商用(yòng)密碼，是指對(duì)不涉及國家(jiā)秘密内容的信息進行(háng / xíng)加密保護或安全認證所(suǒ)使用(yòng)的密碼技術和密碼産品。其(qí)中，商用(yòng)密碼技術，是保障信息安全的核心技術。從功能(néng)上看，主要(yào / yāo)包括加密保護技術和安全認證技術；從内容上看，主要(yào / yāo)包括密碼算法、密鑰管理和密碼協議。

商用(yòng)密碼産品，是指采用(yòng)密碼技術對(duì)不涉及國家(jiā)秘密内容的信息進行(háng / xíng)加密保護或安全認證的産品，即承載密碼技術、實現密碼功能(néng)的實體。按照形态劃分，商用(yòng)密碼産品分爲六類，即軟件、芯片、模塊、闆卡、整機、系統；按照功能(néng)劃分，商用(yòng)密碼産品分爲七類，即密碼算法類、數據加解密類、認證鑒别類、證書管理類、密鑰管理類、密碼防僞類和綜合類。

商用(yòng)密碼應用(yòng)安全性評估(簡稱“密評”)，是指在采用(yòng)商用(yòng)密碼技術、産品和服務集成建設的網絡和信息系統中，對(duì)其(qí)密碼應用(yòng)的合規性、正确性和有效性進行(háng / xíng)評估。

• 使用(yòng)的密碼算法、密碼技術符合法律法規和相關國家(jiā)标準、行(háng / xíng)業标準的有關要(yào / yāo)求

• 使用(yòng)的密碼産品、密碼模塊通過(guò)國家(jiā)密碼管理部門核準

• 使用(yòng)的密碼服務符合國家(jiā)密碼管理要(yào / yāo)求

• 密碼算法、密碼協議、密鑰管理、密碼産品和服務使用(yòng)正确

• 系統中采用(yòng)的标準密碼算法、協議和密鑰管理機制按照密碼國家(jiā)和行(háng / xíng)業标準進行(háng / xíng)正确設計和實現

• 自(zì)定義密碼協議、密鑰管理機制的設計和實現正确，符合相關标準要(yào / yāo)求

• 密碼保障系統建設或改造過(guò)程中密碼産品和服務的部署和應用(yòng)正确

開展密評，是爲了解決商用(yòng)密碼應用(yòng)中存在的突出問題，爲網絡和信息系統的安全提供科學評價方法，逐步規範商用(yòng)密碼的使用(yòng)和管理。從根本上改變商用(yòng)密碼應用(yòng)不廣泛、不規範、不安全的現狀，确保商用(yòng)密碼在網絡和信息系統中有效使用(yòng)，切實構建起堅實可(kě)靠的網絡安全密碼屏障。開展密評，是國家(jiā)網絡安全和密碼相關法律法規提出的明确要(yào / yāo)求，是法定責任和義務。

基礎信息網絡：電信網、廣播電視網、互聯網。

重要(yào / yāo)信息系統：能(néng)源、教育、公安、測繪地理信息、社保、交通、衛生(shēng)計生(shēng)、金融等涉及國計民生(shēng)和基礎信息資源的重要(yào / yāo)信息系統。

重要(yào / yāo)工業控制系統：核設施、航空航天(tiān)、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要(yào / yāo)工業控制系統。

面向社會(huì)服務的政務信息系統：黨政機關和使用(yòng)财政性資金的事(shì)業單位和團體組織使用(yòng)的面向社會(huì)服務的信息系統。

01 總體要(yào / yāo)求

密碼算法：使用(yòng)的密碼算法應當符合法律、法規的規定和密碼相關國家(jiā)标準、行(háng / xíng)業标準的有關要(yào / yāo)求，重點關注密碼算法的合規性。

密碼技術：使用(yòng)的密碼技術應遵循密碼相關國家(jiā)标準和行(háng / xíng)業标準。重點關注加密技術的合規性，密碼技術應保證自(zì)身的安全性，可(kě)靠性，與信息系統的互聯互通性。

