密評(píng)怎么一次過(guò)？核心標(biāo)準(zhǔn) + 全流程拆解，避開(kāi) 90% 返工坑-犀思新聞-天津小程序|公眾號(hào)開(kāi)發(fā)|天津APP開(kāi)發(fā)|網(wǎng)站建設(shè)-天津犀思科技-犀思科技

密評(píng)怎么一次過(guò)？核心標(biāo)準(zhǔn) + 全流程拆解，避開(kāi) 90% 返工坑

不少企業(yè)做密評(píng)時(shí)總踩坑：要么不清楚 “按什么標(biāo)準(zhǔn)評(píng)”，用了境外算法被打回；要么沒(méi)搞懂 “流程怎么走”，上線前才突擊啟動(dòng)，整改返工花了近 3 個(gè)月 —— 其實(shí)密評(píng)的標(biāo)準(zhǔn)和流程都有明確依據(jù)，只要按 “合規(guī)標(biāo)準(zhǔn)對(duì)齊 + 流程分步落地” 來(lái)做，就能大幅減少麻煩。

今天從非技術(shù)視角，把密評(píng)的 “核心標(biāo)準(zhǔn)” 和 “實(shí)操流程” 講透，不管是開(kāi)發(fā)團(tuán)隊(duì)對(duì)接合規(guī)，還是企業(yè)管理者把控進(jìn)度，都能清晰掌握關(guān)鍵節(jié)點(diǎn)，避免走彎路。

一、先搞懂：密評(píng)要符合哪些標(biāo)準(zhǔn)？合規(guī) + 技術(shù)雙底線

密評(píng)不是 “憑感覺(jué)評(píng)”，所有評(píng)估都圍繞 “法規(guī)要求” 和 “技術(shù)規(guī)范” 展開(kāi)，這兩條是必須守住的底線。

1. 法規(guī)依據(jù)：明確 “必須做什么”，不踩合規(guī)紅線

這 3 部法規(guī)是密評(píng)的 “根本遵循”，直接決定項(xiàng)目能不能過(guò)：

《密碼法》：劃范圍、定要求 —— 只要是涉及國(guó)家安全、國(guó)計(jì)民生的系統(tǒng)（比如金融 APP、醫(yī)院病歷系統(tǒng)、政務(wù)平臺(tái)），必須做密評(píng)；沒(méi)通過(guò)就上線，輕則罰款，重則暫停業(yè)務(wù)。
《商用密碼應(yīng)用安全性評(píng)估管理辦法》：明規(guī)則、定主體 —— 密評(píng)必須找國(guó)家認(rèn)可的 “測(cè)評(píng)機(jī)構(gòu)” 做，報(bào)告要報(bào)省級(jí)以上密碼管理部門備案，非認(rèn)可機(jī)構(gòu)出的報(bào)告無(wú)效。
《GB/T 35273-2020》：技術(shù)總綱 —— 詳細(xì)說(shuō)清 “評(píng)什么、怎么判”，比如 “沒(méi)?國(guó)密算法就判不合規(guī)”“密鑰存普通數(shù)據(jù)庫(kù)算高風(fēng)險(xiǎn)”，是測(cè)評(píng)機(jī)構(gòu)的核心打分依據(jù)。

簡(jiǎn)單說(shuō)，法規(guī)就是 “紅線”：哪些系統(tǒng)要評(píng)、找誰(shuí)評(píng)、評(píng)完要備案，都有明確規(guī)定，不能亂選機(jī)構(gòu)、不能漏評(píng)范圍。

2. 技術(shù)標(biāo)準(zhǔn)：明確 “要做到什么程度”，落地不跑偏

技術(shù)上要盯緊 “國(guó)家認(rèn)可” 這四個(gè)字，核心看 3 點(diǎn)：

算法必須合規(guī)：只能用國(guó)密算法，比如 SM2（簽合同、做身份認(rèn)證）、SM3（驗(yàn)數(shù)據(jù)有沒(méi)有被改）、SM4（加密身份證、銀行卡號(hào)）；像 RC4、舊版 RSA 這些境外算法，再方便也不能用，一用就不合規(guī)。
產(chǎn)品必須認(rèn)證：密碼相關(guān)的工具（比如存密鑰的 KMS 系統(tǒng)、加密用的服務(wù)器），得在《國(guó)家商用密碼認(rèn)證目錄》里，有 “商用密碼產(chǎn)品認(rèn)證證書(shū)”；用沒(méi)認(rèn)證的產(chǎn)品，測(cè)評(píng)時(shí)直接卡殼。
場(chǎng)景必須適配：不同數(shù)據(jù)場(chǎng)景有固定要求，比如：

