密码标准研究与安全测评实验室

  2020年1月，上海软件中心成立了密码标准研究与安全测评实验室（简称：密码实验室），聘请了著名信息分析专家、中国科学院郑建华院士为首席科学家，由密码学博士等专业技术人员组成了密码技术团队，坚持以商用密码及“信创”等关键技术研究为支撑，实现技术突破和应用创新高度融合，提升以第三方为核心的全生命周期技术服务，促进科技成果转化应用和产业发展。

  密码实验室的成立是上海软件中心紧跟国家发展战略、把牢网络安全大门、助推密码行业发展的一项重要举措，得到国家密码局领导、上海密码局领导的大力支持。上海软件中心作为上海市商用密码行业协会发起单位之一，担任首届副会长单位。

  密码实验室自主研发了机密性检测软件、商用密码应用安全性评估工具，并已获得软件著作权。针对中国国际进出口博览会官方网站进行了密码应用安全性差距评估，并为多个政府信息系统撰写了密码应用建设方案，获得用户一致好评。

密码实验室的主要业务如下：

预评估：

依据国家标准《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）、《信息系统密码应用测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》、《政务信息系统密码应用与安全性评估工作指南》等标准和规范，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置和密钥管理等方面对信息系统进行商用密码应用安全性预评估，给出差距分析报告，并提出改进建议。

建设咨询：

解读密码相关政策；统筹密评和等保测评要点，对新建信息系统提供规划阶段的咨询服务，设计包括密码支撑体系总体架构、密码基础设施建设部署、密钥管理体系构建、密码产品部署及管理等内容的密码应用建设方案；为已建信息系统梳理当前密码应用现状，调研分析所使用的密码算法、密码协议、密钥管理是否符合法律法规和密码相关国家、行业标准要求，为信息系统的密码应用整改方案提供咨询服务。

机密性检测：

结合自主研发机密性检测工具，为信息系统运营方提供机密性检测服务，帮助发现存储资源中未按要求加密存储的重要、敏感数据，判断系统是否切实使用了密码加密保护功能。

商密检测平台：

自主研发商用密码检测平台，其功能包括密码算法有效性检测工具、基于B/S、C/S网络数据抓取及协议分析工具、数字证书验证和解析、以及包含系统信息收集和分析、现场测评结果和记录、量化评估、风险分析、报告编制等全流程的测评工具，可为测评机构提供客观高效的测评辅助平台。