01.双评合规概述

2017年《中华人民共和国网络安全法》开始正式施行，网络安全等级测评工作也在全国范围内按照相关法律法规和技术标准要求全面落实实施。2020年1月《中华人民共和国密码法》开始正式施行，商用密码应用安全性评估也在有序推广和逐步推进。网络安全等级测评和密码应用安全性评估已经成为我国网络运营者必须依法开展的两项合规测评活动。

《密码法》第二十七条明确提出，商用密码应用安全性评估应当与关键信息基础设施的安全检测评估及网络安全等级测评紧密衔接，避免出现不必要的重复测评现象。

“双评合规”指的是等保测评（信息安全等级保护测评）和商用密码应用安全评估这两项关键评估工作。它们共同构成了信息安全防护的双重保险，为国家和企业的数据安全提供了坚实的保障。“双评合规”则是指“一次入场，同步双评”，同时开展等保测评和商用密码应用安全评估，并成功通过两项测评的过程。

“同步双评”意味着企业在接受网络安全评估时，能够同时推进等保测评和商用密码应用安全评估两个流程，而无需分开进行。这不仅大幅减少了企业的评估时间和成本，更确保了两项评估的协调性和一致性。

02.双评合规同步实施的意义

在工控安全领域，等级测评与商用密码应用安全性评估的联合实施，即双评，相对于单一的评估，具有更加深远的重大意义。这种综合评估方法不仅提升了工控系统的整体安全性，还在多个方面为企业带来了显著的益处。

• 保障工控系统稳定运行

  工控系统是现代工业的核心，其稳定运行对于生产流程的连续性和企业的经济效益至关重要。双评通过全面的安全检测和密码技术有效性验证，能够及时发现并修复系统中的安全漏洞，有效防止恶意攻击和数据篡改，从而确保工控系统的稳定运行。这种稳定性不仅减少了因系统故障导致的生产中断，还提高了企业的生产效率和产品质量。

• 提高工控安全防护能力

  随着网络技术的不断发展，工控系统面临的网络安全威胁也日益增多。双评通过综合运用等级测评和商用密码应用安全性评估的专业知识和技术手段，能够全面提升企业的网络安全防护能力。这种能力的提升不仅体现在对外部攻击的防御上，还包括对内部安全风险的识别和管理。通过双评，企业能够建立起更加完善的网络安全防护体系，有效应对各种网络安全挑战。

• 满足法律法规要求

  工控系统的安全不仅关乎企业的自身利益，还涉及到国家安全和社会公共利益。因此，政府和行业组织都制定了一系列严格的法律法规和行业要求来规范工控系统的安全管理和技术防护。双评能够帮助企业全面满足这些法律法规和行业要求，避免因安全违规而面临的法律风险和行业制裁。同时，双评还能够为企业提供符合国际安全标准的证明，为企业的国际合作和交流提供有力支持。

• 提升企业竞争力与声誉

  在激烈的市场竞争中，企业的竞争力和声誉是决定其成功与否的关键因素。双评通过提升工控系统的安全性和稳定性，不仅提高了企业的生产效率和产品质量，还降低了因安全事件导致的经济损失和声誉损害。这种提升使企业在市场竞争中占据有利地位，能够吸引更多的客户和合作伙伴。同时，双评还能够提升企业的社会责任感和公众形象，为企业赢得良好的声誉和口碑。

03.双评合规解决方案

• 物理和环境安全

  对工控系统所在的机房等重要区域、电子门禁记录数据和视频监控记录数据进行密码应用设计，包括选择的密码技术和标准、采用的密码设备、密码设备的部署位置和方式、密码设备的使用和管理等内容。

  机房从物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面对信息系统的物理环境进行了规范

• 安全区域边界

  在企业工控网络安全域分区设计的基础上对各安全域边界进行隔离保护，对跨安全域的防护进行监控，阻止非合规访问流量通过边界。

  部署专业的入侵检测系统，深入分析数据协议，提供从网络层，实时检测网络通信，并精确识别缓冲区溢出、扫描攻击、DoS/DDoS、SQL注入、蠕虫病毒、木马、间谍软件等传统攻击行为。

