一、建设背景

近年来，随着地缘政治、贸易环境的不断恶化，网络安全已经成为国家间的第五战场，我国为提升国家经济实力、保障国家安全以及促进产业发展等方面，大力发展国产化改造，而密码作为网络安全其中有效且有积淀的能力，由国家密码管理局主管制定管理办法，依据国家标准GB/T 39786进行建设，辅以测评机构进行检查，对应不执行或者执行不到位的单位进行处罚，构建了一套从标准到落地的全链条闭环管理流程。在此基础之上实践出一套关于企业密码安全的建设顶层规划。

二、管理体系

管理体系是依据《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》、《商用密码管理条例
》等上位要求进行设计，建议组织机构、管理制度、流程管理和人员管理等从四个方面进行规划。

构建统一有效的密码组织专项部门：在一级信息安全部门之下构建专项密码二级部门，由密码二级部门统筹管理密码能力评估、操作、审计等专项职责岗位；
制定全面有力的密码专项制度文件：通过设计一级的规则制度顶层要求到四级的实际操作手册，辅以考核机构来实现制度落地；
组建成熟完备的商用密码安全人才：建立岗位责任分离制度，密码操作、密钥管理需人员分离、定期变更进行管理、同时需要监控人员从入职到离职的一系列监控措施；
嵌入灵活安全的密码项目建设流程：在项目建设前邀请密码专家进行评估，在项目建设中采用三同步的管理，在项目下线后进行后评估来保障项目的全流程安全管理。

三、技术体系

现有商用密码评估的技术体系是以服务器密码机、签名验签服务和VPN服务器为底层构建密码能力资源池，采用云服务的思想，搭建上层的密码服务管理平台最大限度地利用密码资源池能力，实现按需使用、按需付费。
**在安全方面：**应有熔断机制，可阻断高流量访问、非法流量访问的控制机制；
**在能力方面：**应有身份认证、签名验签以及数据加解密等底层密码资源池的安全调用能力，包括API和SDK等方式；
**早管理方面：**应有负责均衡、资源监控和用户管理等能力，帮助用户管理企业整体密码资源；

四、运营体系

密码安全运营体系参考“三化六防”的设计理念，以实战化密码运营、常态化密码运营和体系化运营来保障商用密码的用好、好用。

实战化密码运营：就是以安全演练、密码竞赛和渗透测试等手段来最大限度模拟黑客可能进行攻击的手段，探寻密码防线的最薄弱的位置；
常态化密码运营：就是以密码风险管理、暴露面检查、密码培训以及日常审计等手段加入到密码设备的巡检过程中去，实时掌握密码风险；
体系化密码运营：就是以安全合规和密码风险评估框架为基础展开的可持续发展的密码运营体系；

高等领导的支持是商用密码的实践成功最为重要的因素。