近年來(lái)，網(wǎng)絡(luò)空間安全一直是經(jīng)濟(jì)社會(huì)關(guān)注的焦點(diǎn),，2022年網(wǎng)絡(luò)信息安全更是成為315晚會(huì)關(guān)注重點(diǎn),。密碼為保護(hù)信息安全而生，是網(wǎng)絡(luò)安全的核心要件,，是數(shù)字經(jīng)濟(jì)基礎(chǔ)支撐,。下面,，我們就來(lái)介紹一下日常工作生活中融入的商用密碼應(yīng)用及其安全性評(píng)估。

一,、什么是商用密碼,，為什么要使用商用密碼？

密碼分為核心密碼,、普通密碼和商用密碼,，我們?nèi)粘９ぷ魃钪薪佑|到的多是商用密碼。工作中,，網(wǎng)上辦公,、繳稅納稅等過(guò)程都有商用密碼在起作用。生活中,，第二代居民身份證就通過(guò)商用密碼技術(shù)保證認(rèn)證一致,，購(gòu)買(mǎi)火車(chē)票、網(wǎng)絡(luò)購(gòu)物等在線支付全過(guò)程都有商用密碼的保護(hù),。

商用密碼,，是指對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。其中,，商用密碼技術(shù),，是保障信息安全的核心技術(shù)。從功能上看,，主要包括加密保護(hù)技術(shù)和安全認(rèn)證技術(shù),；從內(nèi)容上看，主要包括密碼算法,、密鑰管理和密碼協(xié)議,。商用密碼產(chǎn)品，是指采用密碼技術(shù)對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或安全認(rèn)證的產(chǎn)品,，即承載密碼技術(shù),、實(shí)現(xiàn)密碼功能的實(shí)體。按照形態(tài)劃分,，商用密碼產(chǎn)品分為六類(lèi),，即軟件、芯片,、模塊,、板卡、整機(jī),、系統(tǒng),；按照功能劃分，商用密碼產(chǎn)品分為七類(lèi),，即密碼算法類(lèi),、數(shù)據(jù)加解密類(lèi),、認(rèn)證鑒別類(lèi)、證書(shū)管理類(lèi),、密鑰管理類(lèi),、密碼防偽類(lèi)和綜合類(lèi)。

密碼是網(wǎng)絡(luò)信任體系的重要基石,，是目前世界上公認(rèn)的,，保障網(wǎng)絡(luò)與信息安全最有效、最可靠,、最經(jīng)濟(jì)的關(guān)鍵核心技術(shù),。《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)均不同程度地提到要使用商用密碼,。在信息互聯(lián)時(shí)代,，密碼除傳統(tǒng)加密外，主要體現(xiàn)在身份認(rèn)證,、權(quán)限管理,、訪問(wèn)控制等。數(shù)字經(jīng)濟(jì)時(shí)代,，密碼的作用不斷擴(kuò)展到數(shù)據(jù)流通,、數(shù)據(jù)共享等新維度,，密碼技術(shù)自身也需要持續(xù)革新,。

二、商用密碼應(yīng)用安全性評(píng)估（簡(jiǎn)稱(chēng)“密評(píng)”）是什么,，哪些單位需要開(kāi)展密評(píng)工作,？

“密評(píng)”是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中,，對(duì)其密碼應(yīng)用的合規(guī)性,、正確性和有效性進(jìn)行評(píng)估。

國(guó)家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)明確要求非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施,、等保三級(jí)及以上系統(tǒng),、國(guó)家政務(wù)等重要信息系統(tǒng)要開(kāi)展密評(píng)工作。并且,，密評(píng)管理辦法也明確規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施,、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)，需要每年至少評(píng)估一次,。

工業(yè)和信息化部下發(fā)的基礎(chǔ)電信企業(yè)及其專(zhuān)業(yè)公司網(wǎng)絡(luò)與信息安全工作評(píng)分標(biāo)準(zhǔn)中支出,，參與商用密碼應(yīng)用試點(diǎn)，有突出表現(xiàn)的,，視情予以加分,。 

三,、不做密評(píng)或測(cè)試結(jié)果不合格會(huì)有哪些影響呢？

相關(guān)影響已經(jīng)有文件加以明確：

首先,，是《密碼法》第三十七條第一款指出：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者未按照要求使用商用密碼,，或者未按照要求開(kāi)展密評(píng)的，由密碼管理部門(mén)責(zé)令改正,，給予警告,；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，將處十萬(wàn)元以上一百萬(wàn)元以下罰款,。

