首页 > 资讯 > 商用密码应用安全性评估

商用密码应用安全性评估

泰然健康网
2024-12-28 22:10

建立完善密评制度，对关键信息基础设施商用密码应用的合规性、正确性和有效性进行评估，对于有效规范密码应用，切实保障国家网络和信息安全，具有重要作用。

密评同时也是网络安全等级保护和关键信息基础设施安全保护制度的重要内容和技术手段。关键信息基础设施的运营者作为关键信息基础设施网络安全保护和密码使用的第一责任人，《中华人民共和国密码法》要求其履行相应的义务，按照相关法律法规和标准规范对关键信息基础设施密码应用的合规性、正确性、有效性和运维管理人员基本能力进行评估。 [1]

密评工作的责任主体是涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位。密评对象包括基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。 [6]

密评内容包括密码应用安全的三个方面：合规性、正确性和有效性。 [7]

1.商用密码应用合规性评估

商用密码应用合规性评估是指判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求，使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。

2.商用密码应用正确性评估

商用密码应用正确性评估是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确，即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现，自定义密码协议、密钥管理机制的设计和实现是否正确，安全性是否满足要求，密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。

3.商用密码应用有效性评估

商用密码应用有效性评估是指判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用，是否满足了信息系统的安全需求，是否切实解决了信息系统面临的安全问题。 [7]

密评最早于 2007 年提出，经过十余年的积累，密评制度体系不断成熟，其发展经历了四个阶段。 [8]

第一阶段：制度奠基期（2007 年 11 月至 2016 年 8 月）。2007 年 11 月 27 日，国家密码管理局印发 11 号文件《信息安全等级保护商用密码管理办法》，要求信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。2009 年 12 月 15 日，国家密码管理局印发管理办法实施意见，进一步明确了与密码测评有关的要求。

第二阶段：再次集结期（2016 年 9 月至 2017 年 4 月）。国家密码管理局成立起草小组，研究起草《商用密码应用安全性评估管理办法（试行）》。2017 年 4 月 22 日，正式印发《关于开展密码应用安全性评估试点工作的通知》（国密局〔2017〕138 号文），在七省五行业开展密评试点。

第三阶段：体系建设期（2017 年 5 月至 2017 年 9 月）。国家密码管理局成立密评领导小组，研究确定了密评体系总体架构，并组织有关单位起草 14 项制度文件。经征求试点地区、部门意见和专家评审，2017 年 9 月 27 日，国家密码管理局印发《商用密码应用安全性测评机构管理办法（试行）》《商用密码应用安全性测评机构能力评审实施细则（试行）》《信息系统密码应用基本要求》（后以密码行业标准 GM/T 0054 形式发布）和《信息系统密码测评要求（试行）》，密评制度体系初步建立。

第四阶段：密评试点开展期（2017 年 10 月-2024年11月）。试点开展过程同时也是机构培育过程，包括机构申报遴选、考察认定、发布目录、开展试点测评工作并提升测评机构能力、总结试点经验、完善相关规定等。在测评机构的培育认定上，坚持“总量控制、科学布局、择优选取、培育辅导、行政许可”的总体思路。2019 年上半年对第一批密评试点做了评审总结，对参与试点的 27 家机构进行能力再评审，择优选出 16 家扩大试点，对另 11 家机构给予 6 个月能力提升整改期。2019 年 10 月，开始启动第二批密评试点工作。2020 年 7 月，密评试点机构数量继续扩大，经过能力评审、验证及整改，增至 24 家。2021 年 6 月，国家密码管理局依据《密码法》以及商用密码应用安全性评估有关管理规定，《商用密码应用安全性评估试点机构目录》更新发布，密评试点机构增至 48 家。2024年11月，国家密码管理局公告（第49号）发布，即日起，商用密码应用安全性评估试点工作正式结束。 [18]

按照《密码法》有关规定，商用密码应用安全性测评机构将作为商用密码检测机构，纳入依法管理轨道，由国家市场监管总局和国家密码管理局依据有关法律法规和标准、技术规范的规定实施评价许可。未来，机构许可拟按照统一管理、分工协作、共同实施的机制，制定资质认定规则，发布和调整资质认定目录，并组织开展资质认定监督。在许可程序之“技术评审管理”环节，拟强化对机构测评能力的专业审查，切实把住机构实际能力的关口。考虑到测评机构整体能力偏低和密评人才供给极度短缺的现状，拟组织对申请机构进行培育辅导，切实提升机构测评能力。在测评机构的培育认定上，坚持“总量控制、科学布局、择优选取、培育辅导、行政许可”的总体思路。 [8]