  对边界网络流量进行采集、监测和分析，识别工控网络中的安全隐患、恶意攻击以及违规操作等安全风险。

• 安全通信网络/网络和通讯安全

  对需要密码保护的每一条通信信道进行密码应用设计，包括选择的密码技术和标准、采用的密码设备、密码设备的部署位置和方式、密码设备的使用和管理等内容。需要接入认证的设备，根据具体情况选择使用的密码技术，确定在设备端和认证端部署的密码设备和部署位置，给出密码设备的使用和管理内容。

  在网络架构方面，应注重安全性、可靠性和扩展性；在通讯传送方面，应使用安全可靠的通讯协议和加密技术，并考虑性能指标；在可信验证方面，应实施身份验证、完整性验证和审计日志记录等措施，确保系统和数据的安全性。

• 安全计算环境

  涵盖身份鉴别、访问控制、安全审计、入侵防护、恶意代码防范、数据完整性、数据保密性、数据备份恢复以及剩余信息保护。

• 设备和计算安全

  对需要保护的对象进行密码应用设计，包括选择的密码技术和标准、设计必要的数据结构、采用的密码设备或模块、密码设备的部署位置和方式、密码设备的使用和管理内容。

• 应用和数据安全

  对需要保护的应用及重要数据根据确定的密码体制和密码应用方案，设计密钥管理策略，内容包括密钥的种类和用途、密钥的载体和保管方式、密钥的使用和更新、密钥的备份和恢复等，分别针对上述内容所涉及的人员、责任、介质、材料和流程等设计管理机制。

• 安全管理中心

  工控网络安全管理中心的设计要点包括集中监控与可视化展示、事件管理与响应、威胁情报与预警、策略管理与审计、协同与联动以及可扩展性与可定制性。这些要点共同构成了一个全面、高效、智能的工控网络安全管理中心，为工控系统的安全稳定运行提供有力保障。

04.双评合规方案价值

在实施双评之前，许多工控企业面临着网络安全问题，如系统漏洞、不规范的安全管理流程、密码应用不足等。这些问题不仅影响了企业的正常运营，还可能导致敏感数据泄露、系统被非法控制等严重后果。

由于上述问题的存在，工控企业面临着多重风险。首先是安全风险，如黑客攻击、恶意软件感染等，可能导致系统瘫痪、数据丢失。其次是合规风险，随着国家对网络安全要求的日益严格，不符合等级保护和商用密码应用安全评估标准的企业可能面临法律处罚。最后是业务风险，网络安全问题可能影响企业的业务连续性，给企业带来重大经济损失。

针对上述问题和风险，双评实施企业明确了几大安全需求。首先，企业需要建立完善的网络安全管理体系，包括网络安全策略、安全管理制度、安全操作流程等。其中，密码策略的制定和执行是网络安全管理体系的重要组成部分，需要确保密码的复杂性、更新周期和保密性。其次，企业需要加强技术防护，如部署防火墙、入侵检测系统等安全设备，确保网络系统的安全稳定。

同时，密码设备和应用也是技术防护的重要组成部分，需要确保密码设备的可靠性和密码应用的正确性。此外，企业还需要提升员工的安全意识和技能，培养一支具备专业能力的安全团队。密码安全知识和技能的培训是员工安全意识提升的重要内容之一，需要确保员工能够正确理解和执行密码管理要求。

实施了双评合规的工业企业，通过系统地进行等级保护测评和商用密码应用安全评估，不仅解决了上述问题，还大大降低了风险。企业在安全管理、技术防护、人员能力等方面都得到了显著提升，从而确保了网络系统的安全稳定，为企业的正常运营和持续发展提供了有力保障。

总之，双评合规对于工控企业来说具有重要的价值。它不仅能够帮助企业识别和解决网络安全问题，降低风险，还能提升企业的整体安全能力，确保企业的业务连续性和长期发展。