黨的十八大以來，我國商用密碼工作全面推進。例如：《中華人民共和國密碼法》的頒布和《金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃（2018—2022年）》（以下簡稱“工作規(guī)劃”）的印發(fā)，為促進商用密碼事業(yè)的跨越式發(fā)展提供了法律法規(guī)保障；商用密碼理論和技術(shù)的研究在密碼算法設(shè)計與分析方面取得了一系列高水平、原創(chuàng)性的科研成果；商用密碼產(chǎn)品種類不斷增多、功能不斷豐富、性能不斷優(yōu)化，市場空間廣闊。然而，由于商用密碼管理體制尚需健全、標準體系尚待完善、產(chǎn)業(yè)支撐力量不足、技術(shù)自主可控度仍需提升、密碼人才嚴重匱乏，導(dǎo)致商用密碼存在應(yīng)用領(lǐng)域不夠廣泛、應(yīng)用方式不夠規(guī)范、應(yīng)用服務(wù)不夠安全、應(yīng)用需求難以契合等諸多問題。若不能完善防御手段和監(jiān)管措施，建立健全的商用密碼監(jiān)管機制和安全保障機制，容易在管理和應(yīng)用中形成隱性的安全風(fēng)險，不利于密碼系統(tǒng)的安全、可靠運行。工作規(guī)劃提出“建設(shè)全局性密碼態(tài)勢感知系統(tǒng)”，將態(tài)勢感知技術(shù)運用到保障商用密碼安全當(dāng)中，通過態(tài)勢覺察、態(tài)勢理解、態(tài)勢預(yù)測，可幫助密碼管理人員收集、分析、理解密碼安全信息，發(fā)現(xiàn)密碼安全問題，預(yù)判密碼安全發(fā)展態(tài)勢，從而對危害密碼安全的情況采取防護措施。國家各重點領(lǐng)域在全力推進商用密碼應(yīng)用的過程中，也對感知密碼安全態(tài)勢形成了初步需求并開展了相關(guān)工作。例如：在金融領(lǐng)域，對智能IC卡等密碼應(yīng)用的全局安全情況進行監(jiān)控及安全風(fēng)險預(yù)測；在能源領(lǐng)域，對典型工控系統(tǒng)與密碼安全進行關(guān)聯(lián)分析；在廣電領(lǐng)域，針對應(yīng)急廣播密碼應(yīng)用播發(fā)消息真實性、完整性保護過程中的風(fēng)險及對密碼應(yīng)用質(zhì)效進行預(yù)測分析。各領(lǐng)域還著力于構(gòu)建密碼保障系統(tǒng)，建立健全的密碼管理機制，并要求持續(xù)開展商用密碼應(yīng)用與安全性評估工作，以保障商用密碼合規(guī)、正確、有效地使用。我國對密碼安全態(tài)勢感知的研究起步較晚，缺乏完整的體系規(guī)劃，無法在國家各重點領(lǐng)域廣泛開展應(yīng)用。深入研究密碼安全態(tài)勢感知的概念、技術(shù)和應(yīng)用場景，實現(xiàn)密碼安全態(tài)勢感知體系管理的標準化和統(tǒng)一化，全面部署密碼安全態(tài)勢感知系統(tǒng)，對完善各重點領(lǐng)域商用密碼應(yīng)用需求、提升商用密碼工作水平、保障商用密碼安全具有重要的理論價值和現(xiàn)實意義。1研究背景及現(xiàn)存問題態(tài)勢感知的思想起源于航空領(lǐng)域的人因工程研究，其共識概念最早由Endsley提出。傳統(tǒng)態(tài)勢感知模型主要包括Endsley提出的動態(tài)決策中的態(tài)勢感知模型、美國國防部實驗室聯(lián)合領(lǐng)導(dǎo)機構(gòu)提出的數(shù)據(jù)融合模型以及Bass提出的基于數(shù)據(jù)融合模型的入侵檢測模型。