商用密碼，是指對不涉及國家秘密內(nèi)容的信息進行加密保護或安全認證所使用的密碼技術和密碼產(chǎn)品。其中，商用密碼技術，是保障信息安全的核心技術。從功能上看，主要包括加密保護技術和安全認證技術；從內(nèi)容上看，主要包括密碼算法、密鑰管理和密碼協(xié)議。

商用密碼產(chǎn)品，是指采用密碼技術對不涉及國家秘密內(nèi)容的信息進行加密保護或安全認證的產(chǎn)品，即承載密碼技術、實現(xiàn)密碼功能的實體。按照形態(tài)劃分，商用密碼產(chǎn)品分為六類，即軟件、芯片、模塊、板卡、整機、系統(tǒng)；按照功能劃分，商用密碼產(chǎn)品分為七類，即密碼算法類、數(shù)據(jù)加解密類、認證鑒別類、證書管理類、密鑰管理類、密碼防偽類和綜合類。

商用密碼應用安全性評估(簡稱“密評”)，是指在采用商用密碼技術、產(chǎn)品和服務集成建設的網(wǎng)絡和信息系統(tǒng)中，對其密碼應用的合規(guī)性、正確性和有效性進行評估。

• 使用的密碼算法、密碼技術符合法律法規(guī)和相關國家標準、行業(yè)標準的有關要求

• 使用的密碼產(chǎn)品、密碼模塊通過國家密碼管理部門核準

• 使用的密碼服務符合國家密碼管理要求

• 密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務使用正確

• 系統(tǒng)中采用的標準密碼算法、協(xié)議和密鑰管理機制按照密碼國家和行業(yè)標準進行正確設計和實現(xiàn)

• 自定義密碼協(xié)議、密鑰管理機制的設計和實現(xiàn)正確，符合相關標準要求

• 密碼保障系統(tǒng)建設或改造過程中密碼產(chǎn)品和服務的部署和應用正確

開展密評，是為了解決商用密碼應用中存在的突出問題，為網(wǎng)絡和信息系統(tǒng)的安全提供科學評價方法，逐步規(guī)范商用密碼的使用和管理。從根本上改變商用密碼應用不廣泛、不規(guī)范、不安全的現(xiàn)狀，確保商用密碼在網(wǎng)絡和信息系統(tǒng)中有效使用，切實構(gòu)建起堅實可靠的網(wǎng)絡安全密碼屏障。開展密評，是國家網(wǎng)絡安全和密碼相關法律法規(guī)提出的明確要求，是法定責任和義務。

基礎信息網(wǎng)絡：電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)。

重要信息系統(tǒng)：能源、教育、公安、測繪地理信息、社保、交通、衛(wèi)生計生、金融等涉及國計民生和基礎信息資源的重要信息系統(tǒng)。

重要工業(yè)控制系統(tǒng)：核設施、航空航天、先進制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運輸、水利樞紐、城市設施等重要工業(yè)控制系統(tǒng)。

面向社會服務的政務信息系統(tǒng)：黨政機關和使用財政性資金的事業(yè)單位和團體組織使用的面向社會服務的信息系統(tǒng)。

01 總體要求

密碼算法：使用的密碼算法應當符合法律、法規(guī)的規(guī)定和密碼相關國家標準、行業(yè)標準的有關要求，重點關注密碼算法的合規(guī)性。

密碼技術：使用的密碼技術應遵循密碼相關國家標準和行業(yè)標準。重點關注加密技術的合規(guī)性，密碼技術應保證自身的安全性，可靠性，與信息系統(tǒng)的互聯(lián)互通性。

密碼產(chǎn)品：使用的密碼產(chǎn)品與密碼模塊應通過國家密碼管理部門核準?！懊艽a模塊”可包括密碼卡、密碼機、定制密碼模塊、密碼軟件等多種形態(tài)。重點關注密碼產(chǎn)品的合規(guī)性和有效性，密碼產(chǎn)品和密碼模塊需根據(jù)國家相關規(guī)定進行密碼產(chǎn)品安全等級確定、檢測。測評機構(gòu)開展評估應當遵循商用密碼管理政策和國家標準GB/T39786-2021《信息安全技術信息系統(tǒng)密碼應用基本要求》《信息系統(tǒng)密碼測評要求》（運行）等相關密碼標準和指導性文件的要求，遵循獨立、客觀、公眾的原則。

密碼服務：使用的密碼服務應通過國家密碼管理部門許可。如CA認證機構(gòu)應獲得《電子認證服務使用密碼許可證》以及《電子認證服務許可證》。

02 密碼功能要求

密碼功能要求是對密碼技術在信息系統(tǒng)中的使用場景起到什么作用的闡述，密碼功能要求包括機密性、完整性、真實性和不可否認性。

機密性：使用密碼加密功能，保障信息系統(tǒng)重要數(shù)據(jù)在傳輸、存儲過程中的保密性以及身份鑒別信息、密鑰數(shù)據(jù)的機密性。

完整性：使用消息校驗碼(MAC)或數(shù)字簽名實現(xiàn)完整性，保障信息系統(tǒng)重要數(shù)據(jù)在傳輸、存儲過程中的完整性以及身份鑒別信息、密鑰數(shù)據(jù)、日志記錄、訪問控制信息、資源敏感標記、重要程序、可信信任鏈、視頻監(jiān)控記錄、電子門禁出入記錄的完整性。

真實性：使用對稱加密、動態(tài)口令、數(shù)字簽名等實現(xiàn)真實性，保障信息系統(tǒng)中各類基礎設施、軟硬件設備以及業(yè)務應用系統(tǒng)的用戶身份鑒別信息的真實性。

不可否認性：使用數(shù)字簽名等密碼技術實現(xiàn)實體行為的不可否認性，保障信息系統(tǒng)中無法否認的操作行為，如發(fā)送、接收、審批、創(chuàng)建、修改、刪除、添加、配置等。

03 密碼技術應用要求、密鑰管理和安全管理

測評過程分為四項基本測評活動:測評準備活動、方案編制活動、現(xiàn)場測評活動、分析與報告編制活動。測評雙方之間的溝通與洽談應貫穿整個測評過程。其中，測評對象包括安全人員、管理員、密碼產(chǎn)品、網(wǎng)絡設備、服務器、數(shù)據(jù)庫、安全設備、操作系統(tǒng)、應用系統(tǒng)、業(yè)務系統(tǒng)、技術文檔、管理制度文檔等；測評工具涉及協(xié)議分析工具、端口掃描工具、滲透測試工具、算法和隨機性檢測工具、密碼應用檢測工具、密碼安全協(xié)議檢測工具等。

《密碼法》第三十七條第一款規(guī)定

關鍵信息基礎設施的運營者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

《國家政務信息化項目建設管理辦法》第二十八條第三款規(guī)定

對于不符合密碼應用和網(wǎng)絡安全要求，或者存在重大安全隱患的政務信息系統(tǒng)，不安排運行維護經(jīng)費，項目建設單位不得新建、改建、擴建政務信息系統(tǒng)。

《商用密碼應用安全性評估管理辦法（試行）》第二章第十條規(guī)定

關鍵信息基礎設施、網(wǎng)絡安全等級保護第三級及以上信息系統(tǒng)，每年至少評估一次。

根據(jù)現(xiàn)有規(guī)定，責任單位取得報告后，被測單位自行上報主管部門及所在地區(qū)（部門）密碼管理部門備案，測評機構(gòu)上報國密局備案；等保三級及以上信息系統(tǒng)，評估報告還需由被測單位上報至所在地區(qū)公安部門備案。