焦 迪

（國(guó)家信息中心，北京100045）

0 引 言

密碼是國(guó)家重要戰(zhàn)略資源，是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐。密碼工作是黨和國(guó)家的一項(xiàng)特殊重要工作，直接關(guān)系國(guó)家政治安全、經(jīng)濟(jì)安全、國(guó)防安全和信息安全。習(xí)近平主席指出：“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)。”而密碼將在數(shù)據(jù)加密、身份鑒別、訪(fǎng)問(wèn)控制、取證溯源等方面發(fā)揮著難以替代的重要作用[1]。隨著國(guó)際公開(kāi)密碼算法大量普及和應(yīng)用，密碼應(yīng)用已經(jīng)發(fā)生了很大變化，密碼已經(jīng)從過(guò)去被認(rèn)為主要是認(rèn)證、加密，到現(xiàn)在滲透進(jìn)了信息化建設(shè)的方方面面，各國(guó)也意識(shí)到了密碼技術(shù)和應(yīng)用的重要性，開(kāi)始加強(qiáng)在密碼方面的管理。我國(guó)出臺(tái)了《中華人民共和國(guó)密碼法》等一系列法律法規(guī)政策文件，從國(guó)家層面不斷推動(dòng)密碼應(yīng)用發(fā)展，然而各政務(wù)信息系統(tǒng)運(yùn)維單位在實(shí)際工作開(kāi)展中，依然對(duì)密碼應(yīng)用的管理職責(zé)界定不清，影響到工作進(jìn)展。為此我們進(jìn)行了深入研究，也基于密碼技術(shù)框架和當(dāng)前各政務(wù)部門(mén)職能設(shè)置，提出了一套密碼應(yīng)用管理體系建設(shè)思路。

1 密碼應(yīng)用的政策要求

面對(duì)國(guó)家網(wǎng)絡(luò)安全的新形勢(shì)，我國(guó)已在多部法律法規(guī)中明確規(guī)定了密碼應(yīng)用的要求，從基礎(chǔ)性法律、相關(guān)性法律、產(chǎn)品要求、服務(wù)要求、項(xiàng)目建設(shè)要求等多方面，形成了一套全面的密碼政策體系。

密碼法建立了密碼領(lǐng)域綜合性、基礎(chǔ)性法律。密碼法貫徹落實(shí)總體國(guó)家安全觀，是國(guó)家安全法律體系的重要組成部分，也是一部針對(duì)密碼的技術(shù)性、專(zhuān)業(yè)性的法律。該法律明確了密碼分類(lèi)管理的原則，規(guī)定了商用密碼標(biāo)準(zhǔn)化制度、檢測(cè)認(rèn)證制度、市場(chǎng)準(zhǔn)入制度、使用要求、監(jiān)管要求等，以及違反相關(guān)規(guī)定時(shí)所付的法律責(zé)任?！吨腥A人民共和國(guó)密碼法》的出臺(tái)提升了密碼工作法制化保障水平。

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》等奠定了密碼在網(wǎng)絡(luò)和關(guān)鍵信息基礎(chǔ)設(shè)施中的核心地位?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者在密碼應(yīng)用方面的責(zé)任做出了明確要求，網(wǎng)絡(luò)運(yùn)行安全中提到，國(guó)家實(shí)施網(wǎng)絡(luò)可信身份戰(zhàn)略，支持研究開(kāi)發(fā)安全、方便的電子身份認(rèn)證技術(shù)，推動(dòng)不同電子身份認(rèn)證之間的互認(rèn)。安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，都是以密碼為基因構(gòu)建的。網(wǎng)絡(luò)信息安全中提到，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。而保護(hù)數(shù)據(jù)的完整性、機(jī)密性、真實(shí)性，都是以密碼為核心技術(shù)實(shí)現(xiàn)的。而《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》是體現(xiàn)了密碼要求在網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中的重要作用，明確了在網(wǎng)絡(luò)安全等級(jí)保護(hù)中密碼管理的主要思路和手段，強(qiáng)調(diào)了網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上系統(tǒng)使用密碼進(jìn)行保護(hù)的義務(wù)?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》提出了關(guān)鍵信息基礎(chǔ)設(shè)施中的密碼使用和管理，應(yīng)當(dāng)遵守密碼法律法規(guī)，明確了密碼管理部門(mén)的相關(guān)職責(zé)，體現(xiàn)了密碼管理在國(guó)家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)中的重要地位和作用，為密碼管理工作提供了依據(jù)和有力支撐。

