概述

近年来，网络空间作为国家发展的重要战略资源，已成为影响国家间竞合关系的重要领域以及大国博弈的重要战场。部分国家将网络安全作为谋求国家战略优势的重要抓手，对内不断加强顶层设计和能力手段建设，对外抢抓网络空间制空权、规则制定话语权，国家间网络空间博弈日益激励，网络安全问题已经成为影响国家间战略合作关系走向的焦点之一。

而密码技术作为党和国家的“命门”是实现网络安全的“基因”，是实现可信互联、安全互通的必要前提，是保障网络空间安全的核心技术和基础支撑。作为实现网络安全最有效、最经济的手段，互联网的安全发展需要充分发挥密码的核心保障能力。商用密码管理工作作为我国密码工作的重要组成部分，是构建国家安全法律制度体系、维护国家网络空间安全、维护密码事业高质量发展的重要举措。

商用密码的重要性

《中华人民共和国密码法》明确我国密码分为核心密码、普通密码和商用密码三大类。在日常工作和生活中，我们主要接触到的是商用密码。例如，在线办公、缴纳税费、以及购买火车票或网络购物时，都会涉及到商用密码的应用，通过商用密码技术，可以保证第二代居民身份证的认证一致性，同时也保护了在线支付的安全。

商用密码，是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。 具体来说，商用密码包括两个主要方面：商用密码技术和商用密码产品。商用密码技术是保障信息安全的核心技术，主要包括加密保护技术和安全认证技术，涵盖了密码算法、密钥管理和密码协议等内容。而商用密码产品则是实现这些技术，对非国家秘密信息进行加密保护或安全认证的具体产品，它们承载了商用密码技术，实现了密码功能的实体。

当前，我国密码应用、科技创新和产业发展实现了历史性跨越。商用密码已广泛应用于能源、交通、公共服务、电子政务等关键信息基础设施领域，为维护国家安全，促进进击发展，保护人民群众利益发挥了重要作用。

就像开头所说的我们日常生活中的网络购物、身份证等都是使用到了商用密码技术，从2020年10月开始，我国新发的金融IC卡，全部使用了自主可控的芯片和商用密码等技术确保支付安全。除了移动支付领域，日常生活中我们使用的社保卡等电子证书，包括我们的各类通信手段，大家常使用的电子政务，在医院看病的电子病历等等，这些都是运用了商用密码技术对信息交互、身份认证、数据存储等过程进行保护。

由上可知，商用密码不仅支撑着我们的日常生活，而且还支撑着国家各领域关键基础设施的密码应用安全。

法规保障的商用密码安全

起步形成阶段

1996年，中共中央政治局常委会研究决定要大力发展商用密码并加强商用密码的管理。1999年，国务院颁布《商用密码管理条例》，首次以国家行政法规形式明确了商用密码的定义、商用密码的管理机构和管理制度，规定国家密码管理委员会及其办公室主管全国的商用密码管理工作。

2002年，中央机构编制委员会批准国家密码管理委员会办公室下设商用密码管理办公室，进一步明确了商用密码管理体制机制，为后续商用密码的发展与管理提供了重要保障。2005年，国家密码管理委员会办公室正式更名为国家密码管理局，并公布了商用密码科研、生产、销售管理规定，进一步为加强商用密码发展和管理工作提供保障。

快速发展阶段

2011年，经国家标准化管理委员会批准，密码行业标准化技术委员会正式成立，目前已发布商用密码行业标准近百项。由我国密码专家王小云院士提出的密码哈希函数碰撞攻击理论，破解了包括MD5、SHA-1在内的5个国际通用哈希函数算法，引起了国际密码界的高度关注。密码芯片设计、侧信道分析等一批密码核心关键技术取得重要突破。商用密码对信息安全的支撑能力显著增强。

2013年先后设立了重要国家安全委员会、中央网络安全和信息化委员会。以2014年我国4G网络正式商用为标志，近年来伴随着移动互联网、云计算、大数据、人工智能等新一代信息技术的不断发展，社会经济的数字化转型愈加深刻，网络信息化快速发展的同时，也带来了突出的安全问题，尤其是网络诈骗、隐私侵犯、数据泄露等相关热点事件的不断发生，使得网络信息安全的重视程度得到空前提升。

