來源：中電科網絡安全科技股份有限公司

近日，密碼“豐“會2025暨首屆商用密碼行業(yè)黨建論壇在北京豐臺區(qū)隆重舉辦，電科網安商用密碼一體化監(jiān)管解決方案榮獲“2024年度密碼行業(yè)優(yōu)秀解決方案評選案例”，該方案針對重要網絡與信息系統密碼應用和密碼運行安全的動態(tài)監(jiān)測與態(tài)勢感知需求，提供了創(chuàng)新性解決辦法。

01方案背景：政策驅動與痛點破解

商用密碼一體化監(jiān)管解決方案，瞄準密評進度難掌握、合規(guī)現狀看不清、運行效能難掌握、異常行為難發(fā)現等行業(yè)痛點，結合行業(yè)或地方密碼應用監(jiān)管需求，開展技術創(chuàng)新與機制突破，并在某省電子政務外網進行試點應用，在構建精準化監(jiān)管范式，強化網絡空間保障能力等方面取得顯著成效。當前行業(yè)存在的典型問題如下：

信息系統密評現狀和進度難掌握

密評、密改項目數量大，分布廣，且分布在不同的部門中，信息系統管理部門和密碼監(jiān)管部門缺乏有效的手段對本行業(yè)本地區(qū)的信息系統密評現狀和進展進行統一管理。

運行效能難掌握

商密產品種類多，廠商多、且分散建設，信息系統管理部門和密碼監(jiān)管部門很難及時、全面的掌握管轄范圍內密碼設備/系統的運行狀態(tài)、資源使用情況、以及密碼運行安全。

異常行為難發(fā)現

密碼應用場景復雜，密碼與業(yè)務深度融合，密碼安全薄弱環(huán)節(jié)無法及時感知，需要從多個維度采集異常信息和告警信息識別潛在風險，并實時告警。

02技術核心：多源數據融合與智能分析

該方案通過對多源異構密碼應用數據的采集與分析，構建多維度數據分析模型，實現對密碼應用安全和密碼運行安全的實時監(jiān)測與動態(tài)評估，保障重要網絡與信息系統密碼應用的合規(guī)性、正確性、有效性和持續(xù)性。核心技術主要包括：

1多源異構密碼數據采集與處理技術

基于標準采集協議、旁路網絡探針等多種技術和組件實現多維度密碼應用數據采集以及數據的解析與處理。

2基于信息熵的明密文識別技術

以文本數據為識別對象，通過大量的識別實驗，基于信息熵基礎理論，實現文本、圖片、視頻等混合數據的明密文識別。

3精準協議識別技術

采用精準協議識別技術，將無序的、分散的原始數據包，還原成有序的、連續(xù)的數據流，并解析出協議字段，識別特定協議中的元數據。

4數字證書還原與檢測技術

通過提取和解析網絡協商過程中的X509格式數字證書，檢測并發(fā)現證書的合規(guī)性問題，如證書過期、證書鏈校驗不通過等。

03應用場景：從政務云到關鍵信息基礎設施

方案針對政務云多云多廠商、密碼設備分散建設、應用系統種類繁多等特點，提供密碼應用一體化監(jiān)管能力，助力信息系統管理部門和密碼監(jiān)管部門全面掌握密碼應用動態(tài)，及時發(fā)現密碼應用風險，保障密碼應用安全。

統一監(jiān)管密碼資源，實時感知密碼動態(tài)

通過對密碼資源、密碼服務、密碼應用的合規(guī)性和有效性進行實時動態(tài)感知和監(jiān)管，持續(xù)、實時采集并分析密碼設備、密碼系統、業(yè)務應用等方面數據，滿足信息系統管理部門和密碼監(jiān)管部門對密碼算法正確性、密鑰完整性及核心功能是否正常等方面的監(jiān)管需求。

穿透分析密碼數據，洞察密碼安全態(tài)勢

針對運行中的重要網絡與信息系統、密碼資產，從密評合規(guī)、密碼技術合規(guī)、密碼產品合規(guī)、商密資質等維度，構建信息系統密碼應用風險評估模型和密碼資產運行安全風險評估模型，實現密碼應用風險與密碼運行風險的實時監(jiān)測與態(tài)勢感知，保障重要網絡與信息系統、密碼資產的運行安全，為信息系統管理部門和密碼監(jiān)管部門提供決策輔助及指導依據。

獲獎價值：推動行業(yè)生態(tài)共建

此次榮獲“優(yōu)秀解決方案案例”，凸顯了商用密碼一體化監(jiān)管解決方案在強化網絡空間保障、完善監(jiān)管體系方面的示范效應。電科網安將持續(xù)優(yōu)化方案，助推商用密碼監(jiān)管標準化與生態(tài)協同。