2020年(nián)起實施的《中華人民共和國密碼法》（以下(xià)簡稱《密碼法》）明确規定了商用(yòng)密碼應用(yòng)安全性評估（以下(xià)簡稱密評）有關要(yào / yāo)求，新修訂的《商用(yòng)密碼管理條例》（以下(xià)簡稱《條例》）進一步細化了相關規定。密評對(duì)我國商用(yòng)密碼應用(yòng)和管理工作具有重要(yào / yāo)的推動和規範作用(yòng)，其(qí)體系也在不斷發(fā／fà)展和完善過(guò)程中。

一、商用(yòng)密碼應用(yòng)安全性評估體系初步建立

（一）體制機制與法規依據逐步成熟規範

《密碼法》首次确立了密評工作的法律地位。《密碼法》第二十(shí)七條對(duì)關鍵信息基礎設施使用(yòng)商用(yòng)密碼和開展密評提出了明确要(yào / yāo)求，并在第三十(shí)七條對(duì)違反該要(yào / yāo)求的行(háng / xíng)爲明确了罰則，這從根本上建立起了密評制度，也是開展密評工作最基本的法律依據。随着(zhe／zhuó／zhāo／zháo)《密碼法》的貫徹實施，密評工作也得(dé / de / děi)到了越來越多的關注和認可(kě)，成爲了密碼應用(yòng)推進工作的重要(yào / yāo)抓手。

新修訂的《條例》對(duì)密評工作提出了更加具體和細化的要(yào / yāo)求。在落實《密碼法》要(yào / yāo)求的基礎上，《條例》第三十(shí)八條進一步明确了關鍵信息基礎設施“三同步”、每年(nián)定期評估以及備案管理的具體要(yào / yāo)求：“……運營者應當使用(yòng)商用(yòng)密碼進行(háng / xíng)保護，制定商用(yòng)密碼應用(yòng)方案，配備必要(yào / yāo)的資金和專業人員，同步規劃、同步建設、同步運行(háng / xíng)商用(yòng)密碼保障系統，自(zì)行(háng / xíng)或者委托商用(yòng)密碼檢測機構開展商用(yòng)密碼應用(yòng)安全性評估。……，運行(háng / xíng)後(hòu)每年(nián)至少進行(háng / xíng)一次評估，評估情況按照國家(jiā)有關規定報送國家(jiā)密碼管理部門或者關鍵信息基礎設施所(suǒ)在地省、自(zì)治區、直轄市密碼管理部門備案。”對(duì)于(yú)與網絡安全等級保護制度的銜接，《條例》第四十(shí)一條規定：“網絡運營者應當按照國家(jiā)網絡安全等級保護制度要(yào / yāo)求，使用(yòng)商用(yòng)密碼保護網絡安全。國家(jiā)密碼管理部門根據網絡的安全保護等級，确定商用(yòng)密碼的使用(yòng)、管理和應用(yòng)安全性評估要(yào / yāo)求，制定網絡安全等級保護密碼标準規範。”這及時回應了社會(huì)對(duì)于(yú)等級保護對(duì)象開展密碼應用(yòng)與安全性評估的關切，爲等級保護對(duì)象開展密評提供了基本遵循。

除了《密碼法》和《條例》外，相關部門規章和規範性文件也對(duì)密碼應用(yòng)和密評作出了明确規定，包括國務院辦公廳印發(fā／fà)的《國家(jiā)政務信息化項目建設管理辦法》、公安部印發(fā／fà)的《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》、财政部印發(fā／fà)的《政務信息系統政府采購管理暫行(háng / xíng)辦法》等，與上述法律法規一起，共同構成了密評工作的法律依據和制度支撐。