我国高度重视网络空间安全，网络安全逐步上升为国家战略，给整个商用密码产业带来了新的政策机遇。2017年6月1日，《中华人民共和国网络安全法》（以下简称《网络安全法》）正式发布，等级保护制度随之上升到法律层面。

立法规范阶段

2019年5月，公安部正式发布《信息安全技术网络安全等级保护基本要求》，开启等保2.0时代。2019年10月26日，十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》（以下简称《密码法》），并将于2020年1月1日起正式施行。

• 《中华人民共和国密码法》

《密码法》属于我国密码领域的第一步法律，其中明确定义了密码的概念。密码是指使用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。特定变换是指明文和密文相互转换的各种数学方法和实现机制；加密保护是指使用特定变换，将原始信息变成攻击者不能识别的符合序列，简单地说，就是将明文变成密文，从而保护信息的机密性。安全认证使用特定变换，确认信息是否被篡改、是否来自可靠信息源以及确认信息发送行为是否真实存在等。

 

第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

 

在《密码法》中第二十七条中明确规定，规定要求使用商用密码的关键信息基础设施需要自行或者委托商用密码测评机构开展商用密码应用安全性评估。这一条对关键信息基础设施使用商用密码和开展商用密码应用安全性评估（以下简称密评）提出了明确要求。

 

第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安全审查未通过的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

 

第三十七条则对关键信息基础设施运营者违反第二十七条要求的行为明确了罚则。这从根本上建立起了密评制度，也是开展密评工作最基本的法律依据。

2023年5月24日，国务院发布了新修订的《商用密码管理条例》（以下简称《条例》）

• 《商用密码管理条例》

《密码法》明确规定了密评有关要求，而《条例》则进一步细化了相关规定。

 

第三十八条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。

 

在《条例》中第三十八条进一步明确了关键信息基础设施“三同步一评估”：同步规划、同步建设、同步运行，每年定期评估以及备案管理的具体要求。关键基础设施不仅需要开展密评，并且通过密评才可投入运行，运行后每年至少进行一次评估。

 

第四十一条 网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级，确定商用密码的使用、管理和应用安全性评估要求，制定网络安全等级保护密码标准规范。

第四十二条 商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接，避免重复评估、测评。

 

《条例》中第四十一条和第四十二条将密评与等保相关联，及时回应了社会对于等级保护对象开展密评的关切，为等级保护对象开展密评提供了基本遵循。根据网络安全等级保护相关标准，等级保护对象为三级及三级以上时需要使用商用密码保护网络安全，因此为避免重复评估、测评，三级及三级以上的等级保护对象招采测评服务时，可选择具有等保、密评双资质的机构，从而实现一次进场出具两份报告，节约人力、时间和预算的效果。

2023年9月11日，国家密码管理局通过《商用密码应用安全性评估管理办法》和《商用密码检测机构管理办法》，均于2023年11月1日起执行。

• 《商用密码应用安全性评估管理办法》

《商用密码应用安全性评估管理办法》统筹细化商用密码应用安全性评估对象范围、责任主体、工作原则、程序内容、实施规范等规定，依法规范商用密码应用安全性评估工作。

 

第六条 法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统（以下简称重要网络与信息系统)，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。

 

《商用密码应用安全性评估管理办法》第六条中指出商用密码应用安全性评估的对象为重要网络与信息系统。第七、八、九条分别针对重要网络与信息系统的规划阶段、建设阶段、建成运行三阶段的商用密码要求进行了细化和落实，将密码保障系统规划方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系。第十、十一条对商用密码应用方案和建设完成的网络与信息系统开展商用密码应用安全性评估的具体流程和要求。

 

第十四条 重要网络与信息系统的运营者应当在商用密码应用安全性评估报告形成后30日内，将评估报告和相关工作情况按照国家有关规定报送国家密码管理局或者网络与信息系统所在地省、自治区、直辖市密码管理部门备案。

 

在第十四条中对密评结果备案做出规定，重要网络与信息系统的运营者需要在密评报告形成后30日之内报送给国家密码管理局或省、市级密码管理部门。

 

