商用密码应用安全性评估 李 丹 中国赛宝实验室 工业和信息化部电子第五研究所 工业和信息化部电子第五研究所 （中国赛宝实验室） 目录 应 用 安 全 性 评 估 商 用 密 码 密评简介 1 2 政策法规 3 密评内容 4 密评实施 5 机构简介 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.1 密码释 义 《密码法》第二条给出密码定义： 密码是指采用特定变换的方法对信息等进行加密保护、 商用密码用于保护不属于国家秘密的信息。 公民、法人和其他组织可以依法使用商用密码保护网络 与信息安全。 《中华人民共和国密码法》 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.2 密评释 义 商用密码应用安全性评估（简称“密评” ) ，指在采用商用密码技术、产品和服务 集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。 合规性 指密码算法、密码协议、密钥管 理、密码产品和服务使用合规。 理、密码产品和服务使用合规。 使用符合国家密码法规和标准规 定的商用密码算法，使用经检测 认证合格的商用密码产品或服务。 正确性 指密码算法、密码协议、密钥管理、密 码产品和服务使用正确。即釆用的密码 算法、协议和密钥管理机制按照相应的 密码国家和行业标准进行正确的设计和 实现；密码保障系统建设或改造过程中 密码产品和服务的部署和应用正确。 有效性 指釆用的密码协议、密钥管理系统、

天融信密评培训 安全接入产品线  第二章 密评建设方案  第一章 密评政策解读 第一章 密评政策解读 可信网络 安全世界 密评是什么？评估对象？评估的是什么？ 合规性 -- 技术 + 产品 + 服务 使用的密码算法、密码协议、密钥管理符合国家法律法规和标准规定，密码 产品或服务经过国家密码管理局核准和认证机构认证合格。 密码算法、密码协议、密钥管理、密码产品或服务使用正确，即按密码相关的 1 日 2017 年 6 月 1 日 中华人民共和国 国家标准 GB/T 39786-2021 《信息安全技术 信息系统 密码应用基本要求》 2021 年 10 月 1 日 “ 密评”全称：商用密码应用安全性评估 对采用商用密码技术、产品和服务集成建设的网络和信息系统 密码应用的合规性、正确性、有效性进行评估 密码应用相关国家法律、法规及政策 1999.10.7 2014 号令，施行《商用 密码管理条例》 《信息安全技术信息 系统密码应用基本要 求》 (GB/T 39786- 2021) 正式发布 十三届全国人大常委 会第十四次会议通过 《中华人民共和国密 码法》 国家密码管理局发 布 GM/T 0054- 2018 《信息系统 密码应用基本要 求》 中共中央办公厅、国务院 办公厅印发《关于加强重 要领域密码应用的指导意 见》（四号文）

密评梳理 0 1 密码知识 0 2 0 3 密评介绍 密评工作 密码简介 • 密码技术基础 0 1 • 密码分类 • 密码算法 密码技术基础 什么是密码？ ● 计算机开机“密码” ● 电子邮箱登录“密码” ● 银行卡支付“密码” ● 微信登录“密码” 口令≠ 密码 □ 密码是指使用特定变换对数据等信息进行加密保护或者 安全认证的物项和技术。 密码法 《中华人民共和国密码法》 认。 0 2 密评介绍 • 密评对象 • 两者关 系 • 基本概念 • 法律依据 密评工作关注要点  1. 五个等级：由低到高分为一到五级， 三 级最为常见  2. 主管单位：国家密码管理部门负责监督、 检 查、指导。（密评报告需双备案）  3. 监管力度：三级系统至少每年测评一 次 基本概念 关注要点 商用密码应用安全性评估（以下简称 “密评”）是指对采用商用密码技术、产品 密码应用的合规性、正确性、有效性进行评 估。 等保定级 定级 系统被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 密评试点机构目录（全国共 48 家） 密评试点机构目录（全国共 48 家） 密评对象 2 1 重点面向金融、政务等重要

