万物互联的时代，数据作为一种生产要素，为数字经济发展注入了新的动能。数据要素在驱动经济发展之时，其安全性也成为了重要命题。国家也在不断出台相应政策完善密码合规，密码测评作为密码合规的重要工作项受到各行业广泛关注。腾讯安全云鼎实验室为解决企业密评时面临的周期长、动作大、成本高三大问题，正式发布密码合规微咨询服务。

微咨询：政策&行业背景下的新尝试

2018年，由国家密码管理局发布的《信息系统密码应用基本要求》正式成为国标，明确了密码合规应用的标准。今年3月，信安标委又发布了《信息安全技术 信息系统密码应用基本要求》，为密码测评提供了强有力的依据，也带来了全新的行业密评诉求。

行业方面，2019年12月，国办发〔2019〕57号文《国家政务信息化项目建设管理办法》中提出“不符合密码应用和网络安全要求，不安排运行维护经费“，另外公安部【2020】1960号文 关于《贯彻等保和关保保护制度指导意见》中明确指出“在网络安全等级测评中同步开展密码应用安全性评估”，由此可见国家对密码合规使用的重视。尤其进入到2021年，各行业满足合规要求的同时，还需要加强自身的数据安全防护能力，国家对企业的密码合规工作要求也更加严苛。

在国家政策和行业要求的双重压力下，企业开展密码合规工作面临的问题日益凸显：满足密评要求大概需要投入多少人力和财力、是否存在瓶颈、当前状况下与合规的差距、IT团队对合规的理解偏差……因此，如若能借由专业的咨询服务团队的帮助，或许能助力密码技术在行业中的落地。云鼎在密码技术应用领域有深入的研究，此次发布密码合规微咨询服务，就是希望能通过咨询的方式来帮助企业有效解决密评相关问题。

趋利避害，以优质咨询服务为标尺

在日常标准的咨询服务中通常会存在周期长、动作大、成本高的问题：

• 周期长：需要逐条对标要求，并通过相应的工具进行验证。开展方式包括问卷和访谈，涉及人员的协调和配合，整个周期约在10天左右；
• 动作大：合规咨询过程中需要与应用系统各角色（包括开发、运维、DBA、产品等）进行访谈，填写问卷，并配合检测工具的安装与使用，甚至影响在线使用；
• 成本高：密码合规相比其它行业，专业能力要求较高，需要由具有理论基础和实践经验的专家开展，固然会有较高成本产生。

而这些问题在密码合规评测咨询过程中，同样也是各企业最为关注的问题。腾讯安全云鼎实验室推出的“密码合规微咨询”服务区别于标准的服务模式，以助力企业“快速掌握关键差距、预估改造成本、可行性评估、理清整改思路”等多维度出发，制定了详细的工作计划，全方位服务企业解决问题：

【摸底阶段】全面掌握当前网络环境状况：

• 基础环境/网络拓扑：包括机房/云情况、运维方式、网络通信情况、安防情况、服务器数量及用途、网络安全设备、数据库情况；
• 应用系统主要功能：应用系统关键业务，数据生命周期，功能间的逻辑关系，应用相关的角色，关键数据；
• 密码应用状况：关键数据加密存储，关键角色的强身份认证，HTTPS加密传输、算法应用情况；
• 已使用的密码设备：包括产品名称、厂家、商密型号、数量、主要用途、算法支撑情况；
• 相关管理制度：现有密码应用相关的人员管理、应急管理以及相关流程、要求等。

【分析阶段】快速评估密码应用全面性、密码算法合理性、密钥管理安全性：

• 关键点未采用密码技术进行保护：关键数据加密存储、重要角色强身份认证登录、HTTPS加密通道、数据交换加密、系统配置信息加密（帐号口令）；
• 密码算法/技术是否满足防护要求：所采用的算法是否经过论证，是否符合国密局、行业监管的要求，算法应用是否得当，（如：接要算法当加密算法、采用RSA1024以下位数算法）；
• 密码设备及服务：密钥管理是否采用了具有国密型号的产品，包括加解密运算设备、数字证书设备、加密卡等。
• 高危风险判别：判断当前密码应用状况是否触碰高危风险

【总结/报告阶段】客观展现当前环境下密码合规的差距：

• 高风险：列出高风险清单，并结合应用状况，给出解决建议
• 关键差距：列出分数高但未满足的项，并给出优先级，如管理制度、加密存储
• 通过率：结合当前状况，预估通过率
• 整改成本：预估整体整改可能产生的人力成本和资金成本
• 整改可行性：对需要整改的项进行分析，判断是否具备可行性，如硬件加密机的方式、透明加密技术、双向SSL、强身份认证登录等，遵循最小成本原则

微咨询以“小单元、针对性强、短平快、更合理付出、更实际有效”的特性，近年来在各行业广泛应用。而在信息行业，相较于标准的密码合规咨询，微咨询更具有“周期短、影响小、费用低”的特点。目前也已经在政务、金融、交通、汽车等行业展开应用。未来密评微咨询服务也将不断满足业内大企业碎片化咨询和学习的需求，同时让中小型企业拥有智慧团队服务，依托移动互联网使密评答疑变得随时随地~