國際方面，以美國為例，其國家態(tài)勢感知體系由國土安全部負責(zé)的聯(lián)邦政府網(wǎng)絡(luò)態(tài)勢感知體系和國家安全局負責(zé)的軍事網(wǎng)絡(luò)態(tài)勢感知體系構(gòu)成，側(cè)重于實現(xiàn)入侵檢測、入侵防御、安全分析、信息共享等功能。學(xué)術(shù)研究方面，其網(wǎng)絡(luò)安全態(tài)勢感知的文獻數(shù)量位居全球第一。然而，鮮有學(xué)者將密碼安全納入安全態(tài)勢感知的研究范疇。部分學(xué)者聚焦于密碼技術(shù)和功能的研究，旨在利用密碼技術(shù)實現(xiàn)更安全、更可靠的態(tài)勢感知應(yīng)用方案。

國內(nèi)方面，自習(xí)近平總書記提出“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”的要求后，網(wǎng)絡(luò)安全態(tài)勢感知成為研究熱點，形成了一系列應(yīng)用標準和規(guī)范。隨著網(wǎng)絡(luò)安全態(tài)勢感知研究的不斷深入，部分學(xué)者和主流密碼企業(yè)也對態(tài)勢感知在商用密碼領(lǐng)域的應(yīng)用進行了探索。頂層設(shè)計方面，系統(tǒng)設(shè)計架構(gòu)多基于密碼監(jiān)管、密碼保障的需求構(gòu)建，缺乏理論和概念研究，且鮮有學(xué)者站在保障密碼整體安全的角度對密碼安全和密碼安全態(tài)勢感知提出完整的定義。應(yīng)用方面，部分學(xué)者對網(wǎng)絡(luò)加密流量的識別技術(shù)進行了研究，缺少對密碼整體安全的探索。總體來看，國內(nèi)關(guān)于密碼安全態(tài)勢感知的研究較少，角度單一，存在問題如下文所述。（1）未從保障密碼整體安全的角度研究密碼安全態(tài)勢感知。部分學(xué)者對密碼安全和密碼安全態(tài)勢感知研究的系統(tǒng)性不足，未梳理密碼監(jiān)管與業(yè)務(wù)協(xié)同的關(guān)系，未有效結(jié)合業(yè)務(wù)需要，對影響密碼安全的因素考慮不全面?！皯B(tài)不足、勢不明”的情況直接影響密碼管理人員的安全決策。（2）未形成規(guī)范化、統(tǒng)一化的密碼安全態(tài)勢感知體系。密碼安全態(tài)勢感知體系的研究仍處于起步探索階段，缺乏相關(guān)法律法規(guī)、管理規(guī)范和通用技術(shù)標準的支持，缺乏統(tǒng)一的頂層設(shè)計，建設(shè)和運維力量不足，無法形成規(guī)范化、統(tǒng)一化的密碼安全態(tài)勢感知體系。（3）未形成標準化的密碼安全態(tài)勢感知系統(tǒng)設(shè)計方案。各領(lǐng)域、企業(yè)的系統(tǒng)設(shè)計方案在架構(gòu)、功能模塊設(shè)計、技術(shù)實現(xiàn)路徑、部署模式等方面均存在較大差異，現(xiàn)有成果還不足以支撐形成一套標準化的密碼安全態(tài)勢感知系統(tǒng)設(shè)計方案。（4）缺少完善的密碼安全態(tài)勢感知產(chǎn)品及實踐應(yīng)用。部分企業(yè)僅在其密碼管理、應(yīng)用平臺架構(gòu)方案中，或某些領(lǐng)域的體系設(shè)計框架中加入了態(tài)勢感知的單元或功能模塊，采集方式依賴于單一探針或采集器，采集來源、數(shù)據(jù)有限，特別是從非感知域獲取的信息不夠完整。