商(shāng)用密碼，是指對不涉及國家秘密内容的信息進行加密保護或安全認證紙離所使用的密碼技術和密碼産品。其中(zhōng)，商(shāng)用大雪密碼技術，是保障信息安全的核心技術。從功能上看，主要包括加密保護技術年謝和安全認證技術；從内容上看，主要包括密碼算法、動票密鑰管理和密碼協議。

商(shāng)用密碼産品，是指采用密碼技術對不涉及國朋黑家秘密内容的信息進行加密保護或安全認證的産品，即放門承載密碼技術、實現密碼功能的實體(tǐ)。按照計電形态劃分(fēn)，商(shāng)用密碼産品分(fē有男n)爲六類，即軟件、芯片、模塊、闆卡、整機北是、系統；按照功能劃分(fēn)，商(shāng)用密碼産品分(fēn)爲七類個個，即密碼算法類、數據加解密類、認證鑒别類、證書(shū)管理類、密鑰管理報林類、密碼防僞類和綜合類。

商(shāng)用密碼應用安全性評估(簡稱“密為木評”)，是指在采用商(shāng)用密碼技放務術、産品和服務集成建設的網絡和信息系統中(z知生hōng)，對其密碼應用的合規性、正确性和有效性進行評估。

• 使用的密碼算法、密碼技術符合法律法規和相關國跳湖家标準、行業标準的有關要求

• 使用的密碼産品、密碼模塊通過國家密碼管理部門核準

• 使用的密碼服務符合國家密碼管理要求

• 密碼算法、密碼協議、密鑰管理、密碼産品和服務使用正确

• 系統中(zhōng)采用的标準密碼算法、協金能議和密鑰管理機制按照密碼國家和行業标準進行正确設都笑計和實現

• 自定義密碼協議、密鑰管理機制的設計和實現正确，符合相關标準要如山求

• 密碼保障系統建設或改造過程中(zhōng)密碼産品和服務的舊近部署和應用正确

開(kāi)展密評，是爲了解決商(shān習暗g)用密碼應用中(zhōng)存在的突出問題，爲網絡和信息答村系統的安全提供科學評價方法，逐步規範商(shāng)用密碼的使用和間得管理。從根本上改變商(shāng)用密碼應用不廣泛、不規範、不安全的這街現狀，确保商(shāng)用密碼在網絡和信息系統中(zhōng)有效使用，年花切實構建起堅實可靠的網絡安全密碼屏障。開(kāi)展密評，是國家網絡街是安全和密碼相關法律法規提出的明确要求，是法定責聽腦任和義務。

基礎信息網絡：電(diàn)信網、廣播電(diàn)視網、互聯網。

重要信息系統：能源、教育、公安、測繪地理信息、社保、交通、衛生(shēng)計生(物劇shēng)、金融等涉及國計民生(shēng)和基明事礎信息資(zī)源的重要信息系統。

重要工(gōng)業控制系統：核設施、航空航天、先進制造、石油石化、油氣管網、電(東還diàn)力系統、交通運輸、水利樞紐、城市設施等重要工(gōng)業生可控制系統。

面向社會服務的政務信息系統：黨政機關和使用财政性資(zī)金的事業單位和團體(tǐ)組織使用的面向社報看會服務的信息系統。

01 總體(tǐ)要求

密碼算法：使用的密碼算法應當符合法律、法規的規定和密碼路媽相關國家标準、行業标準的有關要求，重點關注密碼雨數算法的合規性。

密碼技術：使用的密碼技術應遵循密碼相關國家标準和行業标準。重點關注加密東錯技術的合規性，密碼技術應保證自身的安全性，可靠性，與信息系畫空統的互聯互通性。

密碼産品：使用的密碼産品與密碼模塊應通過國家密碼管理部門核準。“密喝件碼模塊”可包括密碼卡、密碼機、定制密碼模塊、密靜跳碼軟件等多種形态。重點關注密碼産品的合規性和體明有效性，密碼産品和密碼模塊需根據國家相關規定進行密碼産品安全等級确定、檢測。測務長評機構開(kāi)展評估應當遵循商(shāng)用密碼管理政策和國家标準討機GB/T39786-2021《信息安全技術信息系統密碼應用舞校基本要求》《信息系統密碼測評要求》（運行）等相關密碼标準和指導性門現文件的要求，遵循獨立、客觀、公衆的原則。