分保、等保、关保、密评 之间联系与区别 02 相关的法律法规依据 06 密评工作简介 01 什么是“ 3 保 1 评” 05 关保工作简介 03 分保工作简介 07 3 保 1 评联系与区 别 04 等保工作简介 H CONTENTS 01 PART ONE 什么是“ 3 保 1 评 ” 日日日日母 涉密信息系统分级保护 指涉密信息系统的建设使用单位根据分级保护管理 商用密码应用安全评估 是指对采用商用密码技术、产品和服务集成建设的 网络和信息系统密码应用的合规性、正确性、有效 性进行评估。 分保 等保 关保 密评 什么是“ 3 保 1 评” 网络安全领域 3 保 1 评 ◎ 02 PART.TWO 相关的法律法规依据 日 日母母 《国家保密法》 (2010 年 ) 第二十三条存储、处理国家秘密的计算机信息系统 ( 以下简称涉密信息系统 和国家有关规定要求使用商 用密码进行保护的关键信息 基础设施，其运营者应当使 用商用密码进行保护，自行 或者委托商用密码检测机构 开展商用密码应用安全性评 估。商用密码应用安全性评 估应当与关键信息基础设施 安全检测评估、网络安全等 级测评制度相衔接，避免重 复评估、测评。 中华人民共和国 网络安全法 第三十一条 国家对公共通信

政策脉络 × 产业生态 × 应用场景 × 标准化建设 2026 网络安全 密评项目，机房密码评估， IDC 机房密码安全全流程 全知识面覆盖解决方案 政策解读及需求分析 01 目 录 02 解决方案能力 03 部署方案 04 方案亮点 加入星球获取更多更全的数智化解决方案 第 3 页 密码政策发展史 第六章第三十八条：“非涉密的关键信息基础设施、 网络安全等级保护第三级以上网络、国家政务信息 网络安全等级保护第三级以上网络、国家政务信息 系统等网络与信息系统，其运营者应当使用商用密 码进行保护，制定商用密码应用方案，配备必要的 资金和专业人员，同步规划、同步建设、同步运行 商用密码保障系统，自行或者委托商用密码检测机 构开展商用密码应用安全性评估” 从信息系统的管理制度、人员管理、 建设运行和应急处置四个方面提出密 码应用管理要求，为信息系统提供管 理方面的密码应用安全保障。 1996.7 1999 12 202 2023 在我国大力发展商用密 码和加强对商用密码管 理 第四章第三十条：“各部门应当严格遵守有关保 密等法律法规规定，构建全方位、多层次、一致 性的防护体系，按要求采用密码技术，并定期开 展密码应用安全性评估，确保政务信息系统运行 安全和政务信息资源共享交换的数据安全” 第 4 页 密评定义与工作流程 商用密码应用 （简称“密评”），是指在采用商用密码技术、产品和服务集

密评工作流程指南 01 密评工作开展原则和依据 商用密码应用安全性评估（简称“密评”），是指对采用商用密码技术、产品和服务集成建设的 网络和信息系统密码应用的合规性、正确性、有效性进行评估。 参与方： 测评机构：为责任单位提供密码测评服务 被测单位：责任单位 参与单位：协助被测单位顺利通过密评（包括测评协助商， 系统集成商， 产品供应 商） 责任单位应当制定商用 《网络安全等级保护条例（征求意见稿）》 《关键信息基础设施安全保护条例（征求意见稿）》 《国密局关于加强政务密评的函》（国密局函 119 号） 《政务信息系统密码应用与安全性评估工作指 南》 《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护 制度的指导意见》（公网安〔 2020 〕 1960 号） 密评与等保的衔接 （所有三级以上系统和关键 基础设施落实密码应用的 “ 三同步一评估” 安全性评估 密评的法律依据 （要用密码、要做密码 安全性评估） 《中华人民共和国密码法》 《中华人民共和国网络安全 法》 《国家政务信息化项目建设管理办法》（国办发〔 2019 〕 57 号） 密评的法律、法规、政策依据 《商用密码应用安全性评估管理办法（试行）》（ 2017 内部印发） 《国家政务信息化项目建设管理办法（国办发〔 2019 〕 57 号）》 密评的行政法规 （政务信息系统落实密码

网络安全—密码应用方案 03 密码应用方案 内容简介 01 密码应用 政策规范 02 密码应用 基本知识 05 集成商 经验建议 目录 C O N T E N T S 04 密评简介 PART 01 密码应 用 加入星球获取更多更全的数智化解决方案 1.1 密码应用工作法规依据 《中华人民共和国密码法》 2020 年 1 月 1 日起施行 第二十七条 旨在规范密码应用和管理 ，其运营者应当依照相关法律法规和标准规范 ，根据商用密码应用需求 ，制定商用 密码应用方案 ，规划商用密码保障系统。 重要网络与信息系统的运营者应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评 估。 商用密码应用方案未通过商用密码应用安全性评估的 ，不得作为商用密码保障系统的建设依据。 1.1 密码应用工作法规依据 . 第八条 重要网络与信息系统建设阶段 ，其运营者应当按照通过 其中： 特定变换 ：是指明文和密文相互转换的各种数 学方法和实现机制。 加密保护 ：是指使用特定变换 ，将信息变成攻 击者无法识别的符号序列 ，也就是从明文转换 成密文 ，保证了信息的机密性。 安全认证： 是指使用特定的变换 ，确认信息、 身份、行为是否真实 ，保证信息来源的真实性、 数据的完整性、 和行为的不可否认性。 2.1 密码的基本概念 l 国密算法即国家密码局认定的国产密码算法