部分企業(yè)僅提出了密碼安全態(tài)勢感知系統(tǒng)的設(shè)計方案和說明，或是其已生產(chǎn)的產(chǎn)品中包含密碼安全態(tài)勢感知功能，缺乏經(jīng)過密碼管理和業(yè)務(wù)管理部門使用和迭代的產(chǎn)品。2密碼安全態(tài)勢感知體系架構(gòu)設(shè)計2.1基本定義基于上述分析，我們嘗試給出商用密碼安全和密碼安全態(tài)勢感知的定義。商用密碼安全是指商用密碼自身安全和商用密碼應(yīng)用安全的整體安全。商用密碼自身安全表現(xiàn)為商用密碼技術(shù)、管理工作方面是否存在漏洞；商用密碼應(yīng)用安全表現(xiàn)為商用密碼技術(shù)、產(chǎn)品、服務(wù)的使用是否合規(guī)、正確、有效，商用密碼應(yīng)用是否實現(xiàn)了保障信息機密性、來源真實性、數(shù)據(jù)完整性、行為不可否認性的密碼功能，商用密碼系統(tǒng)是否遭受攻擊和威脅，相關(guān)資產(chǎn)、信息的安全程度是否達到保障密碼安全的要求。密碼安全態(tài)勢感知是指從密碼技術(shù)、密碼產(chǎn)品、密碼服務(wù)、密碼應(yīng)用及應(yīng)用環(huán)境（網(wǎng)絡(luò)環(huán)境、物理環(huán)境）、密碼管理等方面研究影響密碼安全的要素和事件，提取相關(guān)數(shù)據(jù)進行分析處理，全方位、全天候評估密碼安全狀況，并預(yù)測密碼安全的發(fā)展趨勢，進而有效地支持安全監(jiān)管、通報預(yù)警、應(yīng)急處置、指揮調(diào)度以及安全審查業(yè)務(wù)的需要。2.2體系框架從商用密碼的整體安全出發(fā)，基于現(xiàn)有國家政策、法律法規(guī)和標準規(guī)范，結(jié)合“按‘條’逐級部署與統(tǒng)籌”“按‘塊’分別評估與管理”的需要，綜合各地區(qū)國家重點領(lǐng)域、權(quán)威組織機構(gòu)、商用密碼產(chǎn)業(yè)單位、商用密碼檢測機構(gòu)等方面的實際情況，構(gòu)建適用于多領(lǐng)域、多模式的密碼安全態(tài)勢感知體系架構(gòu)。下面給出一種密碼安全態(tài)勢感知體系架構(gòu)設(shè)計，包含由用戶與環(huán)境、業(yè)務(wù)應(yīng)用架構(gòu)、態(tài)勢感知架構(gòu)、基礎(chǔ)支撐層構(gòu)成的技術(shù)體系、政策法規(guī)及標準保障體系和管理及支撐保障體系，如圖1所示。圖1密碼安全態(tài)勢感知體系架構(gòu)該體系架構(gòu)提供基于態(tài)勢分析算法和基于用戶特定需求的感知服務(wù)能力，兩種服務(wù)能力互為支撐，協(xié)同作用。前者依賴于標準過程和固有算法模型，呈現(xiàn)針對固定對象的態(tài)勢分析結(jié)果，可為用戶提供感知密碼安全態(tài)勢的基本需求；后者將“人”融入需求和決策過程，重視系統(tǒng)監(jiān)管者、建設(shè)者、運維人員等密碼人員的特殊需求，提供基于需求的分析服務(wù)能力，可在靈活、動態(tài)調(diào)用各類知識、資源的基礎(chǔ)上，針對從各系統(tǒng)、設(shè)備、數(shù)據(jù)庫以及環(huán)境、人員等方面實時采集到的數(shù)據(jù)，采取可配置的分析模型，結(jié)合知識庫，實現(xiàn)對不同對象的分析并生成對應(yīng)的態(tài)勢結(jié)果。