《商用密碼管理?xiàng)l例》提出了對(duì)密碼產(chǎn)品的管理要求。條例是我國(guó)較早期發(fā)布的密碼領(lǐng)域的管理辦法，明確規(guī)定了國(guó)家對(duì)商用密碼產(chǎn)品的研發(fā)、生產(chǎn)、銷(xiāo)售和使用的專(zhuān)控管理要求。目前條例正在根據(jù)密碼法精神進(jìn)行修訂，主要體現(xiàn)國(guó)家“放管服”改革要求，更加強(qiáng)化密碼應(yīng)用要求，進(jìn)一步促進(jìn)密碼應(yīng)用行業(yè)發(fā)展。突出對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)的密碼應(yīng)用監(jiān)管，明確實(shí)施商用密碼應(yīng)用安全性評(píng)估和安全審查制度。

《電子認(rèn)證服務(wù)密碼管理辦法》明確了電子認(rèn)證服務(wù)機(jī)構(gòu)對(duì)密碼使用的管理要求。規(guī)定了采用密碼技術(shù)為社會(huì)公眾提供第三方電子認(rèn)證服務(wù)的系統(tǒng)應(yīng)當(dāng)使用商用密碼，明確了申請(qǐng)電子認(rèn)證服務(wù)使用密碼應(yīng)當(dāng)具備的基本條件和程序，以及電子認(rèn)證服務(wù)系統(tǒng)的運(yùn)行和技術(shù)改造等要求。同時(shí)，要求電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)配合通過(guò)國(guó)家密碼管理局組織的安全性審查[2]。

《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》規(guī)定了政務(wù)信息化項(xiàng)目建設(shè)過(guò)程中密碼要求。最近發(fā)布的《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》（國(guó)辦發(fā)〔2019〕57號(hào)），在對(duì)國(guó)家政務(wù)信息系統(tǒng)的規(guī)劃、審批、建設(shè)、共享和監(jiān)管方面明確規(guī)定了多項(xiàng)密碼應(yīng)用有關(guān)要求，從項(xiàng)目建設(shè)角度細(xì)化了國(guó)家對(duì)密碼應(yīng)用的要求。要求政務(wù)信息化項(xiàng)目建設(shè)單位，按照三同步原則建設(shè)密碼保障系統(tǒng)并定期進(jìn)行評(píng)估，向發(fā)改委備案密碼應(yīng)用方案和密碼應(yīng)用安全性評(píng)估報(bào)告，項(xiàng)目密碼應(yīng)用安全性評(píng)估報(bào)告作為項(xiàng)目驗(yàn)收的必要內(nèi)容，國(guó)務(wù)院有關(guān)部門(mén)對(duì)密碼應(yīng)用情況實(shí)施監(jiān)督管理。并明確提出，不符合密碼應(yīng)用等情況的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)[3]?？梢哉f(shuō)，《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》對(duì)密碼應(yīng)用在政務(wù)信息系統(tǒng)建設(shè)中的具體落實(shí)打入了強(qiáng)心劑。

密碼工作，關(guān)乎國(guó)家安全和人民群眾的切身利益，屬于技術(shù)性很強(qiáng)的政治工作，是加強(qiáng)黨的領(lǐng)導(dǎo)、貫徹落實(shí)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的重要技術(shù)支撐。我國(guó)在密碼相關(guān)的法律法規(guī)、政策體系制定方面不斷探索和完善，明確了密碼主管部門(mén)和網(wǎng)絡(luò)建設(shè)運(yùn)維單位及相關(guān)單位的密碼職責(zé)，有效推動(dòng)密碼產(chǎn)業(yè)在我國(guó)的快速發(fā)展。

2 政務(wù)密碼應(yīng)用架構(gòu)

2.1 密碼技術(shù)體系

在國(guó)家密碼管理局2010年發(fā)布的《公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系框架規(guī)范》中，將公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系框架分為密碼設(shè)備服務(wù)層、通用密碼服務(wù)層、典型密碼服務(wù)層。密碼設(shè)備負(fù)責(zé)提供密碼運(yùn)算服務(wù)，證書(shū)認(rèn)證系統(tǒng)、屬性證書(shū)系統(tǒng)、時(shí)間戳系統(tǒng)、密鑰管理系統(tǒng)等基礎(chǔ)設(shè)施提供證書(shū)管理、時(shí)間戳管理和密鑰管理等基礎(chǔ)服務(wù)，并以標(biāo)準(zhǔn)接口形式為應(yīng)用系統(tǒng)提供統(tǒng)一的身份鑒別、單點(diǎn)登錄、數(shù)據(jù)加解密、數(shù)字簽名及驗(yàn)證等密碼服務(wù)[4]。