傳數(shù)據(jù)：得用 TLS 1.2 以上（優(yōu)先 1.3），不能明文傳；
存數(shù)據(jù)：身份證、銀行卡號(hào)要用 SM4 加密，密鑰不能存普通數(shù)據(jù)庫(kù)，得放 KMS；
登系統(tǒng)：管理員登錄必須 “密碼 + SM2 簽名” 雙驗(yàn)證，不能只靠密碼。

反例：某企業(yè)開(kāi)發(fā)政務(wù) APP，用了沒(méi)認(rèn)證的境外加密工具，測(cè)評(píng)時(shí)被要求全部換掉，光返工就花了 1 個(gè)月 —— 前期選對(duì)合規(guī)產(chǎn)品，能省很多事。

二、再理清：密評(píng)全流程怎么走？4 步閉環(huán)不返工

密評(píng)不是 “測(cè)評(píng)機(jī)構(gòu)來(lái)查一次就完了”，而是從 “準(zhǔn)備→測(cè)評(píng)→整改→備案” 的完整流程，通常 1-3 個(gè)月能搞定，關(guān)鍵是每一步都踩對(duì)節(jié)點(diǎn)。

1. 前期準(zhǔn)備：1-2 周自查補(bǔ)漏，減少測(cè)評(píng)問(wèn)題

這步是 “防返工關(guān)鍵”，別等測(cè)評(píng)時(shí)才發(fā)現(xiàn)問(wèn)題，提前做好 3 件事：

定好評(píng)估范圍：明確 “哪些系統(tǒng)、哪些數(shù)據(jù)要評(píng)”—— 比如做醫(yī)療系統(tǒng)，就要把 “病歷模塊、掛號(hào)支付模塊、數(shù)據(jù)傳輸鏈路” 都列進(jìn)去，漏評(píng)會(huì)導(dǎo)致后期補(bǔ)評(píng)，浪費(fèi)時(shí)間。
備齊資料：把系統(tǒng)架構(gòu)圖、密碼方案（比如用什么算法、密鑰存在哪）、產(chǎn)品認(rèn)證證書(shū)（KMS 的、加密服務(wù)器的）整理好，測(cè)評(píng)機(jī)構(gòu)要先看這些文檔，資料不全會(huì)耽誤測(cè)評(píng)進(jìn)度。
內(nèi)部先自查：對(duì)照《GB/T 35273-2020》的要點(diǎn)自己查，比如 “密鑰是不是存 KMS”“算法是不是國(guó)密”，發(fā)現(xiàn)問(wèn)題先改 —— 比如查到 “密鑰寫(xiě)在代碼里”，提前遷到 KMS，測(cè)評(píng)時(shí)就不會(huì)被判定 “高風(fēng)險(xiǎn)”。

2. 正式測(cè)評(píng)：2-4 周，測(cè)評(píng)機(jī)構(gòu) 3 種方式查合規(guī)

測(cè)評(píng)機(jī)構(gòu)會(huì)通過(guò) “看文檔、查現(xiàn)場(chǎng)、測(cè)功能”，驗(yàn)證密碼應(yīng)用是不是真合規(guī)，不是只看表面：

文檔審查：看你的密碼方案合不合理 —— 比如架構(gòu)圖里有沒(méi)有覆蓋 “數(shù)據(jù)產(chǎn)生到銷毀” 的全鏈路加密，密鑰管理文檔里有沒(méi)有 “每 90 天換一次密鑰” 的機(jī)制。
現(xiàn)場(chǎng)檢查：看密碼功能是不是真落地 —— 比如登錄管理員賬號(hào)，查是不是有 “密碼 + SM2 簽名” 雙驗(yàn)證；去服務(wù)器機(jī)房，確認(rèn)密鑰是不是存在認(rèn)證的 KMS 里，不是存普通配置文件。
工具測(cè)試：看密碼功能是不是真有用 —— 用專用工具試破解加密數(shù)據(jù)（比如解 SM4 加密的用戶信息），試竊取密鑰；還會(huì)測(cè) “密鑰更換”，看換了密鑰后數(shù)據(jù)能不能正常解密。

