基础性法律。 . 法律、 行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施 ，其运营者应当使用商用密码进 行保护 ， 自行或者委托商用密码检测机构开展商用密码应用安全性评估。 商用密码应用安全性评估应当与关键信息基础 设施安全检测评估、 网络安全等级测评制度相衔接 ，避免重复评估、 测评。 密码应用工作法规依据 公安部《网络安全等级保护条例（征求意见稿） 》对第三级以上非涉密网络 规规定和密码应用相关标准规范。第三级以上网络应正确、有效采 用密码技术进行保护 ，并使用符合相关要求的密码产品和服务。第 三级以上网络运营者应在网络规划、建设和运行阶段 ，按照密码应 用安全性评估管理办法和相关标准 ，在网络安全等级测评中同步开 展密码应用安全性评估。 1.1 公 1.1 密码应用工作法规依据 《商用密码管理条例》 2023 年 7 月 1 日起施行 第三十八条 . 法律、 行政法规和国家有 同步运行商用密码保障系统 ， 自 行或者委托商用密码检测机构开展商用密码应用安全性评估。 前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行 ，运行后每年至少进行一次评估 ，评估情况 按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、 自治区、 直辖市密码管理部门备案。 1.1 密码应用工作法规依据 《商用密码应用安全性评估管理办法》 2023 年 11 月 1 日起施行 第六条、

工业和信息化部电子第五研究所 商用密码应用安全性评估 李 丹 中国赛宝实验室 工业和信息化部电子第五研究所 工业和信息化部电子第五研究所 （中国赛宝实验室） 目录 应 用 安 全 性 评 估 商 用 密 码 密评简介 1 2 政策法规 3 密评内容 4 密评实施 5 机构简介 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.1 密码释 义 《密码法》第二条给出密码定义： 商用密码用于保护不属于国家秘密的信息。 公民、法人和其他组织可以依法使用商用密码保护网络 与信息安全。 《中华人民共和国密码法》 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.2 密评释 义 商用密码应用安全性评估（简称“密评” ) ，指在采用商用密码技术、产品和服务 集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。 合规性 指密码算法、密码协议、密钥管 理、密码产品和服务使用合规。 求使用商用密码进行保护的关键信息基础设施， 其运营者应当使用商用密码进行保护，自行或者 委托商用密码检测机构开展商用密码应用安全性 评估。 第三十七条 关键信息基础设施的运营者违反本 法第二十七条第一款规定，未按照要求使用商用 密码，或者未按照要求开展商用密码应用安全性 评估的，由密码管理部门责令改正，给予警告； 拒不改正或者导致危害网络安全等后果的，处十 万元以上一百万元以下罚款，对直接负责的主管

防护体系的扩展和安全管理要求的强化，以及对新技术应用安全的覆盖，更加 全面和深入地保障了网络安全。 ”密评“即商用密码应用安全性评估，是对网络信息系统中所使用的商用密码产 品和应用进行的安全性评估。《密码法》于 2020 年开始实施，其中第二十七 条要求关键信息基础设施的运营者需依法使用商用密码进行保护，并自行或委 托专业机构开展安全性评估，确保与其他安全检测评估制度相衔接，避免重复 工作。 ”等保“和”密评“共同构成了 信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到 相应的标准和要求。 ”密评“则聚焦于使用了商用密码的产品、系统和服务，对其密码算法选择、密 码协议设计、密钥管理以及密码模块的安全性等方面进行全面而深入的合规性、 正确性和有效性评估。 以下内容将从国家相应的法律法规、测评标准、测评流程以及测评实施等方面 对”等保“和”密评“的具体差异与内在联系进行简单的探讨。 01.国家法律法规角度对比 不同等级的安全保护要求，旨 在确保网络基础设施、信息系统和数据的安全，有效预防网络攻击和数据泄露。 相对而言，《密码法》下的商用密码应用安全性评估则聚焦于规范商用密码的 应用和管理，深入评估密码算法、协议、应用设计、密钥管理、密码设备及模 块的安全性与合规性。其主要目的是保护使用密码技术进行数据加密、身份认 证、通信安全等涉及国家安全、商业秘密和个人隐私的信息系统。通过专业的 密码学方