對(duì)于商用密碼體系，經(jīng)過(guò)我國(guó)產(chǎn)學(xué)研各界聯(lián)合研究設(shè)計(jì)，初步提出了商用密碼應(yīng)用技術(shù)架構(gòu)，主要包括資源、支撐、服務(wù)、應(yīng)用四個(gè)層次，以及提供管理服務(wù)的密碼管理基礎(chǔ)設(shè)施。

（1）密碼資源層。提供底層的密碼算法及封裝密碼算法的算法軟件等。

（2）密碼支撐層。提供密碼資源調(diào)用，包括密碼模塊、密碼卡、密碼機(jī)等密碼產(chǎn)品。

（3）密碼服務(wù)層。提供密碼應(yīng)用的接口，為上次應(yīng)用提供數(shù)據(jù)機(jī)密性保護(hù)等對(duì)稱(chēng)密碼服務(wù)以及身份認(rèn)證、數(shù)據(jù)完整性保護(hù)等公鑰密碼服務(wù)。

（4）密碼應(yīng)用層。調(diào)用密碼服務(wù)層提供的密碼應(yīng)用程序接口，實(shí)現(xiàn)數(shù)據(jù)加解密、簽名驗(yàn)簽等功能。如電子郵件、電子印章等系統(tǒng)。

最后，密碼管理基礎(chǔ)設(shè)施相對(duì)獨(dú)立，上述四層提供密鑰管理、設(shè)備管理、信任管理、運(yùn)維管理等服務(wù)。

2.2 電子政務(wù)密碼體系架構(gòu)

根據(jù)我國(guó)標(biāo)準(zhǔn)化的密碼技術(shù)體系設(shè)計(jì)，結(jié)合商用密碼在政務(wù)信息系統(tǒng)中的應(yīng)用場(chǎng)景，并考慮政務(wù)部門(mén)相關(guān)職能職責(zé)設(shè)置，可將政務(wù)應(yīng)用中密碼應(yīng)用技術(shù)體系分為三層，分別為密鑰管理和電子認(rèn)證基礎(chǔ)設(shè)施、密碼產(chǎn)品（密碼中間件）、密碼應(yīng)用，輔之以密碼標(biāo)準(zhǔn)規(guī)范和運(yùn)行安全管理，框架如圖1所示。

圖1 政務(wù)密碼體系架構(gòu)

（1）密鑰管理和電子認(rèn)證基礎(chǔ)設(shè)施，屬于最底層，應(yīng)當(dāng)符合國(guó)家有關(guān)管理規(guī)定予以重點(diǎn)保障，其中密鑰管理包括兩個(gè)部分，一是電子認(rèn)證基礎(chǔ)設(shè)施密鑰管理；二是密碼應(yīng)用的密鑰管理，可根據(jù)政務(wù)部門(mén)職能的分工分別進(jìn)行建設(shè)和管理。

（2）密碼產(chǎn)品（密碼中間件），屬于中間層，包括密碼機(jī)、VPN網(wǎng)關(guān)、身份認(rèn)證系統(tǒng)等密碼產(chǎn)品、密碼服務(wù)產(chǎn)品以及密碼服務(wù)接口，通過(guò)密碼產(chǎn)品+密碼服務(wù)接口，或者密碼服務(wù)產(chǎn)品+密碼服務(wù)接口為上層應(yīng)用提供與底層密碼算法、密碼協(xié)議、密碼設(shè)備無(wú)關(guān)的密碼服務(wù)支撐，在中間層應(yīng)統(tǒng)籌規(guī)劃，整合資源，建立統(tǒng)一管理調(diào)度的密碼服務(wù)體系。

（3）密碼應(yīng)用，屬于最上層，是政務(wù)信息系統(tǒng)對(duì)下層密碼服務(wù)的調(diào)用和應(yīng)用，實(shí)現(xiàn)密碼對(duì)應(yīng)用和數(shù)據(jù)的完整性、真實(shí)性、機(jī)密性的保護(hù)，包括政務(wù)郵箱、移動(dòng)辦公應(yīng)用等。

