做政务项目这些年,等保、密评、信创这些词听了无数遍。很多客户一开始也纠结:"我们能不能先用SaaS IM,合规要求以后再补?"
我们的经验是:合规不是补丁,是架构。如果底层架构不支持,后期补的成本是初期的三倍。
政企单位的IM系统,至少要同时满足三重约束:
《网络安全等级保护2.0》对三级系统的要求很明确:身份鉴别、访问控制、安全审计、数据存储、通信加密——每项都要有技术对应。
很多SaaS IM说"我们过了等保三级",但那是服务商的等保,不是你的。你的数据在人家服务器里,审计日志人家管,出了事你的等保报告怎么写?
第21条写得清楚:"重要数据应当境内存储"。什么是"重要数据"?金融的客户资产、政务的公民信息、军工的设计图纸——这些通过IM传输的时候,你知道存在哪个机房吗?
涉及国家秘密或工作秘密的系统,必须通过密码应用安全性评估(密评)。这意味着国密算法(SM2/SM3/SM4)不是"选配",是"必配"。而多数SaaS IM只支持国际算法(AES/RSA),密评根本过不了。
我们帮客户做合规评估时,经常遇到这几个现实鸿沟:
SaaS IM的日志由服务商管理,企业无法自主导出。监管来查,你只能申请服务商配合,时间、格式、完整性都不受控。
SaaS IM通常不支持国密,或者要额外付费定制。定制周期三个月起,还不一定过测。
SaaS IM依赖境外云服务商,存在"卡脖子"风险。关基运营者的系统,供应链安全是硬性要求。
这是最直接的——SaaS IM完全无法部署,只能选私有化。
我们小天互连的做法,是把法规条款直接翻译成技术能力,再变成配置项:
我们有个东北的省级金融控股集团,500人规模,核心需求是信创适配和数据本地化。
系统部署在企业自有环境,数据库用达梦,消息、文件、组织架构全部不出域。项目从立项到上线,我们配合做了等保三级合规评估,审计日志满足6个月留存要求。
这个案子的关键不是技术多复杂,而是每个合规要求都有对应的功能验证点——等保审查员来了,我们直接演示三员管理界面;密评专家来了,我们现场配置SM4加密开关。从"文档审查"变成"功能验证",过审效率大幅提升。
Q: 等保三级和密评必须同时做吗?
不一定。等保是通用要求,密评只针对用密码技术的系统。如果涉及国家秘密或工作秘密,两个都要做。我们方案支持同步适配,减少重复建设。
Q: 信创适配会增加多少成本?
主要成本在硬件替换(国产CPU/服务器)和兼容性测试。我们已完成主流信创组件的兼容性认证,客户可以直接选预验证组合,降低适配风险和周期。
Q: 已有SaaS IM,怎么向私有化迁移?
分三步:①数据评估(哪些必须留存、哪些可归档);②并行运行(新旧系统共存1-3个月);③数据迁移(历史消息和文件导入私有化系统)。我们提供迁移工具和现场支持,支持从钉钉、企业微信等平台的结构化数据迁移。
