引言

“十四五”规划和2035年远景目标纲要对我国的数字化发展作出战略部署，其主要内容可以概括为“413”框架：“4”是指要建设网络强国、数字经济、数字政府、数字社会；“1”是指通过数字化转型驱动；“3”是指通过数字化转型，促进生产方式、生活方式和治理方式变革。这个战略框架对未来我国数字化发展将产生深远影响。

随着全球数字经济发展，网络空间必将成为战略威慑和控制的新领域、维护经济社会稳定的新阵地以及未来各国军事角逐的新战场，网络安全被纳入国家安全重要战略地位。密码作为保障网络安全的核心技术，是构建网络信任的基础支撑。我们利用密码的安全认证、加密保护、信任传递等特性，来消除或控制潜在的“安全危机”，这是我们大力发展密码工作、密码事业和全面开展密评工作的主要原因。

一、关于商用密码

1. 商用密码的定义

商用密码的定义：对不涉及国家秘密内容的信息进行加密保护或者安全认证，所使用的密码技术和密码产品。

商用密码的核心：商用密码技术，国家将其列为国家秘密，任何单位和个人都有责任和义务保护商用密码技术的秘密。

图1 商用密码技术图解

国外的密码算法：DES、3DES、AES、SHA-1、SHA-256、SHA-384、DSA、RSA、RC4等。

高危密码算法：MD5、DES、RSA2048以下、SSH1.0、SSL3.0以下、SHA1等。

2. 密码算法

密码算法通常可分为三大类：对称密码算法、非对称密码算法、密码杂凑算法。

密码的四大特性：真实性、完整性、机密性、不可否认性。

• 对称密码算法：在加密与解密时使用相同的密钥，两个过程是“对称”的。常见的对称密码算法：SM1、SM4、SM7、ZUC、DES、3DES、AES、RC4。
• 非对称密码算法：加密和解密使用不同的密钥。其中加密的密钥可以公开，称为公钥；解密的密钥需要保密，称为私钥。公私钥成对出现，公钥推倒出私钥在理论上不可行。常见的非对称密码算法：SM2、SM9、RSA、ECDSA、Elgamal。
• 密码杂凑算法：将任意长度的二进制值映射为较短的固定长度的二进制值。常见的密码杂凑算法：SM3、MD5、SHA1、SHA2、SHA3。

密码杂凑算法具备三大特性：

单向性：为一个给定的输出找出能映射到该输出的一个输入在计算上是困难。

弱抗碰撞性：为一个给定的输入找出能映射到同一个输出的另一个输入在计算上是困难的的。

强抗碰撞性：要发现不同的输入映射到同一输出在计算上是困难的。

二、关于密评

1. 密评的定义

密评全称：商用密码应用安全性评估

密评定义：对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

这句话精简一下，即：对网络和信息系统密码应用进行评估。在网络和信息系统中，密码几乎无处不在，用户登录、管理员操作、业务系统之间互相调用数据…全都跟密码息息相关，因此在做密评的时候，需要针对整个网络和信息系统进行测评。

2. 密评的对象

• 电信网、广播电视网、互联网等基础信息网络；
• 能源、教育、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统；
• 石油石化、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统电力系统、石油天然气、油气管道等重要信息系统和重要工业控系统；
• 党政机关和使用财政资金的事业单位、团体组织使用的面向社会服务的信息系统；
• 基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统。

国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、等保三级及以上系统、国家政务等重要信息系统要开展密评工作。并且，密评管理办法也明确规定：关键信息基础设施、网络安全等级保护第三级及以上信息系统，需要每年至少评估一次。

3. 密评的内容

密评工作主要有方案评估和系统评估两部分重要内容组成。

（1）信息系统规划阶段的密码应用方案评估：对于新建/改造信息系统，密码应用建设方案/改造方案，一般由责任单位组织商用密码从业单位编写。

包括：《密码应用解决方案》、《实施方案》和《应急处置方案》。责任单位编写密码应用建设方案/改造方案后，应委托测评机构对方案进行评估。

（2）信息系统建设完成后的信息系统商用密码应用安全性评估：依据GB/T39786的技术要求和管理要求开展评估工作，系统评估主要从物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面开展。