2.3 電子政務(wù)典型密碼應(yīng)用

隨著政務(wù)信息整合共享工作的開(kāi)展，數(shù)據(jù)安全保護(hù)對(duì)密碼的場(chǎng)景化需求越來(lái)越多，要求越來(lái)越高。政務(wù)領(lǐng)域密碼典型應(yīng)用場(chǎng)景包括身份鑒別、數(shù)據(jù)加解密、數(shù)字簽名與驗(yàn)簽、電子印章、數(shù)據(jù)完整性保護(hù)等[5]。在實(shí)際工作開(kāi)展過(guò)程中，既可以通過(guò)統(tǒng)一的密碼支撐服務(wù)接口對(duì)外提供密碼應(yīng)用服務(wù)，也可以直接部署相應(yīng)的密碼應(yīng)用產(chǎn)品來(lái)實(shí)現(xiàn)。結(jié)合政務(wù)信息化的需求，將密碼為應(yīng)用提供的支撐服務(wù)分為安全認(rèn)證類(lèi)接口、加密保護(hù)類(lèi)接口、密碼應(yīng)用產(chǎn)品三大類(lèi)，具體如表1所示。

表1 電子政務(wù)密碼應(yīng)用支撐服務(wù)類(lèi)型

3 構(gòu)建政務(wù)密碼應(yīng)用管理體系的建議

隨著各政務(wù)部門(mén)開(kāi)始建設(shè)密碼設(shè)施并開(kāi)展密碼應(yīng)用，密碼應(yīng)用分工不清的問(wèn)題日益凸顯，嚴(yán)重阻礙了工作的有序開(kāi)展。密碼是從頂層貫穿到底層的全流程工作，需要信息化建設(shè)的各個(gè)部門(mén)參與進(jìn)來(lái)，尤其是業(yè)務(wù)應(yīng)用責(zé)任部門(mén)嚴(yán)重缺位，并未參與密碼需求分析和設(shè)計(jì)，導(dǎo)致密碼設(shè)計(jì)并未與實(shí)際的業(yè)務(wù)應(yīng)用和數(shù)據(jù)深度結(jié)合，密碼設(shè)施無(wú)法真正發(fā)揮支撐實(shí)效，此外，密碼管理部門(mén)大多并未建立，對(duì)于密碼的全流程管理也存在較大疏忽。因此，要真正推動(dòng)密碼政務(wù)信息系統(tǒng)中的落地使用，亟需理清各部門(mén)參與密碼工作時(shí)的職責(zé)邊界，明確分工，才能有利于后續(xù)工作順利開(kāi)展。我們按照國(guó)家有關(guān)要求、密碼體系架構(gòu)以及電子政務(wù)領(lǐng)域典型密碼應(yīng)用，圍繞業(yè)務(wù)應(yīng)用部門(mén)、安全管理部門(mén)、電子認(rèn)證服務(wù)方、密碼管理部門(mén)四個(gè)角色，研究形成包含需求分析、設(shè)施建設(shè)、電子認(rèn)證、密碼管理的密碼應(yīng)用管理體系。

3.1 業(yè)務(wù)應(yīng)用部門(mén)負(fù)責(zé)提出密碼應(yīng)用需求

業(yè)務(wù)應(yīng)用部門(mén)負(fù)責(zé)政務(wù)應(yīng)用系統(tǒng)設(shè)計(jì)和建設(shè)，在設(shè)計(jì)業(yè)務(wù)系統(tǒng)的同時(shí)，應(yīng)當(dāng)遵循三同步原則，按照GM/T 0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》標(biāo)準(zhǔn)內(nèi)容，根據(jù)不同等級(jí)信息系統(tǒng)的要求，從應(yīng)用和數(shù)據(jù)安全保護(hù)層面提出密碼應(yīng)用的需求。應(yīng)用安全方面通過(guò)分析應(yīng)用系統(tǒng)及其訪(fǎng)問(wèn)用戶(hù)的類(lèi)別，按照重要程度進(jìn)行分級(jí)分類(lèi)，對(duì)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)控制和用戶(hù)身份認(rèn)證方式、業(yè)務(wù)訪(fǎng)問(wèn)列表完整性保護(hù)、日志記錄完整性保護(hù)等方面提出密碼應(yīng)用需求。數(shù)據(jù)安全方面通過(guò)梳理分析業(yè)務(wù)系統(tǒng)所涵蓋數(shù)據(jù)資產(chǎn)范圍，包括業(yè)務(wù)數(shù)據(jù)、用戶(hù)數(shù)據(jù)、配置數(shù)據(jù)等，并對(duì)數(shù)據(jù)的重要程度進(jìn)行分析和分級(jí)，識(shí)別敏感數(shù)據(jù)，對(duì)數(shù)據(jù)在采集、存儲(chǔ)、傳輸?shù)拳h(huán)節(jié)的機(jī)密性、完整性、行為不可否認(rèn)性等要求提出密碼需求。并將需求整理后提交給密碼體系設(shè)計(jì)及建設(shè)部門(mén)[6]。