同時，該體系架構(gòu)具備對密碼系統(tǒng)安全狀態(tài)、網(wǎng)絡(luò)加密流量、密碼應(yīng)用環(huán)境狀態(tài)等與密碼安全相關(guān)的要素進行采集的功能，對密碼安全事件、密碼應(yīng)用規(guī)模等進行綜合分析的功能，以及基于知識庫、統(tǒng)計結(jié)果和預(yù)測分析的狀態(tài)呈現(xiàn)功能。上述服務(wù)能力和功能旨在為用戶實現(xiàn)更高效、更全面的安全分析和響應(yīng)，以達到更主動、更準確感知密碼安全態(tài)勢的目的。2.3關(guān)鍵組成基于成熟的態(tài)勢感知體系架構(gòu)，研究密碼安全態(tài)勢感知體系，需要在采集對象、平臺接口、數(shù)據(jù)規(guī)范、指標選取分析、系統(tǒng)迭代的可持續(xù)性方面形成創(chuàng)新，同時考慮系統(tǒng)自身的安全性，應(yīng)重點關(guān)注3個方面。2.3.1標準規(guī)范體系構(gòu)建規(guī)范化的密碼安全態(tài)勢感知體系需要依靠標準規(guī)范體系的支撐。除了要嚴格遵循現(xiàn)有商用密碼和等級保護標準規(guī)范，還應(yīng)在密碼安全態(tài)勢感知系統(tǒng)規(guī)劃、建設(shè)、實施、運行期間，建立包含總體框架標準、前端數(shù)據(jù)源標準、密碼安全事件分類標準、數(shù)據(jù)類標準（數(shù)據(jù)存儲標準、數(shù)據(jù)處理標準、數(shù)據(jù)服務(wù)接口標準、數(shù)據(jù)共享標準）、技術(shù)類標準（插件、探針標準）、應(yīng)用類標準（安全功能類標準、態(tài)勢指標體系類標準、安全可視化要素類標準）、業(yè)務(wù)支撐標準（業(yè)務(wù)流程標準、管理標準）在內(nèi)的密碼安全態(tài)勢感知標準規(guī)范。各類標準規(guī)范應(yīng)互為支撐，有些可在現(xiàn)有標準規(guī)范的基礎(chǔ)上細化和擴展，有些則需要結(jié)合行業(yè)需求建立，以此共同構(gòu)建密碼安全態(tài)勢感知標準規(guī)范體系。2.3.2密碼安全態(tài)勢評估指標體系構(gòu)建密碼安全態(tài)勢評估指標體系，可以為密碼人員提供更加客觀、準確的密碼安全形勢的描述，有助于提升密碼安全態(tài)勢的可理解性和可視化程度。應(yīng)從局域、區(qū)域、全局3個維度，圍繞密碼系統(tǒng)、密碼技術(shù)、密碼管理、密碼服務(wù)、密碼應(yīng)用、網(wǎng)絡(luò)環(huán)境、物理環(huán)境7個評估對象進行構(gòu)建；并結(jié)合商用密碼應(yīng)用與安全性評估、信息安全風(fēng)險評估等相關(guān)標準，確定能反映評估對象整體密碼安全態(tài)勢的評估要素，如合規(guī)性、正確性、有效性、保密性、完整性、可用性、攻擊與威脅、漏洞等。在此基礎(chǔ)上，綜合考慮不同行業(yè)密碼安全與應(yīng)用需求及各層級密碼管理局對保障密碼安全做出的規(guī)定和要求，選取概念明確、內(nèi)涵清晰、能反映密碼安全特征的指標。2.3.3人才隊伍建設(shè)準確且高效地建立密碼安全態(tài)勢感知體系，依賴于是否建立了有維護國家安全意識，熟悉相關(guān)法律法規(guī)、標準規(guī)范，精通安全分析和態(tài)勢評估，擅用商用密碼設(shè)備與技術(shù)的密碼安全團隊?；诖?