《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》第二十八條第三款也有提到：對(duì)于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求,，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi),，項(xiàng)目建設(shè)單位不得新建,、改建、擴(kuò)建政務(wù)信息系統(tǒng),。

此外,，全國(guó)各地方也在不斷將密碼應(yīng)用要求納入行業(yè)管理規(guī)范、工作計(jì)劃,。如近兩年印發(fā)的《廣東省政務(wù)信息化項(xiàng)目建設(shè)管理辦法》《河北省省級(jí)政務(wù)信息化項(xiàng)目建設(shè)管理辦法》《河南省政務(wù)云管理辦法》《江西省政務(wù)信息化項(xiàng)目建設(shè)管理辦法》《吉林省政務(wù)信息化項(xiàng)目建設(shè)管理辦法》《廣西政務(wù)信息化項(xiàng)目建設(shè)管理辦法》,，均提到了要按要求采用密碼技術(shù)和定期開(kāi)展密評(píng)。

四,、密評(píng)在密碼應(yīng)用部署過(guò)程中所處的位置,，全過(guò)程涉及的參與方有哪些？

項(xiàng)目建設(shè)單位應(yīng)當(dāng)落實(shí)國(guó)家密碼管理有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的要求,，同步規(guī)劃,、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評(píng)估,。

五,、開(kāi)展密評(píng)工作主要參考哪些標(biāo)準(zhǔn)規(guī)范？

參考的標(biāo)準(zhǔn)主要分為兩類(lèi)：

第一類(lèi)是基本要求

就是我們通常說(shuō)的“信息系統(tǒng)密碼應(yīng)用基本要求”,，主要依據(jù)國(guó)家標(biāo)準(zhǔn)GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》,，此標(biāo)準(zhǔn)于2021年10月1日正式實(shí)施。

第二類(lèi)是評(píng)估方法

目前主要參考的文件是2021年發(fā)布的GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》,、GM/T 0116-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南》,，中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)修訂形成的《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》。

密評(píng)量化評(píng)估滿分100分,，得分大于等于60分且沒(méi)有高風(fēng)險(xiǎn)項(xiàng)為基本合格,。

六、密評(píng)的服務(wù)內(nèi)容主要有哪些,？

密評(píng)工作主要包括兩部分內(nèi)容：一是信息系統(tǒng)規(guī)劃階段的密碼應(yīng)用方案評(píng)估,，這一環(huán)節(jié)主要用于保證建設(shè)方案的安全性,；二是信息系統(tǒng)建設(shè)完成后針對(duì)該系統(tǒng)開(kāi)展現(xiàn)場(chǎng)測(cè)試。

方案評(píng)估階段

主要針對(duì)新建或改造信息系統(tǒng),，密碼應(yīng)用改造方案一般由用戶單位組織編寫(xiě),，用戶單位編寫(xiě)密碼應(yīng)用建設(shè)方案/改造方案后，應(yīng)委托專(zhuān)家對(duì)方案進(jìn)行評(píng)估或委托密評(píng)機(jī)構(gòu)出具方案密評(píng)報(bào)告,。

系統(tǒng)評(píng)估階段

主要依據(jù)國(guó)標(biāo)GB/T39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》,，從物理和環(huán)境、網(wǎng)絡(luò)和通信,、設(shè)備和計(jì)算,、應(yīng)用和數(shù)據(jù)、安全管理等方面開(kāi)展評(píng)估,。

