密碼分為核心密碼、普通密碼和商用密碼，我們?nèi)粘９ぷ魃钪薪佑|到的多是商用密碼。工作中，網(wǎng)上辦公、繳稅納稅等過程都有商用密碼在起作用。生活中，第二代居民身份證就通過商用密碼技術(shù)保證認(rèn)證一致，購買火車票、網(wǎng)絡(luò)購物等在線支付全過程都有商用密碼的保護(hù)。

商用密碼，是指對不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。其中，商用密碼技術(shù)，是保障信息安全的核心技術(shù)。從功能上看，主要包括加密保護(hù)技術(shù)和安全認(rèn)證技術(shù)；從內(nèi)容上看，主要包括密碼算法、密鑰管理和密碼協(xié)議。商用密碼產(chǎn)品，是指采用密碼技術(shù)對不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或安全認(rèn)證的產(chǎn)品，即承載密碼技術(shù)、實(shí)現(xiàn)密碼功能的實(shí)體。按照形態(tài)劃分，商用密碼產(chǎn)品分為六類，即軟件、芯片、模塊、板卡、整機(jī)、系統(tǒng)；按照功能劃分，商用密碼產(chǎn)品分為七類，即密碼算法類、數(shù)據(jù)加解密類、認(rèn)證鑒別類、證書管理類、密鑰管理類、密碼防偽類和綜合類。

密碼是網(wǎng)絡(luò)信任體系的重要基石，是目前世界上公認(rèn)的，保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟(jì)的關(guān)鍵核心技術(shù)。《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)均不同程度地提到要使用商用密碼。在信息互聯(lián)時代，密碼除傳統(tǒng)加密外，主要體現(xiàn)在身份認(rèn)證、權(quán)限管理、訪問控制等。數(shù)字經(jīng)濟(jì)時代，密碼的作用不斷擴(kuò)展到數(shù)據(jù)流通、數(shù)據(jù)共享等新維度，密碼技術(shù)自身也需要持續(xù)革新。

“密評”是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評估。

國家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)明確要求非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、等保三級及以上系統(tǒng)、國家政務(wù)等重要信息系統(tǒng)要開展密評工作。并且，密評管理辦法也明確規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護(hù)第三級及以上信息系統(tǒng)，需要每年至少評估一次。

● 首先，是《密碼法》第三十七條第一款指出：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者未按照要求使用商用密碼，或者未按照要求開展密評的，由密碼管理部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，將處十萬元以上一百萬元以下罰款。

● 《國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》第二十八條第三款也有提到：對于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。

項(xiàng)目建設(shè)單位應(yīng)當(dāng)落實(shí)國家密碼管理有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的要求，同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評估。

從事密評活動的機(jī)構(gòu)，應(yīng)當(dāng)經(jīng)國家密碼管理部門認(rèn)定，依法取得商用密碼檢測機(jī)構(gòu)資質(zhì)。

參考的標(biāo)準(zhǔn)主要分為兩類：

●第一類是基本要求

● 第二類是評估方法

目前主要參考的文件是2021年發(fā)布的GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測評要求》、GM/T 0116-2021《信息系統(tǒng)密碼應(yīng)用測評過程指南》，中國密碼學(xué)會密評聯(lián)委會修訂形成的《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》《商用密碼應(yīng)用安全性評估量化評估規(guī)則》。

密評量化評估滿分100分，得分大于等于60分且沒有高風(fēng)險項(xiàng)為基本合格。

密評工作主要包括兩部分內(nèi)容：一是信息系統(tǒng)規(guī)劃階段的密碼應(yīng)用方案評估，這一環(huán)節(jié)主要用于保證建設(shè)方案的安全性；二是信息系統(tǒng)建設(shè)完成后針對該系統(tǒng)開展現(xiàn)場測試。

● 方案評估階段

主要針對新建或改造信息系統(tǒng)，密碼應(yīng)用改造方案一般由用戶單位組織編寫，用戶單位編寫密碼應(yīng)用建設(shè)方案/改造方案后，應(yīng)委托專家對方案進(jìn)行評估或委托密評機(jī)構(gòu)出具方案密評報告。

● 系統(tǒng)評估階段

注：密評系統(tǒng)的定級參照網(wǎng)絡(luò)安全等級保護(hù)的系統(tǒng)定級。

密評過程（見下圖）分為四個基本測評活動：測評準(zhǔn)備活動、方案編制活動、現(xiàn)場測評活動、分析與報告編制活動；測評雙方之間的溝通與洽談貫穿整個密碼應(yīng)用安全性評估過程。其中，測評對象包括安全人員、管理員、密碼產(chǎn)品、網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)、技術(shù)文檔、管理制度文檔等；測評工具涉及協(xié)議分析工具、端口掃描工具、滲透測試工具、算法和隨機(jī)性檢測工具、密碼應(yīng)用檢測工具、密碼安全協(xié)議檢測工具等。

按照《密碼法》確定的屬地管理原則，應(yīng)由運(yùn)營者所在地的密碼管理部門作為備案部門，由省級密碼管理部門作為一般備案部門，國家密碼管理局作為特殊備案部門。自密評報告出具之日起30日內(nèi)，填寫《網(wǎng)絡(luò)與信息系統(tǒng)密評備案信息表》，并按備案表要求，附上密評合同和密評報告，郵寄到所屬地密碼管理局。

?