密碼服務：使用的密碼服務應通過國家密碼管理部門許可。如CA認證機構應獲得《樂湖電(diàn)子認證服務使用密碼許可證》做人以及《電(diàn)子認證服務許可證》。

02 密碼功能要求

密碼功能要求是對密碼技術在信息系統中(zhōng)的使用場景起風南到什麽作用的闡述，密碼功能要求包括機密性、現他完整性、真實性和不可否認性。

機密性：使用密碼加密功能，保障信息系統重要數據在傳輸、存儲過程中(zhōng)的器我保密性以及身份鑒别信息、密鑰數據的機密性。

完整性：使用消息校驗碼(MAC)或數字簽名實現完整明木性，保障信息系統重要數據在傳輸、存儲過程中(zh行朋ōng)的完整性以及身份鑒别信息、密鑰數據、日志民做(zhì)記錄、訪問控制信息、資(zī)源敏感标記歌鐵、重要程序、可信信任鏈、視頻(pín)監控記錄、著藍電(diàn)子門禁出入記錄的完整性。

真實性：使用對稱加密、動态口令、數字簽名等實現真實性地物，保障信息系統中(zhōng)各類基礎設施、軟硬件設備以見為及業務應用系統的用戶身份鑒别信息的真實性。

不可否認性：使用數字簽名等密碼技術實現實體(tǐ)行爲的不可否認性，保訊服障信息系統中(zhōng)無法否認的操作行爲，如發送、接收、審批、創建、服月修改、删除、添加、配置等。

03 密碼技術應用要求、密鑰管理和安全管理

測評過程分(fēn)爲四項基本測評活動:測評準備活動、朋件方案編制活動、現場測評活動、分(fēn)析與報告編制活動我雪。測評雙方之間的溝通與洽談應貫穿整個測評過程。其中(zhōng)，測評對象包括話鐵安全人員(yuán)、管理員(yuán)、密碼産品、網絡計小設備、服務器、數據庫、安全設備、操作系統、應用放短系統、業務系統、技術文檔、管理制度文檔等；測評工(gōng)具涉及協議嗎秒分(fēn)析工(gōng)具、端口掃描工(gōng)具、滲透測試工錢鐵(gōng)具、算法和随機性檢測工(gōng)具、密碼應用檢測工(gōng)學熱具、密碼安全協議檢測工(gōng)具等。

《密碼法》第三十七條******款規定

關鍵信息基礎設施的運營者違反本法第二十七條******款規定，未按照要求使唱現用商(shāng)用密碼，或者未按照要求開(kāi)展商(shāng樹喝)用密碼應用安全性評估的，由密碼管理部門責令中朋改正，給予警告；拒不改正或者導緻危害網絡安全等後果問數的，處十萬元以上一(yī)百萬元以下(xià)罰款，對直接負妹媽責的主管人員(yuán)處一(yī)萬元以上十萬少年元以下(xià)罰款。

《國家政務信息化項目建設管理辦法》第二十八條第三款規定

對于不符合密碼應用和網絡安全要求，或者存在重大(dà)安線對全隐患的政務信息系統，不安排運行維護經費拍間(fèi)，項目建設單位不得新建、改建、擴建政務信息系統。

《商(shāng)用密碼應用安全性評估管理辦法（試行）》第二章訊務第十條規定

關鍵信息基礎設施、網絡安全等級保護第三級及黑什以上信息系統，每年至少評估一(yī)次。

根據現有規定，責任單位取得報告後，被測單位自行上謝科報主管部門及所在地區（部門）密碼管理部門備案，測評機構上報國密局銀很備案；等保三級及以上信息系統，評估報告還需由被紅明測單位上報至所在地區公安部門備案。