注：密評(píng)系統(tǒng)的定級(jí)參照網(wǎng)絡(luò)安全等級(jí)保護(hù)的系統(tǒng)定級(jí),。

七、密評(píng)過(guò)程主要包括哪些環(huán)節(jié),？

密評(píng)過(guò)程（見(jiàn)下圖）分為四個(gè)基本測(cè)評(píng)活動(dòng)：測(cè)評(píng)準(zhǔn)備活動(dòng),、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng),、分析與報(bào)告編制活動(dòng),；測(cè)評(píng)雙方之間的溝通與洽談貫穿整個(gè)密碼應(yīng)用安全性評(píng)估過(guò)程。其中,，測(cè)評(píng)對(duì)象包括安全人員,、管理員、密碼產(chǎn)品,、網(wǎng)絡(luò)設(shè)備,、服務(wù)器、數(shù)據(jù)庫(kù),、安全設(shè)備、操作系統(tǒng),、應(yīng)用系統(tǒng),、業(yè)務(wù)系統(tǒng)、技術(shù)文檔,、管理制度文檔等,；測(cè)評(píng)工具涉及協(xié)議分析工具、端口掃描工具,、滲透測(cè)試工具,、算法和隨機(jī)性檢測(cè)工具、密碼應(yīng)用檢測(cè)工具,、密碼安全協(xié)議檢測(cè)工具等,。

八,、密評(píng)過(guò)程中有哪些常見(jiàn)問(wèn)題？

用戶單位在密碼實(shí)際應(yīng)用改造過(guò)程中,，會(huì)遇到諸多問(wèn)題,，如租用外部機(jī)房如何滿足物理和環(huán)境安全項(xiàng)的要求、自建CA的合規(guī)性,、云平臺(tái)和云上應(yīng)用的測(cè)評(píng)等問(wèn)題,，通用解答可參見(jiàn)2021年底已發(fā)布的《商用密碼應(yīng)用安全性評(píng)估FAQ》（https://ht.cacrnet.org.cn/upload/file/20211217/1639751669666037.pdf），針對(duì)具體問(wèn)題還需要結(jié)合用戶單位實(shí)際情況進(jìn)行詳細(xì)解答,。

九,、取得密評(píng)報(bào)告后應(yīng)如何去管理部門(mén)備案？

按照《密碼法》確定的屬地管理原則,，應(yīng)由運(yùn)營(yíng)者所在地的密碼管理部門(mén)作為備案部門(mén),，由省級(jí)密碼管理部門(mén)作為一般備案部門(mén)，國(guó)家密碼管理局作為特殊備案部門(mén),。自密評(píng)報(bào)告出具之日起30日內(nèi),，填寫(xiě)《網(wǎng)絡(luò)與信息系統(tǒng)密評(píng)備案信息表》，并按備案表要求,，附上密評(píng)合同和密評(píng)報(bào)告,，郵寄到所屬地密碼管理局。

十,、密評(píng)主要由哪些機(jī)構(gòu)開(kāi)展,？

從事密評(píng)活動(dòng)的機(jī)構(gòu)，應(yīng)當(dāng)經(jīng)國(guó)家密碼管理部門(mén)認(rèn)定,，并依法取得商用密碼檢測(cè)機(jī)構(gòu)資質(zhì),。具備完善的商用密碼測(cè)試評(píng)估平臺(tái)、模擬仿真系統(tǒng),、測(cè)評(píng)工具,，相關(guān)技術(shù)人員具備專(zhuān)業(yè)的測(cè)評(píng)實(shí)施能力，可依據(jù)GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》等標(biāo)準(zhǔn)規(guī)范,，為用戶提供測(cè)評(píng)評(píng)估服務(wù),。

北京卓越同舟咨詢有限公司成立于2002年,經(jīng)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)批準(zhǔn)設(shè)立的專(zhuān)業(yè)企業(yè)認(rèn)證及咨詢機(jī)構(gòu)(批準(zhǔn)號(hào): CNCA-Z-01Q-2006-038)，能為各種行業(yè),、各種規(guī)模的組織提供ISO9001 質(zhì)量管理體系,、IATF16949汽車(chē)生產(chǎn)件及相關(guān)服務(wù)件組織的質(zhì)量管理體系要求、ISO14001環(huán)境管理體系,、 ISO45001職業(yè)健康安全 管理體系,、ISO22000/HACCP食品安全管理體系/危害分析與關(guān)鍵控制點(diǎn)ISO/IEC27001信息安全管理體系、ISO/IEC200001T服務(wù) 管理體系、ISO22301業(yè)務(wù)連續(xù)性管理體系等管理體系認(rèn)證咨詢,、產(chǎn)品認(rèn)證咨詢,、企業(yè)資質(zhì)認(rèn)證咨詢、企業(yè)管理咨詢(組織設(shè)計(jì),、流程優(yōu)化,、成本審計(jì)、品控管理,、顧客滿意度測(cè)評(píng),、5S管理等)及相關(guān)培訓(xùn)服務(wù)。