密碼分(fēn)為(wèi)核心密碼、普通密碼和商(shāng)用(yòng)密碼，我們日常工(gōng)作(zuò)生活中(zhōng)接觸到的多(duō)是商(shāng)用(yòng)密碼。工(gōng)作(zuò)中(zhōng)，網上辦(bàn)公(gōng)、繳稅納稅等過程都有(yǒu)商(shāng)用(yòng)密碼在起作(zuò)用(yòng)。生活中(zhōng)，第二代居民(mín)身份證就通過商(shāng)用(yòng)密碼技(jì )術保證認證一緻，購(gòu)買火車(chē)票、網絡購(gòu)物(wù)等在線(xiàn)支付全過程都有(yǒu)商(shāng)用(yòng)密碼的保護。

商(shāng)用(yòng)密碼，是指對不涉及國(guó)家秘密内容的信息進行加密保護或安(ān)全認證所使用(yòng)的密碼技(jì )術和密碼産(chǎn)品。其中(zhōng)，商(shāng)用(yòng)密碼技(jì )術，是保障信息安(ān)全的核心技(jì )術。從功能(néng)上看，主要包括加密保護技(jì )術和安(ān)全認證技(jì )術；從内容上看，主要包括密碼算法、密鑰管理(lǐ)和密碼協議。商(shāng)用(yòng)密碼産(chǎn)品，是指采用(yòng)密碼技(jì )術對不涉及國(guó)家秘密内容的信息進行加密保護或安(ān)全認證的産(chǎn)品，即承載密碼技(jì )術、實現密碼功能(néng)的實體(tǐ)。按照形态劃分(fēn)，商(shāng)用(yòng)密碼産(chǎn)品分(fēn)為(wèi)六類，即軟件、芯片、模塊、闆卡、整機、系統；按照功能(néng)劃分(fēn)，商(shāng)用(yòng)密碼産(chǎn)品分(fēn)為(wèi)七類，即密碼算法類、數據加解密類、認證鑒别類、證書管理(lǐ)類、密鑰管理(lǐ)類、密碼防僞類和綜合類。

密碼是網絡信任體(tǐ)系的重要基石，是目前世界上公(gōng)認的，保障網絡與信息安(ān)全最有(yǒu)效、最可(kě)靠、最經濟的關鍵核心技(jì )術。《網絡安(ān)全法》《密碼法》《數據安(ān)全法》《個人信息保護法》《關鍵信息基礎設施安(ān)全保護條例》等法律法規均不同程度地提到要使用(yòng)商(shāng)用(yòng)密碼。在信息互聯時代，密碼除傳統加密外，主要體(tǐ)現在身份認證、權限管理(lǐ)、訪問控制等。數字經濟時代，密碼的作(zuò)用(yòng)不斷擴展到數據流通、數據共享等新(xīn)維度，密碼技(jì )術自身也需要持續革新(xīn)。

“密評”是指在采用(yòng)商(shāng)用(yòng)密碼技(jì )術、産(chǎn)品和服務(wù)集成建設的網絡和信息系統中(zhōng)，對其密碼應用(yòng)的合規性、正确性和有(yǒu)效性進行評估。

國(guó)家網絡安(ān)全和密碼相關法律法規明确要求非涉密的關鍵信息基礎設施、等保三級及以上系統、國(guó)家政務(wù)等重要信息系統要開展密評工(gōng)作(zuò)。并且，密評管理(lǐ)辦(bàn)法也明确規定：關鍵信息基礎設施、網絡安(ān)全等級保護第三級及以上信息系統，需要每年至少評估一次。

● 首先，是《密碼法》第三十七條第一款指出：關鍵信息基礎設施的運營者未按照要求使用(yòng)商(shāng)用(yòng)密碼，或者未按照要求開展密評的，由密碼管理(lǐ)部門責令改正，給予警告；拒不改正或者導緻危害網絡安(ān)全等後果的，将處十萬元以上一百萬元以下罰款。

● 《國(guó)家政務(wù)信息化項目建設管理(lǐ)辦(bàn)法》第二十八條第三款也有(yǒu)提到：對于不符合密碼應用(yòng)和網絡安(ān)全要求，或者存在重大安(ān)全隐患的政務(wù)信息系統，不安(ān)排運行維護經費，項目建設單位不得新(xīn)建、改建、擴建政務(wù)信息系統。

項目建設單位應當落實國(guó)家密碼管理(lǐ)有(yǒu)關法律法規和标準規範的要求，同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。

從事密評活動的機構，應當經國(guó)家密碼管理(lǐ)部門認定，依法取得商(shāng)用(yòng)密碼檢測機構資質(zhì)。

參考的标準主要分(fēn)為(wèi)兩類：

●第一類是基本要求

● 第二類是評估方法

目前主要參考的文(wén)件是2021年發布的GM/T 0115-2021《信息系統密碼應用(yòng)測評要求》、GM/T 0116-2021《信息系統密碼應用(yòng)測評過程指南》，中(zhōng)國(guó)密碼學(xué)會密評聯委會修訂形成的《信息系統密碼應用(yòng)高風險判定指引》《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估量化評估規則》。

密評量化評估滿分(fēn)100分(fēn)，得分(fēn)大于等于60分(fēn)且沒有(yǒu)高風險項為(wèi)基本合格。

密評工(gōng)作(zuò)主要包括兩部分(fēn)内容：一是信息系統規劃階段的密碼應用(yòng)方案評估，這一環節主要用(yòng)于保證建設方案的安(ān)全性；二是信息系統建設完成後針對該系統開展現場測試。

● 方案評估階段

主要針對新(xīn)建或改造信息系統，密碼應用(yòng)改造方案一般由用(yòng)戶單位組織編寫，用(yòng)戶單位編寫密碼應用(yòng)建設方案/改造方案後，應委托專家對方案進行評估或委托密評機構出具(jù)方案密評報告。

● 系統評估階段

注：密評系統的定級參照網絡安(ān)全等級保護的系統定級。

密評過程（見下圖）分(fēn)為(wèi)四個基本測評活動：測評準備活動、方案編制活動、現場測評活動、分(fēn)析與報告編制活動；測評雙方之間的溝通與洽談貫穿整個密碼應用(yòng)安(ān)全性評估過程。其中(zhōng)，測評對象包括安(ān)全人員、管理(lǐ)員、密碼産(chǎn)品、網絡設備、服務(wù)器、數據庫、安(ān)全設備、操作(zuò)系統、應用(yòng)系統、業務(wù)系統、技(jì )術文(wén)檔、管理(lǐ)制度文(wén)檔等；測評工(gōng)具(jù)涉及協議分(fēn)析工(gōng)具(jù)、端口掃描工(gōng)具(jù)、滲透測試工(gōng)具(jù)、算法和随機性檢測工(gōng)具(jù)、密碼應用(yòng)檢測工(gōng)具(jù)、密碼安(ān)全協議檢測工(gōng)具(jù)等。

按照《密碼法》确定的屬地管理(lǐ)原則，應由運營者所在地的密碼管理(lǐ)部門作(zuò)為(wèi)備案部門，由省級密碼管理(lǐ)部門作(zuò)為(wèi)一般備案部門，國(guó)家密碼管理(lǐ)局作(zuò)為(wèi)特殊備案部門。自密評報告出具(jù)之日起30日内，填寫《網絡與信息系統密評備案信息表》，并按備案表要求，附上密評合同和密評報告，郵寄到所屬地密碼管理(lǐ)局。

​