的规定和商用密码检测认证（ ）、规则开展 商用密码检测认证。 下列哪一项不属于大众消费类产品所采用的商用 密码？（ ） 53 单项选择题 54 单项选择题 根据《密码法》，商用密码应用安全性评估应当 与（ ）、网络安全等级测评制度相衔接，避 免重复评估、测评。 根据《密码法》，商用密码认证机构泄露其在商 用密码认证中所知悉的商业秘密，由（ ）会同 密码管理部门责令改正或者停止违法行为，给予 品目录，由具备资格的机构检测认证合格后，方 可销售或者提供。 根据《密码法》，大众消费类产品所采用的商用 密码（ ）进口许可和出口管制制度。 根据《商用密码管理条例》规定，关键信息基础 设施只有通过商用密码应用安全性评估方可投入 使用，并且在运行后仍然需要进行评估。下列选 项中表述正确的是（ ）。 94 单项选择题 《商用密码管理条例》的颁布时间是（ ）。 95 单项选择题 96 单项选择题 商用密码监管中，密码管理部门不得要求商用密 根据《商用密码管理条例》规定，关于密码管理 部门和有关部门开展商用密码监督检查，下列选 项中表述正确的是（ ）。 125 单项选择题 126 单项选择题 根据《商用密码应用安全性评估管理办法》，关 于商用密码应用安全性评估，下列说法错误的是 （ ）。 根据《密码法》，国家鼓励商用密码技术的研究 开发、学术交流、成果转化和推广应用，健全（ ）的商用密码市场体系，鼓励和促进商用密 码产业发展。

系统等网络与信息系统，其运营者应当使用商用密 码进行保护，制定商用密码应用方案，配备必要的 资金和专业人员，同步规划、同步建设、同步运行 商用密码保障系统，自行或者委托商用密码检测机 构开展商用密码应用安全性评估” 从信息系统的管理制度、人员管理、 建设运行和应急处置四个方面提出密 码应用管理要求，为信息系统提供管 理方面的密码应用安全保障。 1996.7 1999.10 2011.3 2016.11 密等法律法规规定，构建全方位、多层次、一致 性的防护体系，按要求采用密码技术，并定期开 展密码应用安全性评估，确保政务信息系统运行 安全和政务信息资源共享交换的数据安全” 第 4 页 密评定义与工作流程 商用密码应用 （简称“密评”），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用合规性、正 安全性评估 确性和有效性进行评估。 合规性：是指密码算法、密码协议、密钥管理、密码产 委托密评机构开展系统评估：若首次评估未通过，则密评机构将出具《整改建议》，项目建设单位需对系统进行相应整改，评估通过 建设阶段 后，密评机构将出具《密码应用安全性评估报告》。 3. 报密码管理部门审查：项目建设单位将密评机构出具的系统《密码应用安全性评估报告》及相关意见报送至密码管理部门审核与备案。 4. 提交项目验收：项目验收通过后，进入项目运行阶段。 运行阶段 1. 定期开展密评，需定期开展密

6 月 1 日 中华人民共和国 国家标准 GB/T 39786-2021 《信息安全技术 信息系统 密码应用基本要求》 2021 年 10 月 1 日 “ 密评”全称：商用密码应用安全性评估 对采用商用密码技术、产品和服务集成建设的网络和信息系统 密码应用的合规性、正确性、有效性进行评估 密码应用相关国家法律、法规及政策 1999.10.7 2014.2.4 国务院办公厅印发 《信息安全技术信息 系统密码应用基本要 求》 (GB/T 39786- 2021) 正式实施 商用密码应用安全性评估的实施范围  涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码 保障体系，实施商用密码应用安全性评估。重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资 源的重要信息系统、重要工业控制系统、 社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第 三级及以上信息系统。  第三条规定范围之外的其他网络和信息系统，其责任单位可以参考本办法自愿开展商用密码应用安全性评估。 《商用密码应用安全性评估管理办法（试行）》第三条、第二十条 核设施、航空航天、先进 制造、石油石化、油气管 网、电力系统、交通运 输、水利枢纽、城市设施 重要工业控制系统 电信网 广播电视网 互联网