3.2 安全管理部門(mén)負(fù)責(zé)整體設(shè)計(jì)并建設(shè)密碼體系

根據(jù)業(yè)務(wù)部門(mén)提出的密碼應(yīng)用需求，結(jié)合物理環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算等環(huán)節(jié)的密碼應(yīng)用需求，按照GM/T 0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》，制定整體密碼應(yīng)用方案，并對(duì)照落實(shí)形成密碼建設(shè)和管理方案，如果業(yè)務(wù)系統(tǒng)部署在云平臺(tái)上，還應(yīng)當(dāng)制定專(zhuān)門(mén)的云平臺(tái)密碼應(yīng)用方案。將密碼應(yīng)用方案報(bào)送密碼主管單位和本單位密碼應(yīng)用監(jiān)督部門(mén)備案審核。審核通過(guò)后按照方案進(jìn)行部署實(shí)施，通過(guò)采購(gòu)符合國(guó)家要求的密碼產(chǎn)品，建設(shè)密鑰管理基礎(chǔ)設(shè)施和密碼應(yīng)用支撐平臺(tái)，以統(tǒng)一的密碼服務(wù)接口實(shí)現(xiàn)與應(yīng)用系統(tǒng)的對(duì)接，滿(mǎn)足業(yè)務(wù)應(yīng)用和數(shù)據(jù)以及集成環(huán)境對(duì)于密碼的需求。同時(shí)，在物理環(huán)境方面應(yīng)當(dāng)實(shí)現(xiàn)對(duì)重要區(qū)域人員身份真實(shí)性的保護(hù)、對(duì)門(mén)禁記錄等敏感信息完整性的保護(hù)，在網(wǎng)絡(luò)和通信方面應(yīng)當(dāng)實(shí)現(xiàn)對(duì)通信雙方身份認(rèn)證、通信數(shù)據(jù)完整性和機(jī)密性保護(hù)、邊界控制信息完整性保護(hù)、設(shè)備管理通道保護(hù)等，在設(shè)備與計(jì)算方面應(yīng)當(dāng)實(shí)現(xiàn)基于密碼的身份鑒別、鑒別信息的遠(yuǎn)程加密保護(hù)、訪(fǎng)問(wèn)類(lèi)別的完整性保護(hù)等[6]。

3.3 電子認(rèn)證服務(wù)方負(fù)責(zé)提供數(shù)字證書(shū)服務(wù)

《中華人民共和國(guó)電子簽名法》和《電子政務(wù)電子認(rèn)證服務(wù)管理辦法》對(duì)電子認(rèn)證的工作內(nèi)容和服務(wù)邊界有明確要求。按照相關(guān)規(guī)定，政務(wù)部門(mén)應(yīng)當(dāng)選擇具有電子政務(wù)電子認(rèn)證服務(wù)資質(zhì)的機(jī)構(gòu)提供服務(wù)，電子認(rèn)證服務(wù)機(jī)構(gòu)屬于第三方認(rèn)證機(jī)構(gòu)，服務(wù)內(nèi)容主要是數(shù)字證書(shū)生命周期管理、與電子政務(wù)系統(tǒng)的數(shù)字證書(shū)應(yīng)用集成支持服務(wù)等。電子認(rèn)證是基于密碼技術(shù)的數(shù)字證書(shū)服務(wù)，電子認(rèn)證不等于密碼管理，更不等于密碼應(yīng)用。通常情況下，為保證權(quán)威性，電子認(rèn)證服務(wù)機(jī)構(gòu)作為第三方，不參與密碼應(yīng)用。因此，在政務(wù)部門(mén)開(kāi)展密碼應(yīng)用工作過(guò)程中，應(yīng)選擇符合要求的電子認(rèn)證服務(wù)，按照密碼應(yīng)用方案和需求，為政務(wù)信息系統(tǒng)各環(huán)節(jié)的身份鑒別提供各類(lèi)電子認(rèn)證技術(shù)支撐，電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)獨(dú)立于業(yè)務(wù)應(yīng)用部門(mén)、安全管理部門(mén)、密碼管理部門(mén)等機(jī)構(gòu)。

