商(shāng)用(yòng)密碼，是指對不涉及國(guó)家秘密内容的信息進行加密保護或安(ān)全認證所使用(yòng)的密碼技(jì )術和密碼産(chǎn)品。其中(zhōng)，商(shāng)用(yòng)密碼技(jì )術，是保障信息安(ān)全的核心技(jì )術。從功能(néng)上看，主要包括加密保護技(jì )術和安(ān)全認證技(jì )術；從内容上看，主要包括密碼算法、密鑰管理(lǐ)和密碼協議。

商(shāng)用(yòng)密碼産(chǎn)品，是指采用(yòng)密碼技(jì )術對不涉及國(guó)家秘密内容的信息進行加密保護或安(ān)全認證的産(chǎn)品，即承載密碼技(jì )術、實現密碼功能(néng)的實體(tǐ)。按照形态劃分(fēn)，商(shāng)用(yòng)密碼産(chǎn)品分(fēn)為(wèi)六類，即軟件、芯片、模塊、闆卡、整機、系統；按照功能(néng)劃分(fēn)，商(shāng)用(yòng)密碼産(chǎn)品分(fēn)為(wèi)七類，即密碼算法類、數據加解密類、認證鑒别類、證書管理(lǐ)類、密鑰管理(lǐ)類、密碼防僞類和綜合類。

商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估(簡稱“密評”)，是指在采用(yòng)商(shāng)用(yòng)密碼技(jì )術、産(chǎn)品和服務(wù)集成建設的網絡和信息系統中(zhōng)，對其密碼應用(yòng)的合規性、正确性和有(yǒu)效性進行評估。

• 使用(yòng)的密碼算法、密碼技(jì )術符合法律法規和相關國(guó)家标準、行業标準的有(yǒu)關要求

• 使用(yòng)的密碼産(chǎn)品、密碼模塊通過國(guó)家密碼管理(lǐ)部門核準

• 使用(yòng)的密碼服務(wù)符合國(guó)家密碼管理(lǐ)要求

• 密碼算法、密碼協議、密鑰管理(lǐ)、密碼産(chǎn)品和服務(wù)使用(yòng)正确

• 系統中(zhōng)采用(yòng)的标準密碼算法、協議和密鑰管理(lǐ)機制按照密碼國(guó)家和行業标準進行正确設計和實現

• 自定義密碼協議、密鑰管理(lǐ)機制的設計和實現正确，符合相關标準要求

• 密碼保障系統建設或改造過程中(zhōng)密碼産(chǎn)品和服務(wù)的部署和應用(yòng)正确

開展密評，是為(wèi)了解決商(shāng)用(yòng)密碼應用(yòng)中(zhōng)存在的突出問題，為(wèi)網絡和信息系統的安(ān)全提供科(kē)學(xué)評價方法，逐步規範商(shāng)用(yòng)密碼的使用(yòng)和管理(lǐ)。從根本上改變商(shāng)用(yòng)密碼應用(yòng)不廣泛、不規範、不安(ān)全的現狀，确保商(shāng)用(yòng)密碼在網絡和信息系統中(zhōng)有(yǒu)效使用(yòng)，切實構建起堅實可(kě)靠的網絡安(ān)全密碼屏障。開展密評，是國(guó)家網絡安(ān)全和密碼相關法律法規提出的明确要求，是法定責任和義務(wù)。

基礎信息網絡：電(diàn)信網、廣播電(diàn)視網、互聯網。

重要信息系統：能(néng)源、教育、公(gōng)安(ān)、測繪地理(lǐ)信息、社保、交通、衛生計生、金融等涉及國(guó)計民(mín)生和基礎信息資源的重要信息系統。

重要工(gōng)業控制系統：核設施、航空航天、先進制造、石油石化、油氣管網、電(diàn)力系統、交通運輸、水利樞紐、城市設施等重要工(gōng)業控制系統。

面向社會服務(wù)的政務(wù)信息系統：黨政機關和使用(yòng)财政性資金的事業單位和團體(tǐ)組織使用(yòng)的面向社會服務(wù)的信息系統。

01 總體(tǐ)要求

密碼算法：使用(yòng)的密碼算法應當符合法律、法規的規定和密碼相關國(guó)家标準、行業标準的有(yǒu)關要求，重點關注密碼算法的合規性。

密碼技(jì )術：使用(yòng)的密碼技(jì )術應遵循密碼相關國(guó)家标準和行業标準。重點關注加密技(jì )術的合規性，密碼技(jì )術應保證自身的安(ān)全性，可(kě)靠性，與信息系統的互聯互通性。

