2022年，“密评”已经成为业内十分关注的热词，提及“密评”，大家已经不再是“只闻其名不知其意”的状态。随着近年《密码法》、密评等相关政策的发布以及行业的积极推动实施，促进了整体市场的发展，众多企业对密评有了认知，也知晓了其重要性。现阶段的问题已基本由“密为何评”过渡到了“涉密须评”，但此时也出现了新的问题——密评建设框架体系逐步形成，但密评体系是否真的合规、安全？

企业头疼整改问题之时又会与行业痛点狭路相逢，即密码从业人员专业水平不一、对标准理解不一，同时缺乏测评工具。这会让整改过程变得主观，同时也可能会让流程陷入死循环。因此基于市场需求，密评预测评系统就横空出世。密评预测评系统需要具备哪些检测内容，才能有效评估、相对保证密评体系的合规和安全？

一、政策合规检查

【资料图】

从政策标准出发，可根据GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》进行初步合规检查， 对测评指标、测评实施步骤和结果进行初步判定，可快速识别企业内部不密评不合规项 。

二、密评内部审查

用户在进行密评前要做好评估准备，期间需要采集的信息十分繁多，基本情况、业务情况、应用情况等诸多方面都需要详细完善。 方案编制和现场评估主要从技术要求和管理要求两大方面进行评估， 预评估系统需要根据这些要求点和细节给出评估指标、评估对象和判定指引。用户在预评估系统中填入详细信息后，预评估系统再形成一份详细的分析报告，这样可以帮助用户先进行详细的、相对客观和专业的内部审查。

三、加密算法验证

从算法出发，使用密评工具，验证加密方式是否符合国密算法。

四、安全协议分析

通过此功能，进行密码产品核查，确认密码产品的功能可以用于通信数据的保密性保护；其次检查使用的密钥的安全性。 用户可以了解通信过程中采用的完整性保护实现机制、检查密码产品 ，查看通信过程中数据完整性保护配置是否正确，验证通信过程中数据完整性保护是否有效。

五、证书合规检测

通过此功能，核查信息系统采用的相关密码服务是否获得了国家密码管理部门或商用密码认证机构颁发的相应证书， 可查看CA机构是否获取《电子认证服务使用密码许可证》，且证书在有效期内 。

六、数据机密性检测

通过此功能，可验证重要数据在传输和存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要用户信息等。 用户可以对应用层通信协议的完整性保护功能进行检查，特别要关注密钥生命周期的安全性 ，可以采用网络抓包的方式对完整性保护功能的有效性进行确认。

数观天下作为“ 最懂甲方的密码行业咨询媒体 ”，会提供更多 甲方思路、理念及项目 情况，为产业提供桥梁，促进密码与应用完美结合。