安全行业火热的攻防演练活动中，大家关注的是有没有被攻击，可能很少有人去关注数据是否真正加密。

2.创新密码技术架构

当下技术架构、密码产品百家齐鸣，受技术的发展、政策的导向、应用的需求变化等多种因素的影响，应结合用户自身的实际情况及时调整，而不是以传统或一体化架构为理念，要发挥密码技术的真正价值。

3.密码与业务深度融合

随着密评市场的兴起，大部分厂商都会用咨询服务这个转手充分放大能力，鉴于密码涉及的方面比较多，并且每个单位的情况又不尽相同，应对客户的真实需求、业务流程和应用场景（密码与业务、密码与管理、密码与数据、密码与传统安全、密码与云等）及特征有深入的了解，辅导用户密码的重要性，才能为用户提供最优的解决方案。

密码行业应从密码产业大局出发，绘制自己的贡献蓝图。当下密码行业是个新型行业，存在着广阔的创新空间，任何密码企业都可以从国家政策和行业需求中寻找适合自己的生存和发展空间。

数观天下作为“ 最懂甲方的密码行业咨询媒体 ”，会提供更多 甲方思路、理念及项目 情况，为产业提供桥梁，促进密码与应用完美结合。