测评机构完成系统评估后，出具评估报告。在密评活动结束30个工作日内，将评估结果报密码管理部门等相关部门备案。

图 2 密评范围

• 物理和环境：密码技术实现物理访问控制、监控记录完整性保护等要求。
• 网络和通信：密码技术实现网络传输过程的通信双方真实性，数据的机密性、完整性保护等要求。
• 设备和计算：密码技术实现设备用户身份真实性，访问控制信息完整性，日志记录完整性等要求。
• 应用和数据：密码技术实现身份真实性，数据传输和存储的机密性、完整性，数据收发行为的不可抵赖性等要求。
• 密钥管理：密钥全生命周期管理，包括密钥生成、存储、使用、分发、备份/恢复、归档等。
• 安全管理：管理制度，人员管理，建设运行，应急处置。

4. 密评的标准

对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用，需要满足合规性、正确性、有效性的要求，具体内容如下：

合规性：信息系统使用的密码技术、产品和服务是否符合国密要求。

正确性：受保护对象是否明确，密码功能是否实现准确，密码产品参数是否配置正确。

有效性：检验或验证密码应用是否合规、正确，是否真正实现了受保护对象的安全防护需求。

法规/政策依据：

GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求

GB/T 43206-2023 信息安全技术 信息系统密码应用测评要求

信息系统密码应用测评过程指南

信息系统密码应用高风险判定指引

商用密码应用安全性评估量化评估规则

GB/T 32907-2016 信息安全技术 SM4分组密码算法

GB/T 32918-2016 信息安全技术 SM2椭圆曲线公钥密码算法

GB/T 32905-2016 信息安全技术 SM3密码杂凑算法

……

5. 密评的流程

密评流程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动；在整个密码应用安全性评估过程中，测评双方将会持续进行沟通和改造。

• 测评准备阶段：测评项目启动、信息收集与分析、工具和表单准备

在编制项目计划书时，被测评单位需要提供基本资料，如管理架构、技术体系、运行情况、各种密码安全管理制度及相关管理记录等，填写系统调查表，调查被测系统的基本信息、行业特征、密码管理策略、网络及设备部署情况等信息。以供测评人员和机构初步了解被测信息系统的实际情况。同时准备好相关测评工具，如漏扫工具、性能测试工具、协议分析工具等。

• 方案编制阶段：测评对象和指标确定、测评工具切入点确定、测评方案编制

根据政策基本要求，首先需要确定测评对象和测评指标，然后要合理选择测试接入点，分析系统内部算法、密码协议应用的合规性和正确性，整理测评准备阶段中获取的信息系统相关资料，最后将绘制成密码测评方案，为现场测评提供基本的文档和指导方案。

• 现场测评阶段：现场测评实施准备、现场测评和结果记录、结果确认和资料归还

开展访谈、文档审查、实地查看、工具测试等活动时，需要认真记录过程和结果。需要确认是否具备测评开展的条件，确保测评对象工作正常，系统处于相对良好的状况。测评结束后，需要确认测评工作是否对测评对象造成了影响，以及测评对象和系统是否工作正常。

• 报告编制阶段：测评结果判定、结果风险分、报告编制

现场测评完成后，根据现场的测评结果记录进行分析，输出测评结果，并准备编制测评报告，包括单项测评结论、整体测评结论、风险分析结论及最终的评估结论。

三、为什么要做密评？

开展商用密码应用安全性评估，是为解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法，逐步规范商用密码的使用和管理，从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中有效使用。

（1）政策要求：《密码法》、国办发57号文、《关键信息基础设施安全保护条例》、《电子认证服务密码管理办法》等相关政策法规要求信息系统要开展密码应用安全性评估。

（2）行业监管：通过行业主管部门的监管，要求行业单位需要通过密评，提高系统安全防御能力，如金融、医疗等。

（3）等保延伸：等保可以解决网络监控、边界防护、集中安全管理、访问控制、安全审计等，密评可进一步有效解决数据传输和存储机密性及完整性、数据来源真实可信、操作行为不可否认。

（4）安全需求：保证数据机密性、完整性、来源真实性等.

（5）业务属性：情报板、网站等防篡改、电子合同、电子票据等防篡改及否认、网上交易、医疗健康等防泄漏。

（6）数据合规：《数据安全法》出台，加快我国数据安全合规的进程，通过密码可以为数据采集、存储、整合、呈现与使用、分析与应用、归档和销毁全生命周期保驾护航。

四、不做密评有什么影响？

《密码法》 第三十七条

关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

《国家政务信息化项目建设管理办法》 第二十八条

加强国家政务信息化项目建设投资和运行维护经费协同联动……对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

《数据安全法》 第四十五条

拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

《关键信息基础设施安全保护条例》第四十二条

运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的，由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任。