比如某金融 APP 測(cè)評(píng)時(shí)，工具測(cè)出 “SM4 加密的支付數(shù)據(jù)能輕松破解”，查下來(lái)是代碼里沒(méi)加隨機(jī)鹽值，只能整改后重新測(cè) —— 開(kāi)發(fā)時(shí)把加密邏輯做對(duì)，這步就能一次過(guò)。

3. 整改與復(fù)測(cè)：1-2 周，高風(fēng)險(xiǎn)問(wèn)題必須 100% 改

測(cè)評(píng)完機(jī)構(gòu)會(huì)給《問(wèn)題整改通知書(shū)》，別想著蒙混過(guò)關(guān)，整改要到位：

分清風(fēng)險(xiǎn)等級(jí)：高風(fēng)險(xiǎn)問(wèn)題（比如用境外算法、密鑰明文存）必須全改；中低風(fēng)險(xiǎn)（比如日志沒(méi)記密鑰操作）至少改 90% 以上，不然過(guò)不了。
整改后要復(fù)測(cè)：改完后申請(qǐng)復(fù)測(cè)，機(jī)構(gòu)會(huì)針對(duì)性查 —— 比如之前算法用錯(cuò)，就重新測(cè)加密有效性；密鑰存錯(cuò)地方，就查是不是真遷到 KMS 了，沒(méi)問(wèn)題才算過(guò)。

4. 出報(bào)告 + 備案：1 周，拿到合規(guī)憑證

整改通過(guò)后，測(cè)評(píng)機(jī)構(gòu)會(huì)出《商用密碼應(yīng)用安全性評(píng)估報(bào)告》，里面會(huì)寫(xiě)清 “評(píng)了什么、改了什么、結(jié)論是合規(guī) / 基本合規(guī)”（沒(méi)有 “不合規(guī)” 結(jié)論，整改完都是合規(guī)或基本合規(guī)）。

最后把報(bào)告報(bào)省級(jí)以上密碼管理部門備案，備案通過(guò)，密評(píng)就徹底完成了 —— 這份報(bào)告很重要，等保測(cè)評(píng)、項(xiàng)目上線（尤其是政務(wù)項(xiàng)目）都要用到。

3 個(gè)關(guān)鍵提醒：避開(kāi)流程里的坑

別等上線前才啟動(dòng)密評(píng)：很多企業(yè)卡在這里，上線前 1 周才找機(jī)構(gòu)，發(fā)現(xiàn)問(wèn)題沒(méi)整改時(shí)間，只能延期；建議開(kāi)發(fā)完、測(cè)試階段就啟動(dòng)密評(píng)，留足 1-2 個(gè)月整改。
選對(duì)測(cè)評(píng)機(jī)構(gòu)：必須是國(guó)家密碼管理局公布的 “商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)”（官網(wǎng)能查名單），找非認(rèn)可機(jī)構(gòu)，花了錢報(bào)告還無(wú)效。
和等保一起推進(jìn)：密評(píng)的 “密碼方案”“密鑰管理” 也是等保的核心項(xiàng)，一次準(zhǔn)備資料，同時(shí)用于兩個(gè)評(píng)估，能少做很多重復(fù)工作。

結(jié)語(yǔ)

密評(píng)難的不是 “標(biāo)準(zhǔn)和流程復(fù)雜”，而是很多企業(yè)沒(méi)搞懂 “提前準(zhǔn)備、按標(biāo)落地”—— 只要前期對(duì)齊法規(guī)和技術(shù)標(biāo)準(zhǔn)，按 “準(zhǔn)備→測(cè)評(píng)→整改→備案” 分步走，避開(kāi) “突擊啟動(dòng)、選錯(cuò)機(jī)構(gòu)” 的坑，密評(píng)其實(shí)能很順暢，不用反復(fù)返工。

如果你的項(xiàng)目正準(zhǔn)備做密評(píng)，先對(duì)照上面的標(biāo)準(zhǔn)自查一遍，再選對(duì)機(jī)構(gòu)，大概率能一次過(guò)，省下來(lái)的時(shí)間和成本，遠(yuǎn)比臨時(shí)整改劃算。

+ 分享犀思科技給您的好友...

上一篇：軟件開(kāi)發(fā)中的密評(píng)：是什么？為什么要做？怎么落地？

下一篇：政務(wù) + 金融雙案例：密評(píng)不通過(guò)的 3 個(gè)典型坑，這樣改就能過(guò)