密碼標準研究與安全測評實(shí)驗室

  2020年1月，上海軟件中心成立了密碼標準研究與安全測評實(shí)驗室（簡(jiǎn)稱(chēng)：密碼實(shí)驗室），聘請了著(zhù)名信息分析專(zhuān)家、中國科學(xué)院鄭建華院士為首席科學(xué)家，由密碼學(xué)博士等專(zhuān)業(yè)技術(shù)人員組成了密碼技術(shù)團隊，堅持以商用密碼及“信創(chuàng )”等關(guān)鍵技術(shù)研究為支撐，實(shí)現技術(shù)突破和應用創(chuàng )新高度融合，提升以第三方為核心的全生命周期技術(shù)服務(wù)，促進(jìn)科技成果轉化應用和產(chǎn)業(yè)發(fā)展。

  密碼實(shí)驗室的成立是上海軟件中心緊跟國家發(fā)展戰略、把牢網(wǎng)絡(luò )安全大門(mén)、助推密碼行業(yè)發(fā)展的一項重要舉措，得到國家密碼局領(lǐng)導、上海密碼局領(lǐng)導的大力支持。上海軟件中心作為上海市商用密碼行業(yè)協(xié)會(huì )發(fā)起單位之一，擔任首屆副會(huì )長(cháng)單位。

  密碼實(shí)驗室自主研發(fā)了機密性檢測軟件、商用密碼應用安全性評估工具，并已獲得軟件著(zhù)作權。針對中國國際進(jìn)出口博覽會(huì )官方網(wǎng)站進(jìn)行了密碼應用安全性差距評估，并為多個(gè)政府信息系統撰寫(xiě)了密碼應用建設方案，獲得用戶(hù)一致好評。

密碼實(shí)驗室的主要業(yè)務(wù)如下：

預評估：

依據國家標準《信息安全技術(shù) 信息系統密碼應用基本要求》（GB/T 39786-2021）、《信息系統密碼應用測評要求》、《信息系統密碼應用測評過(guò)程指南》、《信息系統密碼應用高風(fēng)險判定指引》、《商用密碼應用安全性評估量化評估規則》、《政務(wù)信息系統密碼應用與安全性評估工作指南》等標準和規范，從物理和環(huán)境安全、網(wǎng)絡(luò )和通信安全、設備和計算安全、應用和數據安全、管理制度、人員管理、建設運行、應急處置和密鑰管理等方面對信息系統進(jìn)行商用密碼應用安全性預評估，給出差距分析報告，并提出改進(jìn)建議。

建設咨詢(xún)：

解讀密碼相關(guān)政策；統籌密評和等保測評要點(diǎn)，對新建信息系統提供規劃階段的咨詢(xún)服務(wù)，設計包括密碼支撐體系總體架構、密碼基礎設施建設部署、密鑰管理體系構建、密碼產(chǎn)品部署及管理等內容的密碼應用建設方案；為已建信息系統梳理當前密碼應用現狀，調研分析所使用的密碼算法、密碼協(xié)議、密鑰管理是否符合法律法規和密碼相關(guān)國家、行業(yè)標準要求，為信息系統的密碼應用整改方案提供咨詢(xún)服務(wù)。

機密性檢測：

結合自主研發(fā)機密性檢測工具，為信息系統運營(yíng)方提供機密性檢測服務(wù)，幫助發(fā)現存儲資源中未按要求加密存儲的重要、敏感數據，判斷系統是否切實(shí)使用了密碼加密保護功能。

商密檢測平臺：

自主研發(fā)商用密碼檢測平臺，其功能包括密碼算法有效性檢測工具、基于B/S、C/S網(wǎng)絡(luò )數據抓取及協(xié)議分析工具、數字證書(shū)驗證和解析、以及包含系統信息收集和分析、現場(chǎng)測評結果和記錄、量化評估、風(fēng)險分析、報告編制等全流程的測評工具，可為測評機構提供客觀(guān)高效的測評輔助平臺。