密碼産品：使用(yòng)的密碼産品與密碼模塊應通過(guò)國家(jiā)密碼管理部門核準。“密碼模塊”可(kě)包括密碼卡、密碼機、定制密碼模塊、密碼軟件等多種形态。重點關注密碼産品的合規性和有效性，密碼産品和密碼模塊需根據國家(jiā)相關規定進行(háng / xíng)密碼産品安全等級确定、檢測。測評機構開展評估應當遵循商用(yòng)密碼管理政策和國家(jiā)标準GB/T39786-2021《信息安全技術信息系統密碼應用(yòng)基本要(yào / yāo)求》《信息系統密碼測評要(yào / yāo)求》（運行(háng / xíng)）等相關密碼标準和指導性文件的要(yào / yāo)求，遵循獨立、客觀、公衆的原則。

密碼服務：使用(yòng)的密碼服務應通過(guò)國家(jiā)密碼管理部門許可(kě)。如(rú)CA認證機構應獲得(dé / de / děi)《電子認證服務使用(yòng)密碼許可(kě)證》以及《電子認證服務許可(kě)證》。

02 密碼功能(néng)要(yào / yāo)求

密碼功能(néng)要(yào / yāo)求是對(duì)密碼技術在信息系統中的使用(yòng)場景起到什麽作用(yòng)的闡述，密碼功能(néng)要(yào / yāo)求包括機密性、完整性、真實性和不可(kě)否認性。

機密性：使用(yòng)密碼加密功能(néng)，保障信息系統重要(yào / yāo)數據在傳輸、存儲過(guò)程中的保密性以及身份鑒别信息、密鑰數據的機密性。

完整性：使用(yòng)消息校驗碼(MAC)或數字簽名實現完整性，保障信息系統重要(yào / yāo)數據在傳輸、存儲過(guò)程中的完整性以及身份鑒别信息、密鑰數據、日志記錄、訪問控制信息、資源敏感标記、重要(yào / yāo)程序、可(kě)信信任鏈、視頻監控記錄、電子門禁出入記錄的完整性。

真實性：使用(yòng)對(duì)稱加密、動态口令、數字簽名等實現真實性，保障信息系統中各類基礎設施、軟硬件設備以及業務應用(yòng)系統的用(yòng)戶身份鑒别信息的真實性。

不可(kě)否認性：使用(yòng)數字簽名等密碼技術實現實體行(háng / xíng)爲的不可(kě)否認性，保障信息系統中無法否認的操作行(háng / xíng)爲，如(rú)發(fā／fà)送、接收、審批、創建、修改、删除、添加、配置等。

03 密碼技術應用(yòng)要(yào / yāo)求、密鑰管理和安全管理

測評過(guò)程分爲四項基本測評活動:測評準備活動、方案編制活動、現場測評活動、分析與報告編制活動。測評雙方之間的溝通與洽談應貫穿整個測評過(guò)程。其(qí)中，測評對(duì)象包括安全人員、管理員、密碼産品、網絡設備、服務器、數據庫、安全設備、操作系統、應用(yòng)系統、業務系統、技術文檔、管理制度文檔等；測評工具涉及協議分析工具、端口掃描工具、滲透測試工具、算法和随機性檢測工具、密碼應用(yòng)檢測工具、密碼安全協議檢測工具等。

《密碼法》第三十(shí)七條第一款規定

關鍵信息基礎設施的運營者違反本法第二十(shí)七條第一款規定，未按照要(yào / yāo)求使用(yòng)商用(yòng)密碼，或者未按照要(yào / yāo)求開展商用(yòng)密碼應用(yòng)安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導緻危害網絡安全等後(hòu)果的，處十(shí)萬元以上一百萬元以下(xià)罰款，對(duì)直接負責的主管人員處一萬元以上十(shí)萬元以下(xià)罰款。

《國家(jiā)政務信息化項目建設管理辦法》第二十(shí)八條第三款規定

對(duì)于(yú)不符合密碼應用(yòng)和網絡安全要(yào / yāo)求，或者存在重大安全隐患的政務信息系統，不安排運行(háng / xíng)維護經費，項目建設單位不得(dé / de / děi)新建、改建、擴建政務信息系統。

《商用(yòng)密碼應用(yòng)安全性評估管理辦法（試行(háng / xíng)）》第二章第十(shí)條規定

關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統，每年(nián)至少評估一次。

根據現有規定，責任單位取得(dé / de / děi)報告後(hòu)，被測單位自(zì)行(háng / xíng)上報主管部門及所(suǒ)在地區（部門）密碼管理部門備案，測評機構上報國密局備案；等保三級及以上信息系統，評估報告還需由被測單位上報至所(suǒ)在地區公安部門備案。