第十七条 重要网络与信息系统的运营者违反《中华人民共和国密码法》、《商用密码管理条例》和本办法规定，有下列情形之一的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。

 

十七条中也明确规定了如果重要网络与信息系统的运营者没有按照要求进行“三同步一评估”，也将受到与关键信息基础设施运营者相当的处罚。

• 《商用密码检测机构管理办法》

l 《商用密码检测机构管理办法》细化《密码法》、《条例》关于商用密码检测机构许可、从业、监管等方面要求。

 

第四条 国家密码管理局负责全国商用密码检测机构的资质认定和监督管理。县级以上地方各级密码管理部门负责本行政区域内商用密码检测机构的监督管理。

 

《商用密码检测机构管理办法》在第四条中明确监管体制，由国家密码管理局负责全国商用密码检测机构的资质认定和监督管理。在后面的条款中指出密评检测机构的资质认定条件和程序。

 

第二十条 商用密码检测机构应当于每年1月15日前通过所在地省、自治区、直辖市密码管理部门向国家密码管理局报送上一年度工作报告以及相关统计数据，包括持续符合资质认定条件和要求、遵守从业规范、开展检测活动、实施标准等情况。

 

在第二十条中规定了密评机构需在每年的1月15日将年度工作报告以及相关统计数据通过个地市州密码管理部门报送给国家密码管理局，规范了对密评机构的监督管理。因此，根据《商用密码应用安全性评估管理办法》和《商用密码检测机构管理办法》可知，密评备案要求重要网络与信息系统的运营者、密码管理部门和密评机构等三方分别备案。后面针密码管理部门以及密评机构规定了相关违法情形及其需承担的法律义务。

除了上述这四项法律法规外，相关部门规章和规范性文件也对密码应用和密评作出了明确规定，包括国务院办公厅印发的《国家政务信息化项目建设管理办法》、公安部印发的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》、财政部印发的《政务信息系统政府采购管理暂行办法》等，与上述法律法规一起，共同构成了密评工作的法律依据和制度支撑。

经过多方面的努力，我国已形成较为完善的商用密码标准体系，包括国家标准、行业标准、地方标准、企业标准和团体标准等。其中，商用密码行业标准体系由基础类标准、应用类标准、检测类标准和管理类标准四类标准组成，支撑我国的商用密码产品研制、应用和管理各个环节。

共同参与，共建网络安全之墙

全球信息化浪潮云奔潮涌，在全面实施网络强国战略的大背景下，中国的网络发展蹄疾步稳、阔步向前，网络安全工作取得瞩目成就。同时，中国深刻把握全球信息化发展大势，积极应对网络安全挑战，树立正确的网络安全观，为实现网络强国奋勇前行，逐渐走出了一条中国特色治网之道，形成了一系列生动实践和宝贵经验。

国无常强无常弱，奉法者强则国强，中国由网络大国走向网络强国，正是不断完善网络安全工作顶层设计和总体布局的实践之路。近年来，我国不断加快推进网络安全领域顶层设计，网络安全和政策体系不断完善，制定并出台了网络安全法、密码法、数据安全法、个人信息保护法等一系列法律法规，为维护国家网络安全和人民群众的切身利益提供了切实保障。

数据显示，截至2023年6月，我国网民规模达10.79亿人。当前，互联网更加广泛深入地影响着人们的日常生活，网络安全更加与每个人息息相关。

没有网络安全就没有国家安全，就没有经济社会运行稳定。安全可靠的网络环境，是护航国家安全、建设美好生活的重要前提。无论是政府、企业、社会组织，还是广大网民，都离不开网络安全的有力保障。因此，每个人都有责任做正能量的传播者、网络安全的维护者，都应进一步增强意识、提高本领，携手共筑网络安全“防火墙”。

创信华通作为网络安全综合服务商，以“等保测评+密码测评+软件测试+信息工程监理+数据安全服务+网络安全服务”的6+N服务模式，已成功为3000多位客户提供了安全服务，测评系统超过6000个。创信华通秉承求真务实、追求卓越的文化理念，坚持“开创、诚信、规范、专业”的经营宗旨，竭尽全力为网络安全和国家安全保驾护航。