（二）技術體系與标準規範不斷健全完善

2018年(nián)初，爲指導密評試點工作開展，國家(jiā)密碼管理局發(fā／fà)布了密碼行(háng / xíng)業标準GM/T-0054《信息系統密碼應用(yòng)基本要(yào / yāo)求》。2018年(nián)以來，基于(yú)GM/T-0054開展的密碼應用(yòng)和安全性評估工作，充分驗證了密評工作的科學性和可(kě)行(háng / xíng)性。該标準也在2021年(nián)上升爲國家(jiā)标準GB/T-39786《信息安全技術 信息系統密碼應用(yòng)基本要(yào / yāo)求》，結合密評工作實踐對(duì)内容進行(háng / xíng)了優化，更爲科學合理。

爲了配合GB/T-39786的實施，更好地指導和規範密評活動，中國密碼學會(huì)密評聯委會(huì)組織制定了《信息系統密碼應用(yòng)測評要(yào / yāo)求》《信息系統密碼應用(yòng)測評過(guò)程指南》《信息系統密碼應用(yòng)高風險判定指引》《商用(yòng)密碼應用(yòng)安全性評估量化評估規則》《商用(yòng)密碼應用(yòng)安全性評估報告模闆》等5項指導性文件，其(qí)中前2項已正式發(fā／fà)布爲密碼行(háng / xíng)業标準GM/T-0115和GM/T-0116。

相比于(yú)原有的符合性判定“一票否決”的規則，新的密評标準框架豐富了密評結果的出具過(guò)程，提出了“量化評估＋風險判定”的綜合判定思路。量化評估是爲了“保量”，即商用(yòng)密碼應用(yòng)應當達到一定的程度，便于(yú)縱向和橫向的比較；風險判定是爲了“保質”，即守住信息系統的安全底線。此外，爲了規範密評實施和判定活動，中國密碼學會(huì)密評聯委會(huì)還組織編制了《商用(yòng)密碼應用(yòng)安全性評估FAQ》，以問答形式解釋了密評過(guò)程中常見問題，并确立了定期更新機制，不斷應對(duì)技術發(fā／fà)展和應用(yòng)情況的變化，以持續保持密評标準體系的活力。

（三）機構規模與能(néng)力水平持續壯大提升

密評機構不僅是密評工作實施開展的主體，還是密碼應用(yòng)推進工作的宣傳隊，因此其(qí)專業水平十(shí)分重要(yào / yāo)。2017年(nián)底，第一批密評試點機構遴選工作正式開始，經培育考核，确定了首批密評試點機構。2019年(nián)底，第二批密評試點機構的遴選正式啓動，吸取第一批密評試點機構能(néng)力考核的經驗，結合密評試點階段實際密評工作的要(yào / yāo)求，第二批密評試點機構的能(néng)力考核進一步完善，在原有的人員能(néng)力筆試考核和機構條件現場考核基礎上，将密評報告評估和密評實戰能(néng)力考核納入能(néng)力考核範圍。這其(qí)中，實戰能(néng)力考核是充分克服了新冠疫情的不利影響，積極探索解決密評實戰能(néng)力如(rú)何考核的難題，取得(dé / de / děi)了很好的成效，也獲得(dé / de / děi)了參與考核機構的積極反饋。實戰能(néng)力考核貼近實際，不再是“紙上談兵”，一方面覆蓋了原本理論考試無法涉及的内容，對(duì)機構實戰能(néng)力進行(háng / xíng)了有效評價，另一方面也對(duì)密評工作的開展起到了有效的引導和教育作用(yòng)，将密評機構原先對(duì)算法、産品進行(háng / xíng)簡單核查的僵化思路，逐步轉變爲充分采集證據、深入分析數據、客觀給出結果的科學化、合理化路徑。

2020年(nián)7月，國家(jiā)密碼管理局公布了第一批24家(jiā)密評試點機構目錄，并于(yú)2021年(nián)6月進行(háng / xíng)目錄更新，其(qí)中可(kě)面向全國開展密評業務的機構共48家(jiā)，另外25家(jiā)可(kě)面向本省本行(háng / xíng)業開展密評業務，形成了階梯式的密評機構層次架構。密評試點機構規模不斷擴大、能(néng)力逐步提升，爲密評工作規模化、規範化發(fā／fà)展提供了重要(yào / yāo)支撐。