密碼産(chǎn)品：使用(yòng)的密碼産(chǎn)品與密碼模塊應通過國(guó)家密碼管理(lǐ)部門核準。“密碼模塊”可(kě)包括密碼卡、密碼機、定制密碼模塊、密碼軟件等多(duō)種形态。重點關注密碼産(chǎn)品的合規性和有(yǒu)效性，密碼産(chǎn)品和密碼模塊需根據國(guó)家相關規定進行密碼産(chǎn)品安(ān)全等級确定、檢測。測評機構開展評估應當遵循商(shāng)用(yòng)密碼管理(lǐ)政策和國(guó)家标準GB/T39786-2021《信息安(ān)全技(jì )術信息系統密碼應用(yòng)基本要求》《信息系統密碼測評要求》（運行）等相關密碼标準和指導性文(wén)件的要求，遵循獨立、客觀、公(gōng)衆的原則。

密碼服務(wù)：使用(yòng)的密碼服務(wù)應通過國(guó)家密碼管理(lǐ)部門許可(kě)。如CA認證機構應獲得《電(diàn)子認證服務(wù)使用(yòng)密碼許可(kě)證》以及《電(diàn)子認證服務(wù)許可(kě)證》。

02 密碼功能(néng)要求

密碼功能(néng)要求是對密碼技(jì )術在信息系統中(zhōng)的使用(yòng)場景起到什麽作(zuò)用(yòng)的闡述，密碼功能(néng)要求包括機密性、完整性、真實性和不可(kě)否認性。

機密性：使用(yòng)密碼加密功能(néng)，保障信息系統重要數據在傳輸、存儲過程中(zhōng)的保密性以及身份鑒别信息、密鑰數據的機密性。

完整性：使用(yòng)消息校驗碼(MAC)或數字簽名(míng)實現完整性，保障信息系統重要數據在傳輸、存儲過程中(zhōng)的完整性以及身份鑒别信息、密鑰數據、日志(zhì)記錄、訪問控制信息、資源敏感标記、重要程序、可(kě)信信任鏈、視頻監控記錄、電(diàn)子門禁出入記錄的完整性。

真實性：使用(yòng)對稱加密、動态口令、數字簽名(míng)等實現真實性，保障信息系統中(zhōng)各類基礎設施、軟硬件設備以及業務(wù)應用(yòng)系統的用(yòng)戶身份鑒别信息的真實性。

不可(kě)否認性：使用(yòng)數字簽名(míng)等密碼技(jì )術實現實體(tǐ)行為(wèi)的不可(kě)否認性，保障信息系統中(zhōng)無法否認的操作(zuò)行為(wèi)，如發送、接收、審批、創建、修改、删除、添加、配置等。

03 密碼技(jì )術應用(yòng)要求、密鑰管理(lǐ)和安(ān)全管理(lǐ)

測評過程分(fēn)為(wèi)四項基本測評活動:測評準備活動、方案編制活動、現場測評活動、分(fēn)析與報告編制活動。測評雙方之間的溝通與洽談應貫穿整個測評過程。其中(zhōng)，測評對象包括安(ān)全人員、管理(lǐ)員、密碼産(chǎn)品、網絡設備、服務(wù)器、數據庫、安(ān)全設備、操作(zuò)系統、應用(yòng)系統、業務(wù)系統、技(jì )術文(wén)檔、管理(lǐ)制度文(wén)檔等；測評工(gōng)具(jù)涉及協議分(fēn)析工(gōng)具(jù)、端口掃描工(gōng)具(jù)、滲透測試工(gōng)具(jù)、算法和随機性檢測工(gōng)具(jù)、密碼應用(yòng)檢測工(gōng)具(jù)、密碼安(ān)全協議檢測工(gōng)具(jù)等。

《密碼法》第三十七條第一款規定

關鍵信息基礎設施的運營者違反本法第二十七條第一款規定，未按照要求使用(yòng)商(shāng)用(yòng)密碼，或者未按照要求開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估的，由密碼管理(lǐ)部門責令改正，給予警告；拒不改正或者導緻危害網絡安(ān)全等後果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

《國(guó)家政務(wù)信息化項目建設管理(lǐ)辦(bàn)法》第二十八條第三款規定

對于不符合密碼應用(yòng)和網絡安(ān)全要求，或者存在重大安(ān)全隐患的政務(wù)信息系統，不安(ān)排運行維護經費，項目建設單位不得新(xīn)建、改建、擴建政務(wù)信息系統。

《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估管理(lǐ)辦(bàn)法（試行）》第二章第十條規定

關鍵信息基礎設施、網絡安(ān)全等級保護第三級及以上信息系統，每年至少評估一次。

根據現有(yǒu)規定，責任單位取得報告後，被測單位自行上報主管部門及所在地區(qū)（部門）密碼管理(lǐ)部門備案，測評機構上報國(guó)密局備案；等保三級及以上信息系統，評估報告還需由被測單位上報至所在地區(qū)公(gōng)安(ān)部門備案。