近年来，《网络安(ān)全法》、《密码法》、《国(guó)家政务(wù)信息化项目建设管理(lǐ)办(bàn)法》等法律法规、标准规范的颁布，标志(zhì)着我国(guó)网络安(ān)全等级保护工(gōng)作(zuò)进入了等保2.0时代以及密码应用(yòng)安(ān)全性评估工(gōng)作(zuò)的全面展开。这对网络运营者提出了更高的要求，网络运营者必须将两者有(yǒu)机融合，才能(néng)事半功倍，真正确保网络安(ān)全的合规有(yǒu)效。具(jù)体(tǐ)应从工(gōng)作(zuò)流程和技(jì )术措施两个层面进行考虑。

一．工(gōng)作(zuò)流程

网络运营者应在网络规划、网络建设、运行维护三个阶段，同步开展等保2.0和密码应用(yòng)与安(ān)全性评估工(gōng)作(zuò)。

（一）规划阶段：网络运营者应根据《信息安(ān)全技(jì )术网络安(ān)全等级保护安(ān)全设计技(jì )术要求》、《信息安(ān)全技(jì )术网络安(ān)全等级保护基本要求》和《信息系统密码应用(yòng)基本要求》等标准要求，立足业务(wù)实际，分(fēn)析等保2.0和密码应用(yòng)的需求，形成网络安(ān)全设计方案和密码应用(yòng)方案，方案应经专家论证或测评机构评审通过后方可(kě)立项。

（二）建设阶段：网络运营者应深化网络安(ān)全设计方案和密码应用(yòng)方案，严格按照方案进行建设，形成统一的技(jì )术体(tǐ)系和管理(lǐ)体(tǐ)系，通过测评验收。

（三）运行维护阶段：网络运营者应定期进行等保测评和密码应用(yòng)安(ān)全性评估，发现存在的严重隐患问题，及时整改，不断完善技(jì )术体(tǐ)系和管理(lǐ)机制。

二．技(jì )术措施

等保2.0和密码应用(yòng)与安(ān)全性评估工(gōng)作(zuò)均对密码技(jì )术与产(chǎn)品提出了相应等级的要求，主要涉及以下密码技(jì )术。

（一）身份鉴别：等保2.0要求身份鉴别中(zhōng)至少要使用(yòng)一种密码技(jì )术，密码标准要求对网络设备以及用(yòng)户的登录都要进行身份鉴别，包括网络设备的边界接入，以及管理(lǐ)员、审计员、操作(zuò)用(yòng)户的身份的真实性。

（二）数据机密性：等保2.0的安(ān)全计算环境对数据的保密性提出了要求。映射到密码标准即是对数据的机密性要求。要求对敏感信息、身份鉴别信息、重要数据都需要保证机密性。

（三）数据完整性：等保2.0要求对通信数据、鉴别数据、重要业务(wù)数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息进行数据完整性保护。密码标准在此基础上增加了对电(diàn)子门禁系统进出记录、视频监控音像记录的完整性要求。

（四）密码产(chǎn)品和服务(wù)：等保2.0要求密码产(chǎn)品与服务(wù)的采购(gòu)和使用(yòng)符合国(guó)家密码管理(lǐ)主管部门的要求。密码标准中(zhōng)更加细化的要求系统中(zhōng)所使用(yòng)的算法、技(jì )术、产(chǎn)品、服务(wù)均遵循国(guó)家密码管理(lǐ)主管部门的要求。

等保2.0和密码应用(yòng)与安(ān)全性评估工(gōng)作(zuò)相辅相成，缺一不可(kě)。在实际工(gōng)作(zuò)中(zhōng)必须将两者有(yǒu)机结合，网络安(ān)全工(gōng)作(zuò)才能(néng)切实可(kě)行，行之有(yǒu)效。