二、貫徹落實《條例》，進一步完善密評體系

（一）持續拓展密評工作深度廣度，不斷增強重要(yào / yāo)領域密碼應用(yòng)水平

在法律法規層面，可(kě)以預見的是，随着(zhe／zhuó／zhāo／zháo)《條例》發(fā／fà)布，配套的規章制度也會(huì)陸續出台，進一步細化對(duì)密評機構管理和對(duì)密評工作管理等要(yào / yāo)求。在這些法律法規的具體要(yào / yāo)求下(xià)，密評機構和人員的管理将進一步規範，開展密評的信息系統範圍和數量将進一步擴大。下(xià)一步，在前期金融、政務等領域開展密碼應用(yòng)和密評工作的良好基礎上，要(yào / yāo)進一步深入擴展到其(qí)他重要(yào / yāo)領域和行(háng / xíng)業，推動密碼應用(yòng)和密評要(yào / yāo)求在重要(yào / yāo)領域和行(háng / xíng)業落地生(shēng)根，持續增強密碼應用(yòng)的廣度和深度。

（二）持續推進标準文件更新出台，不斷爲密評體系注入生(shēng)命力

GB/T-39786針對(duì)信息系統提出了通用(yòng)性的密碼應用(yòng)基本要(yào / yāo)求，但無法适配于(yú)所(suǒ)有類型信息系統和應用(yòng)場景。近些年(nián)，國家(jiā)密碼管理局以密碼行(háng / xíng)業标準形式發(fā／fà)布了針對(duì)具體應用(yòng)場景的密碼應用(yòng)技術要(yào / yāo)求和指南，包括電子保單、網上銀行(háng / xíng)、遠程移動支付、電子招投标、區塊鏈等。随着(zhe／zhuó／zhāo／zháo)密碼應用(yòng)範圍的不斷擴大，亟需新一批的指導性文件用(yòng)于(yú)指導具體場景的密碼應用(yòng)建設和安全性評估工作，并适情開展文件的标準化。另外，目前密評體系文件中形成标準的還不多，還需進一步推進已經在制标過(guò)程中的《信息系統密碼應用(yòng)方案設計指南》和《信息系統密碼應用(yòng)實施指南》等應用(yòng)指導類文件加快成熟，以更好指導密碼應用(yòng)與安全性評估工作。

（三）持續加強技術手段建設，不斷提升密評機構能(néng)力水平

在密評實施過(guò)程中，目前的工具和手段還不能(néng)較好支撐對(duì)專門領域（如(rú)5G、工業互聯網）中的密碼協議和密碼應用(yòng)情況進行(háng / xíng)有效檢查，在對(duì)信息系統重要(yào / yāo)數據的深入自(zì)動分析及密碼應用(yòng)漏洞的探測方面也存在較大欠缺。因此，未來需要(yào / yāo)圍繞密評實踐過(guò)程中的各個技術驗證點，進一步加強密評業務開展的技術手段建設。一方面，基于(yú)密碼産品/服務等相關标準完善現有典型密評工具，同時研制并集成密評新工具，如(rú)自(zì)動化分析工具、密碼應用(yòng)滲透測試工具，形成可(kě)聯動、可(kě)動态配置、自(zì)動化、一體化的密評工具平台；另一方面，加強密碼應用(yòng)典型風險庫和應對(duì)知識庫建設，爲密評人員的知識培訓、實戰考核和能(néng)力驗證提供基礎保障。此外，還需加強密碼應用(yòng)攻防平台建設，整合密碼應用(yòng)風險庫以及對(duì)應的典型案例庫、惡意攻擊行(háng / xíng)爲庫等知識庫，結合一體化密評工具平台，形成涵蓋環境仿真、密評人員培訓演練、密評機構能(néng)力驗證爲一體的密評核心基礎設施，全面提升我國密評工作質量水平和實戰能(néng)力，切實維護重要(yào / yāo)網絡與信息系統安全。