全到 基 础安全，多维度守护云环境及基础 设施安全。 05- 安全评估体系：依托等级保护、商用密 码评估及联动检测，开展合规评估与安全 监测，把控安全风险。 USB 证书 弱密码检测 数据加密传输 统一身份认证 数据分库 数据分级 访问授权 用户分级权限 统一签名验签 国密算法 核心数据加密 数据库审计 终端安全 访问控制 数据脱敏 应用安全 数据分级权限 数据加密机 数据脱敏 05 - 安全评估体系 网 络 安 全 等 级 保 护 2 . 0 等级保护要求 等级保护指南 安全管理中心 安全管理通用要求 安全定级 商 用 密 码 应 用 安 全 性 评 估 密钥管理 密码应用 密码管理 密码监督 密码服务 SSL 网关 签名验签服务 联 动 安 全 主 管 部 门 安 全 检 测 安全扫描 模拟安全攻击 芯片 终端 网络 雌 业务场景 ★ 学 · 党员教育学得易 ★ 过 · 组织生活过得好 ★ 做 · 党员实践做得实 ★ 看 · 党建全局看得全 ★ 管 · 党务工作管得精 ★ 评 · 党务考核评得准 1 个综合数据中心 N 个数据分析专题 党建情况全方位、多角度、多维度的挖掘分析，形成

AI 摄像头 传感器 芯片 智能终端 连接设备 智慧文旅数据共享交换平台 美 团 大 从 点 评 天 猫 京 东 购 票 方 式 营 业 情 况 去 哪 儿 飞 猪 同 程 艺 龙 马 蜂 窝 携 程 途 牛 舆 情 监 控 平 台 综 合 指 ，确保人员调配 实时性和有效性。 网络评价分析系统 采集评价数据 ，分析评价时间分 布和游客关注热点 ，识别景区的 形象变化、市场优势和短板所在， 并编制景区网评 报告 。 投诉管理系统 整合投诉数据 ，统计景区的投诉总 量及其处理结果 ，分析投诉者画像， 投诉类别以及投诉数量变化趋势等 投诉数据特征。 Wi Fi 数据分析系统 通过收集智能终端的 区 域 内 的 人 员 密 度 、 拥 挤 程 度 与 游 客 体 温 进 行 检 测 ， 疫 情 结 束 后 ， 平 时 可 与 景 区 一 体 化 系 统 结 合 ， 做 为 景 区 景 点 ， 园 林 场 馆 对 于 高 密 度 人 群 及 体 温 不 正 常 游 客 马 上 预 警 ， 可 以 在 特 定 景 区 内 进 行 人 数 密 度 统 计 与 体 温

将中兴通讯及其三家关联公司列入“制裁名单”的决定是基于其 获得的两份中兴通讯的内部机密文件而做出的，这两份分别名为《关于 全面整顿和规范公司出口管制相关业务的报告》与《进出口管制风险规避方案》的机 密文件描述了中兴通讯通过设立、控制和使用一系列“隔断”公司而不需经过授权就可向 受美国制裁国家非法地再出口受控产品的计划方案。 BIS 还将这两份中兴通讯机密文 件的中文扫描件和英文翻译件放在官方网站上以供查看和下载。 虚拟网络审计 应用交付 认证授权 防火墙 运维审计 抗 DDoS APT 治理 日志审计 VPN IDS 流量控制 防火墙 桌面 APT 防御 等保 ITIL 运维 堡垒机 风评 加固 应急 运营 合规 咨询 服务 软件 服务 合规 咨询 渗透 测试 接口 安全 评估 安全 开发 咨询 云计算架构 虚拟安全接入 SOC 安全平台 智能分析中心 流量审计平台 ）二级，县级某些单位重要信息系统；地市级以上国家机关、企事业单位内部一般信息系 统（例如非涉及工作、商业秘密，敏感信息的办公系统和管理系统） 3 ）三级，地市级以上国家机关、企事业单位内部重要信息系统（例如涉及工作、商业秘 密，敏感信息的办公系统和管理系统）。跨省或全国联网运行的用于生产、调度、管理、控 制等方面的重要系统及在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要 网站 4 ）四级，国家重要领域、