，應(yīng)盡快完善密碼人才培養(yǎng)機制，加強密碼學(xué)科建設(shè)和人才培養(yǎng)輸出，充分利用好密碼工程技術(shù)人員和密碼技術(shù)應(yīng)用員等職業(yè)規(guī)范，明確各類密碼人員的資質(zhì)要求、能力等級和核心技能。由密碼安全管理人員制定、執(zhí)行和修改管理規(guī)章制度；由密碼技術(shù)人員完成分析密碼安全態(tài)勢的工作，并輔助系統(tǒng)完成數(shù)據(jù)采集、處理、分析、評估的過程；由應(yīng)急響應(yīng)人員接收各層級系統(tǒng)傳達的風(fēng)險處置指令，實施應(yīng)對措施；由運維人員執(zhí)行和優(yōu)化運維防護過程等，以此發(fā)揮密碼人才的高效輔助作用。3密碼安全態(tài)勢感知系統(tǒng)設(shè)計方案密碼安全態(tài)勢感知系統(tǒng)應(yīng)能利用數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)可視化呈現(xiàn)等大數(shù)據(jù)分析技術(shù)，在綜合考慮不同密碼監(jiān)管維度、評估對象和評估要素的基礎(chǔ)上，選取合適的態(tài)勢評估方法，從保障密碼整體安全的角度宏觀刻畫密碼安全態(tài)勢，并對態(tài)勢發(fā)展進行準確預(yù)測。圖2是基于密碼安全態(tài)勢感知體系架構(gòu)提出的一種系統(tǒng)設(shè)計方案，包含數(shù)據(jù)采集層、數(shù)據(jù)處理與分析層、態(tài)勢評估層、態(tài)勢展示層以及基礎(chǔ)資源管理模塊和安全保障子系統(tǒng)。

圖2密碼安全態(tài)勢感知系統(tǒng)設(shè)計方案3.1系統(tǒng)的關(guān)鍵組成3.1.1數(shù)據(jù)源與數(shù)據(jù)采集系統(tǒng)應(yīng)采集各領(lǐng)域、各單位被納入態(tài)勢評估范圍內(nèi)的所有含有密碼產(chǎn)品或使用密碼技術(shù)的系統(tǒng)或設(shè)備，支撐關(guān)鍵業(yè)務(wù)但不使用密碼技術(shù)的系統(tǒng)或設(shè)備，數(shù)據(jù)文檔、軟硬件、服務(wù)、人員等其他重要資產(chǎn)，針對密碼安全所制定的管理制度和標準規(guī)范，以及關(guān)鍵區(qū)域（如機房）的物理環(huán)境等方面的密碼安全相關(guān)數(shù)據(jù)。數(shù)據(jù)源涵蓋了密碼系統(tǒng)、密碼技術(shù)、密碼管理、密碼服務(wù)、密碼應(yīng)用、使用商用密碼的網(wǎng)絡(luò)環(huán)境和物理環(huán)境等7個評估對象的密碼安全要素，并能對各安全要素提供完整的內(nèi)容描述?？梢罁?jù)數(shù)據(jù)性質(zhì)將其分為狀態(tài)數(shù)據(jù)（如設(shè)備狀態(tài)數(shù)據(jù)、密碼人員狀態(tài)數(shù)據(jù)）、告警數(shù)據(jù)、備案信息、實際資產(chǎn)屬性信息和第三方上報類信息。在數(shù)據(jù)采集層設(shè)計了兩種數(shù)據(jù)采集方式：一是自動采集與檢測，包含內(nèi)置在采集對象中的插件（如接口監(jiān)測程序）等主動式采集方式，外置在采集對象中的代理，如網(wǎng)絡(luò)抓包工具、具有智能分析能力的攝像頭、入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）工具等被動式數(shù)據(jù)采集方式等；二是人工參與的采集，包括服務(wù)于各領(lǐng)域、各單位、各密碼管理部門、社會監(jiān)督、第三方權(quán)威機構(gòu)的工具，為其提供統(tǒng)一的數(shù)據(jù)信息上報渠道。