随着信息技术的迅猛发展，电力行业作为国家重要的基础设施领域，其网络与信息系统的安全性与稳定性日益受到关注。密评作为保障电力信息安全的重要手段，其在保障系统安全稳定、防范潜在攻击风险、提升电力系统整体安全性能、对虚拟系统安全加固、智慧管控系统安全保障等方面发挥着重要的作用。因此，电力企业应加强对密评的重视与投入，不断提升自身的信息安全能力。

一、密码应用基本要求

进入21世纪，我国商用密码应用迎来了快速发展时期。政府出台了一系列政策措施，鼓励和支持商用密码产业的创新发展。2021年3月9日，《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）正式发布。2023年11月1日起实施《商用密码应用安全性评估管理办法》，要求运营商对重要网络与信息系统应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保商用密码保障系统正确有效运行。等保三级以上的关键信息基础设施每年进行一次密评工作。

电力信息系统密码应用备受关注的同时也暴露出了大量的问题，如密码应用不广泛、密码应用不规范、密码应用不安全等，因此产生出了密码工作法定性的一系列发文与法律政策。《密码法》是为了规范密码的应用与管理、保障网络与信息安全、维护国家安全和社会公共利益制定的法律，是中国密码领域法律。其中第三十七条明确指出未按要求使用商用密码或开展密评工作的，给予警告或罚款处理。

2021年3月9日，《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)正式发布，于2021年10月1日起实施。国基华电梳理了相关信息，GB/T 39786是《信息系统密码应用基本要求》GM/T0054-2018行业标准的国标升级版，标准内容更加规范，要求更加明确，逻辑更加清晰，同时对密评实际执行过程中遇到的问题也做了相应的修订。

本标准规定了信息系统密码应用的基本要求，从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出了第一级到第四级的密码应用技术要求，并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用安全管理要求。

GB/T 39786在行文结构方面使用了“先分级，后分层”的行文结构，在密钥管理方面也进行了大幅调整，同时在物理和环境安全、网络和通信安全、设备和计算安全等方面密码应用的要求都发生了变化。

二、密码应用测评要求

1、密码应用测评要求

在《信息系统密码应用测评要求》中规定了信息系统不同等级密码应用的测评要求，从密码算法和密码技术合规性、密钥管理安全性方面，提出了第一级到第五级的密码应用通用测评要求。

2、整体测评要求

整体测评要求应从单元间、层面间等方面进行测评和综合安全分析。

3、风险分析和评估

密码应用安全性评估报告中应对整体测评之后单元测评结果中的不符合项或部分符合项进行风险分析和评价。

4、测评结论

密码应用安全性评估报告应给出信息系统的测评结论，确认信息系统达到相应等级保护要求的程度。应结合整体测评和对单元测评结果的风险分析给出测评结论。测评结论会有符合、基本符合与不符合三种。

三、电力信息系统密评的过程

国基华电了解到在《信息系统密码应用测评过程指南》中规定了信息系统密码应用的测评过程，规范了测评活动及其工作任务。该文件适用于商用密码应用安全性评估机构、信息系统责任单位开展密码应用安全性评估工作。

1、测评的基本原则

测评方对信息系统开展密评时，应遵循客观公正性原则、可重用性原则、可重复性和可再现性原则、结果完善性原则。

2、测评的过程

测评过程包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。

四、测评风险判定及量化评估

1、风险判定及量化评估——《信息系统密码应用高风险判定指引》

国基华电了解到该文件中判定内容由指标要求、适用范围、安全问题、可能的缓解措施和风险评价构成。其中，指标要求源自 GB/T 39786 的部分指标，对于本文件未覆盖的其他指标，仍需核查本文件通用要求中密码算法、密码技术、密码产品和密码服务相关安全问题是否存在。

2、风险判定及量化评估——《商用密码应用安全性评估量化评估规则》

1）原则

评估原则应遵循法律法规和最新相关指导性文件的总体要求，鼓励使用密码技术，特别鼓励使用合规的密码算法，优先在网络和通信安全层面、应用和数据安全层面进行密码技术应用。

2）量化规则

量化规则包括对各测评对象的测评结果量化规则、测评单元的测评结果量化规则、安全层面的测评结果量化规则等。

3）整体结论判定

整体量化评估结果S为100分，判定为符合GB/T39786相应等级要求；S 低于 100分、不低于阈值，且经风险评估发现没有高风险，则判定为基本符合GB/T 39786 相应等级要求；否则，判定为不符合 GB/T39786 相应等级要求。

五、总结

密评是电力运营单位一项需要重视的关于信息安全的另一项重要工作，需要企业的重要网络、信息系统、控制系统满足《GB/T39786 信息系统密码应用基本要求》。等保三级以上的业务系统除了每年做一次等保安全测评以外，自2023年11月起，等保三级以上的业务系统还要每年做一次密码应用的测评，需要配合具有资质的密码检测机构对企业的信息系统、控制系统进行测评，对于未通过密评的重要网络与信息系统，电力运营单位需要及时进行密码应用的整改，进一步落实商用密码安全防护措施，改造商用密码保障系统。

六、关于北京国基华电科技有限公司

北京国基华电科技有限公司作为业内知名网络安全资深厂商，长期专注于网络安全防护领域，为各行业用户提供基于人工智能算法、自主研发生产优质领先的信息安全和工业安全系列产品。同时依据国家网络安全法、等级保护、密评、国产化等相关法规标准，为用户提供网络安全防护整体风险评估、安全咨询、渗透测试等服务，并提供有针对性的网络安全防护及国产化解决方案。国基华电系列产品在各发电集团下的电厂用户遍及全国，同时也广泛应用于煤炭、石油、钢铁、港口、军工、医疗等行业，多年运行稳定，并获得了高度认可。

在万物互联的大数据时代，国家对网络安全高度重视，国基华电将持续专注网络安全领域，深耕行业，致力为客户提供优质的产品与服务，为保障关键信息基础设施贡献自己的一份力量。