五个等级：由低到高分为一到五级， 三 级最为常见  2. 主管单位：国家密码管理部门负责监督、 检 查、指导。（密评报告需双备案）  3. 监管力度：三级系统至少每年测评一 次 基本概念 关注要点 商用密码应用安全性评估（以下简称 “密评”）是指对采用商用密码技术、产品 和 服务集成建设的网络和信息系统中，对其 密码应用的合规性、正确性、有效性进行评 估。 等保定级 定级 系统被破坏时所侵害的客体 密码 《网络安全等级保护 测评要求》将密码测 评结果列为等保测评 通过的必要条件 相 互 衔 接 相 辅 相 成 为什么要做密评 国家对关键信息基础设施的密码应用 安全性进行分类分级评估，按照国家安 全审查的要求对影响或者可能影响国家 安全的密码产品、密码相关功能和密码 保障系统进行安全审查。 密码法 关键信息基础设施应当依照法律、法 规的规定和密码相关国家标准的强制性 对其主管人员和其他直接责任人员依法给予 处分。 1 2 3 4 5 第三级以上网络运营者应在网络规划、建设和运行阶段，按照密 码应用安全性评估管理办法和相关标准，委托密码应用安全性测评机 构开展密码应用安全性评估。网络通过评估后，方可上线运行，并在 投入运行后，每年至少组织一次评估。密码应用安全性评估结果应当 报受理备案的公安机关和所在地设区市的密码管理部门备案。 网络安全等级保护条例 非涉密网络应

管理。  异常检测：实时监控病历访问行为，识别潜在风险。  自动化归档：根据病历特征，自动进行分类和索引生成。 通过以上应用，DeepSeek 技术为电子病历与档案管理注入了 智能化、安全性和高效性，为医疗机构提供了一个更加可靠和先进 的管理解决方案。 2.3.1 数据整合与共享 在医疗健康领域，电子病历与档案管理是至关重要的环节，其 中数据整合与共享是提升医疗服务质量和效率的核心。DeepSeek 2.3.2 安全与隐私保护 在医疗健康领域，电子病历与档案管理系统的安全与隐私保护 至关重要。DeepSeek 技术的引入可以有效提升数据的安全性和隐 私保护水平。首先，DeepSeek 采用先进的加密算法，确保数据在 传输和存储过程中的安全性。通过使用 AES-256 加密标准，病历数 据在传输过程中被加密，且仅在授权用户的设备上解密，从而防止 中间人攻击和数据泄露。 其次，DeepSeek 为了进一步增强数据的安全性，DeepSeek 系统还实施了定期 的安全审计和漏洞扫描，以及严格的访问控制和日志记录机制。所 有数据访问行为都会被详细记录，并在检测到异常时自动触发警 报。此外，系统还支持数据备份和灾难恢复功能，确保在发生安全 事件或硬件故障时，数据能够迅速恢复，避免数据丢失。  数据加密：采用 AES-256 加密标准，确保数据在传输和存储 过程中的安全性。  身份验

和国家有关规定要求使用商 用密码进行保护的关键信息 基础设施，其运营者应当使 用商用密码进行保护，自行 或者委托商用密码检测机构 开展商用密码应用安全性评 估。商用密码应用安全性评 估应当与关键信息基础设施 安全检测评估、网络安全等 级测评制度相衔接，避免重 复评估、测评。 中华人民共和国 网络安全法 第三十一条 国家对公共通信 其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全 性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评 制度相衔接，避免重复评估、测评。 第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商 用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警 告；拒不改正或者导致危害网络安全等后果 口系统完整性校验 口系统安全性能监测 口 安 全 审 计 口 抗抵赖 口操作系统安全 口数据库安全 口边界安全防护 分保工作简介 产品选型与安全服务 口安全保密产品选型 口通用信息技术产品选型 口安全保密产品部署与配置 安全保密管理 口 管 理 机 构 口 管理人员 口 管理制度 口运行维护管理 运行安全 口备份与恢复 口系统安全性保护 □ 应 急 响 应