3.1.2態(tài)勢評估層態(tài)勢評估層是系統(tǒng)的核心部分，用于完成態(tài)勢評估和態(tài)勢預(yù)測兩個階段的內(nèi)容。在態(tài)勢評估階段，圍繞密碼安全態(tài)勢評估指標體系，綜合各領(lǐng)域、各單位、各密碼管理部門差異化的需求和要求，建立包含評估異常指標、計算當(dāng)前態(tài)勢值、關(guān)聯(lián)密碼安全事件、判斷事件風(fēng)險等級等方法在內(nèi)的密碼安全態(tài)勢評估實施指南；在態(tài)勢預(yù)測階段，基于現(xiàn)有數(shù)學(xué)模型預(yù)測密碼安全態(tài)勢變化和密碼安全事件的演化趨勢，完成對密碼安全事件的溯源分析，并通過對預(yù)測模型的不斷評估和改正，得到更具體的分析結(jié)果。3.1.3態(tài)勢展示層可視化界面的設(shè)計充分考慮了界面之間的關(guān)聯(lián)性、展示內(nèi)容的真實性以及功能模塊的實用性。可視化界面應(yīng)至少包括主界面及其下穿界面、專題態(tài)勢展示界面及其下穿界面，用于展示不同管理層級的密碼安全態(tài)勢。展示的內(nèi)容包括但不限于：各類密碼安全事件及其發(fā)生的頻率、密度、發(fā)展趨勢、地域分布、地域排名、實時信息更新，攻擊行為（攻擊類型、分布、來源、趨勢、結(jié)果等）信息展示，各類密碼安全事件風(fēng)險值、風(fēng)險等級及風(fēng)險等級地域分布，告警信息及地域分布，預(yù)測的風(fēng)險信息，責(zé)任部門信息，態(tài)勢感知的范圍、信息資產(chǎn)等。同時應(yīng)具備查詢功能和態(tài)勢報告生成功能，方便密碼管理人員快速篩選有用信息，準確做出決策。3.2密碼安全態(tài)勢感知領(lǐng)域知識庫密碼安全態(tài)勢的判識和預(yù)測離不開科學(xué)完備的知識體系。需搭建具有處理自然語言、數(shù)據(jù)查詢、存儲、知識管理、推理等一系列功能，涵蓋基本信息庫、規(guī)則模型庫、評估模型庫和預(yù)測模型庫的密碼安全態(tài)勢感知領(lǐng)域知識庫，在提供信息和知識保障的同時滿足智能化的決策支持。由于各行業(yè)及密碼管理部門對保障密碼安全的需求和要求不同，評估方法存在局限性，致其態(tài)勢評估過程所使用的規(guī)則、模型和基本知識也會存在差異，且部分知識會隨時間推移和技術(shù)發(fā)展不斷發(fā)生變化。因此，知識庫的設(shè)計應(yīng)注重提升多元知識融合、知識復(fù)用和實時更新等功能模塊的性能，便于新知識的加入和錯誤知識的更改，并在保證評估準確性和效率的前提下，盡可能地補充和優(yōu)化知識庫中的算法，提高結(jié)果的準確性。3.3具體應(yīng)用本節(jié)以某部委為例，分析構(gòu)建該部委密碼安全態(tài)勢感知系統(tǒng)的過程。3.3.1系統(tǒng)規(guī)劃階段該部委的密碼安全態(tài)勢感知系統(tǒng)應(yīng)具備評估和預(yù)測商用密碼在保障資產(chǎn)安全、經(jīng)濟活動安全、核心技術(shù)安全等方面的密碼安全態(tài)勢和發(fā)展趨勢的能力，以及評估和預(yù)測該部委管理的各內(nèi)設(shè)機構(gòu)和直屬機構(gòu)、各單位的整體密碼安全態(tài)勢的能力，并通過可視化技術(shù)對上述信息進行分級、分層按需展示，便于該部委及其下屬單位及時做出管理決策，調(diào)整工作重點。