3.4 密碼管理部門(mén)負(fù)責(zé)統(tǒng)籌密碼管理和監(jiān)督工作

按照密碼法的要求，應(yīng)設(shè)置專(zhuān)門(mén)的密碼管理部門(mén)，統(tǒng)籌管理本單位的密碼工作，由單位一把手領(lǐng)導(dǎo)直接負(fù)責(zé)，并建立相應(yīng)的密碼管理領(lǐng)導(dǎo)小組和工作組，負(fù)責(zé)本單位日常密碼管理和監(jiān)督工作。密碼管理部門(mén)根據(jù)工作需要會(huì)同有關(guān)部門(mén)制定密碼應(yīng)用管理辦法、工作指南等，建立密碼應(yīng)用的安全監(jiān)測(cè)預(yù)警、安全風(fēng)險(xiǎn)評(píng)估、信息安全通報(bào)、重大事項(xiàng)會(huì)商和應(yīng)急處置等協(xié)作機(jī)制，確保密碼應(yīng)用管理的協(xié)同聯(lián)動(dòng)和有序高效。負(fù)責(zé)制定本單位政務(wù)密碼應(yīng)用管理制度和標(biāo)準(zhǔn)規(guī)范，并采取有效措施推進(jìn)貫徹落實(shí)。同時(shí)，密碼應(yīng)用監(jiān)督部門(mén)負(fù)責(zé)監(jiān)督檢查密碼應(yīng)用各項(xiàng)工作開(kāi)展的合規(guī)性和規(guī)章制度落實(shí)的有效性。組織制定密碼應(yīng)用工作開(kāi)展情況的監(jiān)督和審查管理辦法，以及評(píng)價(jià)體系，按照國(guó)家有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范嚴(yán)格審核密鑰設(shè)施、密碼產(chǎn)品和密碼應(yīng)用建設(shè)方案、系統(tǒng)建設(shè)、策略配置等，并定期開(kāi)展密碼應(yīng)用檢查和審查工作，對(duì)密碼應(yīng)用工作開(kāi)展情況進(jìn)行評(píng)估，對(duì)密碼應(yīng)用不合規(guī)和制度落實(shí)不到位的情況給予通報(bào)，并采取相應(yīng)處置措施。此外，密碼管理部門(mén)要對(duì)接行業(yè)和國(guó)家密碼管理主管部門(mén)，落實(shí)國(guó)家關(guān)于密碼工作的部署和要求，接受上級(jí)密碼管理部門(mén)的監(jiān)督和檢查。

4 結(jié) 語(yǔ)

密碼是各個(gè)國(guó)家在網(wǎng)絡(luò)與信息安全保障方面的重要戰(zhàn)略部署和核心技術(shù)，歷來(lái)受到高度重視。我國(guó)從法律、政策、標(biāo)準(zhǔn)等多個(gè)方面對(duì)密碼和密碼應(yīng)用提出了明確的要求，不斷推進(jìn)密碼技術(shù)和密碼應(yīng)用走向新的發(fā)展階段，夯實(shí)網(wǎng)絡(luò)與信息安全保障的基石。政務(wù)密碼應(yīng)用在工作開(kāi)展過(guò)程中存在大量問(wèn)題，關(guān)于管理職能分工的問(wèn)題亟需首先解決。隨著政務(wù)信息整合共享工作的開(kāi)展和數(shù)字化政府的建設(shè)，數(shù)據(jù)安全保障需求將愈加旺盛，政務(wù)領(lǐng)域的密碼應(yīng)用將會(huì)面臨井噴式增長(zhǎng)，在這種形勢(shì)下，理順密碼管理部門(mén)關(guān)系，建立規(guī)范管理機(jī)制，有利于政務(wù)密碼應(yīng)用的有序開(kāi)展。本文結(jié)合當(dāng)前政府部門(mén)的職能分工情況，以及密碼體系和政策要求，提出一套分工明確、互相銜接的密碼管理體系，為政務(wù)部門(mén)開(kāi)展密碼應(yīng)用工作提供參考。