密碼分爲核心密碼、普通密碼和商用(yòng)密碼，我們日常工作生(shēng)活中接觸到的多是商用(yòng)密碼。工作中，網上辦公、繳稅納稅等過(guò)程都有商用(yòng)密碼在起作用(yòng)。生(shēng)活中，第二代居民身份證就(jiù)通過(guò)商用(yòng)密碼技術保證認證一緻，購買火車票、網絡購物等在線支付全過(guò)程都有商用(yòng)密碼的保護。

商用(yòng)密碼，是指對(duì)不涉及國家(jiā)秘密内容的信息進行(háng / xíng)加密保護或安全認證所(suǒ)使用(yòng)的密碼技術和密碼産品。其(qí)中，商用(yòng)密碼技術，是保障信息安全的核心技術。從功能(néng)上看，主要(yào / yāo)包括加密保護技術和安全認證技術；從内容上看，主要(yào / yāo)包括密碼算法、密鑰管理和密碼協議。商用(yòng)密碼産品，是指采用(yòng)密碼技術對(duì)不涉及國家(jiā)秘密内容的信息進行(háng / xíng)加密保護或安全認證的産品，即承載密碼技術、實現密碼功能(néng)的實體。按照形态劃分，商用(yòng)密碼産品分爲六類，即軟件、芯片、模塊、闆卡、整機、系統；按照功能(néng)劃分，商用(yòng)密碼産品分爲七類，即密碼算法類、數據加解密類、認證鑒别類、證書管理類、密鑰管理類、密碼防僞類和綜合類。

密碼是網絡信任體系的重要(yào / yāo)基石，是目前世界上公認的，保障網絡與信息安全最有效、最可(kě)靠、最經濟的關鍵核心技術。《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規均不同程度地提到要(yào / yāo)使用(yòng)商用(yòng)密碼。在信息互聯時代，密碼除傳統加密外，主要(yào / yāo)體現在身份認證、權限管理、訪問控制等。數字經濟時代，密碼的作用(yòng)不斷擴展到數據流通、數據共享等新維度，密碼技術自(zì)身也需要(yào / yāo)持續革新。

“密評”是指在采用(yòng)商用(yòng)密碼技術、産品和服務集成建設的網絡和信息系統中，對(duì)其(qí)密碼應用(yòng)的合規性、正确性和有效性進行(háng / xíng)評估。

國家(jiā)網絡安全和密碼相關法律法規明确要(yào / yāo)求非涉密的關鍵信息基礎設施、等保三級及以上系統、國家(jiā)政務等重要(yào / yāo)信息系統要(yào / yāo)開展密評工作。并且，密評管理辦法也明确規定：關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統，需要(yào / yāo)每年(nián)至少評估一次。

● 首先，是《密碼法》第三十(shí)七條第一款指出：關鍵信息基礎設施的運營者未按照要(yào / yāo)求使用(yòng)商用(yòng)密碼，或者未按照要(yào / yāo)求開展密評的，由密碼管理部門責令改正，給予警告；拒不改正或者導緻危害網絡安全等後(hòu)果的，将處十(shí)萬元以上一百萬元以下(xià)罰款。

● 《國家(jiā)政務信息化項目建設管理辦法》第二十(shí)八條第三款也有提到：對(duì)于(yú)不符合密碼應用(yòng)和網絡安全要(yào / yāo)求，或者存在重大安全隐患的政務信息系統，不安排運行(háng / xíng)維護經費，項目建設單位不得(dé / de / děi)新建、改建、擴建政務信息系統。

項目建設單位應當落實國家(jiā)密碼管理有關法律法規和标準規範的要(yào / yāo)求，同步規劃、同步建設、同步運行(háng / xíng)密碼保障系統并定期進行(háng / xíng)評估。

從事(shì)密評活動的機構，應當經國家(jiā)密碼管理部門認定，依法取得(dé / de / děi)商用(yòng)密碼檢測機構資質。

參考的标準主要(yào / yāo)分爲兩類：

●第一類是基本要(yào / yāo)求

● 第二類是評估方法

目前主要(yào / yāo)參考的文件是2021年(nián)發(fā／fà)布的GM/T 0115-2021《信息系統密碼應用(yòng)測評要(yào / yāo)求》、GM/T 0116-2021《信息系統密碼應用(yòng)測評過(guò)程指南》，中國密碼學會(huì)密評聯委會(huì)修訂形成的《信息系統密碼應用(yòng)高風險判定指引》《商用(yòng)密碼應用(yòng)安全性評估量化評估規則》。

密評量化評估滿分100分，得(dé / de / děi)分大于(yú)等于(yú)60分且沒有高風險項爲基本合格。

密評工作主要(yào / yāo)包括兩部分内容：一是信息系統規劃階段的密碼應用(yòng)方案評估，這一環節主要(yào / yāo)用(yòng)于(yú)保證建設方案的安全性；二是信息系統建設完成後(hòu)針對(duì)該系統開展現場測試。

● 方案評估階段

主要(yào / yāo)針對(duì)新建或改造信息系統，密碼應用(yòng)改造方案一般由用(yòng)戶單位組織編寫，用(yòng)戶單位編寫密碼應用(yòng)建設方案/改造方案後(hòu)，應委托專家(jiā)對(duì)方案進行(háng / xíng)評估或委托密評機構出具方案密評報告。

● 系統評估階段

注：密評系統的定級參照網絡安全等級保護的系統定級。

密評過(guò)程（見下(xià)圖）分爲四個基本測評活動：測評準備活動、方案編制活動、現場測評活動、分析與報告編制活動；測評雙方之間的溝通與洽談貫穿整個密碼應用(yòng)安全性評估過(guò)程。其(qí)中，測評對(duì)象包括安全人員、管理員、密碼産品、網絡設備、服務器、數據庫、安全設備、操作系統、應用(yòng)系統、業務系統、技術文檔、管理制度文檔等；測評工具涉及協議分析工具、端口掃描工具、滲透測試工具、算法和随機性檢測工具、密碼應用(yòng)檢測工具、密碼安全協議檢測工具等。

按照《密碼法》确定的屬地管理原則，應由運營者所(suǒ)在地的密碼管理部門作爲備案部門，由省級密碼管理部門作爲一般備案部門，國家(jiā)密碼管理局作爲特殊備案部門。自(zì)密評報告出具之日起30日内，填寫《網絡與信息系統密評備案信息表》，并按備案表要(yào / yāo)求，附上密評合同和密評報告，郵寄到所(suǒ)屬地密碼管理局。

​