該系統(tǒng)應(yīng)按照縱向逐級部署、橫向?qū)俚鼗O(jiān)管應(yīng)用的方式進行規(guī)劃。根據(jù)“部委（含內(nèi)設(shè)機構(gòu)和直屬機構(gòu)）—各單位—各單位下屬子單位”的三級管理結(jié)構(gòu)進行逐級部署與統(tǒng)籌；屬地化監(jiān)管應(yīng)用中，在滿足該部委各機構(gòu)日常管理需求的同時，將該部委各機構(gòu)的整體密碼安全態(tài)勢分別實時匯總至各層級密碼管理部門的密碼安全態(tài)勢感知系統(tǒng)，形成各省該部委單位的整體密碼安全態(tài)勢。該系統(tǒng)通過多點匯聚的方式，將各類數(shù)據(jù)源按照標準規(guī)范體系中的前端數(shù)據(jù)源標準、數(shù)據(jù)處理標準、數(shù)據(jù)存儲標準，在各采集點進行規(guī)范化、統(tǒng)一化、標準化的處理和存儲，并基于數(shù)據(jù)服務(wù)接口類標準，通過多種接口協(xié)議將格式化后的數(shù)據(jù)上報至各層級系統(tǒng)進行評估與預(yù)測。在應(yīng)用階段，首先摸清該部委各機構(gòu)綜合管理信息系統(tǒng)、主營業(yè)務(wù)信息系統(tǒng)等關(guān)鍵信息系統(tǒng)的底數(shù)，并將其分類為密碼系統(tǒng)和非密碼系統(tǒng)，統(tǒng)計不同類別信息系統(tǒng)等保定級的情況。其次基于各單位各類信息系統(tǒng)的安全策略，將該部委密碼安全態(tài)勢感知系統(tǒng)劃分為接入域、網(wǎng)絡(luò)交換域、服務(wù)域、公共管理域等具備不同防護策略和安全等級的安全域進行建設(shè)，設(shè)計隔離交換區(qū)域，實現(xiàn)異構(gòu)網(wǎng)絡(luò)接入的邏輯隔離。3.3.2建設(shè)實施階段在該部委各級機構(gòu)的各類信息系統(tǒng)以及關(guān)鍵區(qū)域中，重點部署自動采集組件和檢測組件，用于采集業(yè)務(wù)數(shù)據(jù)、運行數(shù)據(jù)、行為數(shù)據(jù)等，自動檢測和識別針對密碼系統(tǒng)和設(shè)備的入侵攻擊行為。數(shù)據(jù)采集層配置人工上報模塊，便于各單位及時、主動地更新有關(guān)信息系統(tǒng)（如名稱、版本、數(shù)量）、密碼人員配置（如責(zé)任、權(quán)限、所屬部門）、管理規(guī)章制度、重要文件及物件（如密鑰歸檔、資產(chǎn)分類信息）等方面的信息。除此之外，由第三方測評機構(gòu)針對該部委各級機構(gòu)的管理制度執(zhí)行情況、信息系統(tǒng)部署情況等不易通過智能方式評估密碼安全的方面進行人工核查，并通過該功能模塊上報檢測評估數(shù)據(jù)。同時，建立包含密碼與網(wǎng)絡(luò)安全領(lǐng)域基本信息、該部委信息系統(tǒng)基本信息、資產(chǎn)信息、標準規(guī)范、管理制度、數(shù)學(xué)模型等靜態(tài)數(shù)據(jù)信息在內(nèi)的領(lǐng)域知識庫，與密碼技術(shù)漏洞知識庫、外部網(wǎng)絡(luò)安全態(tài)勢信息共同為系統(tǒng)提供知識和技術(shù)上的支撐。在