密评体系借鉴了信息安全等级保护工作十多年的实施经验，并考虑影响密评试点实施的关键要素，分为两层共七大要素。 [8]

密评体系总体架构图

1.第一层

体系的底层是支撑层，包括法律法规制度和支撑平台两个要素。

（1）法律法规制度要素主要是《中华人民共和国密码法》《中华人民共和国网络安全法》《商用密码管理条例》，正在制定的《网络安全等级保护条例》，以及与密评相关的管理办法。

（2）支撑平台要素包括四类数据平台和发布宣传平台，即测评对象备案数据库（系统定级、基本情况、建设实施情况等）、密码应用情况数据库、测评机构基础数据库、测评专家知识库（测评知识、方法和实际经验等）和发布宣传平台（如监督举报、查处发布、奖惩）等。

2.第二层

体系的上层是实施层，包括机构、人员、测评、报告、风控五要素。

（1）机构要素：包括测评机构管理办法、技术能力要求、证书管理等。

（2）人员要素：包括培训体系（教材、大纲、题库等）、考核考试、测评师管理、人员审核等。

（3）测评要素：包括技术体系（测评理论、技术、方法、标准规范等）、管理规范、实施过程、测评类型等。

（4）报告要素：包括报告格式、内部审核的签发管理要求、备案要求、抽查机制等。

（5）风控要素：包括准入和管理两个层面，从人员、管理制度、测评措施等方面防范可能给被测系统带来的风险。

密评体系有些要素已基本具备（如机构要素中的测评机构管理办法、技术能力要求，测评要素中的应用标准、测评标准、测评过程指南等），有些要素还待完善。在密评工作开展过程中，既要严格遵守已有规定，又要不断完善充实制度体系。

2020年7月29日，国家密码管理局公告（第40号）发布，公布了《商用密码应用安全性评估试点机构目录》，共24家。 [2]

2021年6月11日，国家密码管理局公告（第42号）发布，更新了《商用密码应用安全性评估试点机构目录》，共48家。 [3]

2024年11月11日，国家密码管理局公告（第49号）发布，公布了《商用密码检测机构（商用密码应用安全性评估业务）目录》，共112家。 [18]即日起，商用密码应用安全性评估试点工作正式结束，未取得商用密码检测机构（商用密码应用安全性评估业务）资质的机构不得面向社会开展商用密码应用安全性评估业务。 [18]

1.密评基础性国家标准

国家标准GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》于2021年10月1日起实施。这是贯彻落实《中华人民共和国密码法》，指导商用密码应用与安全性评估工作的一项基础性标准。

2018年，国家密码管理局发布实施了密码行业标准GM/T 0054—2018《信息系统密码应用基本要求》，此次经修改完善并上升为国家标准，进一步突出了其在商用密码应用标准体系中的基础性地位。

该标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求，以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。与GM/T 0054—2018《信息系统密码应用基本要求》相比，该标准结合近年来商用密码应用与安全性评估工作实践对部分内容进行了优化，按照信息系统安全等级分别提出了相应的密码应用要求。 [5]

2.密码测评国家标准

国家标准GB/T 43206—2023 《信息安全技术信息系统密码应用测评要求》于2023年9月7日发布，自2024年4月1日起实施，适用于指导、规范信息系统商用密码应用安全性评估工作中的测评活动。 [11]

2023年9月26日，国家密码管理局令第3号发布。《商用密码应用安全性评估管理办法》已经2023年9月11日国家密码管理局局务会议审议通过，现予公布，自2023年11月1日起施行。 [9]该《办法》是国家密码管理局根据《中华人民共和国密码法》《商用密码管理条例》等法律法规研究制定，为了统筹细化商用密码应用安全性评估对象范围、责任主体、工作原则、程序内容、实施规范等规定，依法规范商用密码应用安全性评估工作。 [10]

中国密码学会密评联委会发布《商用密码应用安全性评估FAQ（第三版）》 [12]《商用密码应用安全性评估量化评估规则》 [13]《信息系统密码应用高风险判定指引》 [14]《商用密码应用安全性评估报告模板（2023版）》 [15]《政务领域政务服务平台密码应用与安全性评估实施指南》《政务云密码应用与安全性评估实施指南》 [16]等指导文件，供相关单位开展商用密码应用与安全性评估工作参考。

2023年8月，中国密码学会商用密码应用安全性评估联合委员会发布《商用密码应用安全性评估发展研究报告（2023年）》。 [17]

国家密码管理局组织开展商用密码应用安全性评估从业人员考核，已获批开展商用密码应用安全性评估业务的商用密码检测机构及有意向从事商用密码应用安全性评估工作的机构均可组织报名参加。 [19]