商用密码应用安全性评估 李 丹 中国赛宝实验室 工业和信息化部电子第五研究所 工业和信息化部电子第五研究所 （中国赛宝实验室） 目录 应 用 安 全 性 评 估 商 用 密 码 密评简介 1 2 政策法规 3 密评内容 4 密评实施 5 机构简介 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.1 密码释 义 《密码法》第二条给出密码定义： 密码是指采用特定变换的方法对信息等进行加密保护、 商用密码用于保护不属于国家秘密的信息。 公民、法人和其他组织可以依法使用商用密码保护网络 与信息安全。 《中华人民共和国密码法》 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.2 密评释 义 商用密码应用安全性评估（简称“密评” ) ，指在采用商用密码技术、产品和服务 集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。 合规性 指密码算法、密码协议、密钥管 理、密码产品和服务使用合规。 理、密码产品和服务使用合规。 使用符合国家密码法规和标准规 定的商用密码算法，使用经检测 认证合格的商用密码产品或服务。 正确性 指密码算法、密码协议、密钥管理、密 码产品和服务使用正确。即釆用的密码 算法、协议和密钥管理机制按照相应的 密码国家和行业标准进行正确的设计和 实现；密码保障系统建设或改造过程中 密码产品和服务的部署和应用正确。 有效性 指釆用的密码协议、密钥管理系统、

天融信密评培训 安全接入产品线  第二章 密评建设方案  第一章 密评政策解读 第一章 密评政策解读 可信网络 安全世界 密评是什么？评估对象？评估的是什么？ 合规性 -- 技术 + 产品 + 服务 使用的密码算法、密码协议、密钥管理符合国家法律法规和标准规定，密码 产品或服务经过国家密码管理局核准和认证机构认证合格。 密码算法、密码协议、密钥管理、密码产品或服务使用正确，即按密码相关的 1 日 2017 年 6 月 1 日 中华人民共和国 国家标准 GB/T 39786-2021 《信息安全技术 信息系统 密码应用基本要求》 2021 年 10 月 1 日 “ 密评”全称：商用密码应用安全性评估 对采用商用密码技术、产品和服务集成建设的网络和信息系统 密码应用的合规性、正确性、有效性进行评估 密码应用相关国家法律、法规及政策 1999.10.7 2014 号令，施行《商用 密码管理条例》 《信息安全技术信息 系统密码应用基本要 求》 (GB/T 39786- 2021) 正式发布 十三届全国人大常委 会第十四次会议通过 《中华人民共和国密 码法》 国家密码管理局发 布 GM/T 0054- 2018 《信息系统 密码应用基本要 求》 中共中央办公厅、国务院 办公厅印发《关于加强重 要领域密码应用的指导意 见》（四号文）

密评梳理 0 1 密码知识 0 2 0 3 密评介绍 密评工作 密码简介 • 密码技术基础 0 1 • 密码分类 • 密码算法 密码技术基础 什么是密码？ ● 计算机开机“密码” ● 电子邮箱登录“密码” ● 银行卡支付“密码” ● 微信登录“密码” 口令≠ 密码 □ 密码是指使用特定变换对数据等信息进行加密保护或者 安全认证的物项和技术。 密码法 《中华人民共和国密码法》 认。 0 2 密评介绍 • 密评对象 • 两者关 系 • 基本概念 • 法律依据 密评工作关注要点  1. 五个等级：由低到高分为一到五级， 三 级最为常见  2. 主管单位：国家密码管理部门负责监督、 检 查、指导。（密评报告需双备案）  3. 监管力度：三级系统至少每年测评一 次 基本概念 关注要点 商用密码应用安全性评估（以下简称 “密评”）是指对采用商用密码技术、产品 密码应用的合规性、正确性、有效性进行评 估。 等保定级 定级 系统被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 密评试点机构目录（全国共 48 家） 密评试点机构目录（全国共 48 家） 密评对象 2 1 重点面向金融、政务等重要

等保测评密评对照 关于“等保”与“密评”在法律、标准、流程以及测评实施等方面的具体差异与内在 联系，一直是客户领导关注的焦点。他们希望了解这两项制度在维护网络安全 方面各自的作用与互补性，以确保信息系统的政策合规性，并在网络安全上得 到全面、高效的保障。 “等保”即网络安全等级保护，旨在通过不同安全等级的管理和技术措施，确保 信息系统的安全稳定运行。我国于 2017 年颁布的《网络安全法》中第二十一 加 全面和深入地保障了网络安全。 ”密评“即商用密码应用安全性评估，是对网络信息系统中所使用的商用密码产 品和应用进行的安全性评估。《密码法》于 2020 年开始实施，其中第二十七 条要求关键信息基础设施的运营者需依法使用商用密码进行保护，并自行或委 托专业机构开展安全性评估，确保与其他安全检测评估制度相衔接，避免重复 工作。 ”等保“和”密评“共同构成了我国网络安全防御体系的重要组成部分，两者相互补 信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到 相应的标准和要求。 ”密评“则聚焦于使用了商用密码的产品、系统和服务，对其密码算法选择、密 码协议设计、密钥管理以及密码模块的安全性等方面进行全面而深入的合规性、 正确性和有效性评估。 以下内容将从国家相应的法律法规、测评标准、测评流程以及测评实施等方面 对”等保“和”密评“的具体差异与内在联系进行简单的探讨。 01.国家法律法规角度对比

重要行业密码应用及密评政策 重要行业密码应用及密评政策 近年来，信息化、网络化、数字化程度不断加深，密码技术已经渗透到了社会生产 生活各个方面，重要网络和信息系统、关键信息基础设施、数字化平台都离不开密 码的保护。我国已在多部法律法规中明确规定了密码应用的要求，包括《密码法》 《网络安全法》《商用密码管理条例(修订草案征求意见稿)》《关键信息基础设施 安全保护条例》《网络安全等级保护条例（征求意见稿）》等。 息基础设施安全 保护、密码应用安全性评估等工作。依据《网络安全法》《密码法》等法规，落实 《关键信息基础设施安全保护条例》，贯彻网络安全工作责任制，进一步完善大安 全体系。 重要行业其他密码应用及密评政策要求 教育、公安、住建、交通、水利、卫生计生、工商、能源等领域主管部门，均 制定了本领域密码应用总体规划或工作方案，明确要求使用符合国家密码法律 法规和标准规范的密码算法和密码产品，实现密码在本领域的全面应用。

密评备案信息表 备案日期 备案编号 密评类型 根据有关法人证书或文件上所载信息填写。 根据有关法人证书或文件上所载信息填写。 填写本次密评备案归属的省级密码管理部门，从提供选项中选择即可。 姓 名 联系电话 手机号或者座机号。 电子邮件 责任部门 填写规范全称。 姓 名 联系电话 电子邮件 功能描述 系统分类 服务对象 即备案回执出具日期，经密码管理部门反馈后 日，格式YYYYMMDD，例如20250701八位 数字。收到备案回执前可填填表日期。 提供选项供选择，包括：系统、方案。 注明：若为系统密评，则所有选项均需填写；若为初次方案密评，部分尚未确定内容的选项可不填写。 责任单位（网络运营 者）名称 填写规范全称，应与密评报告信息页所载的运营者名称保持一致，若运营者为企业或事业单位，采用其 法人证书上所载名称，若运营者为机关单位，采用机构编制文件上所载名称。（加盖公章） 责任单位 负责人 职务/职称 责任部门 联系人 职务/职称 手机号（必填）、座机号 （选填）。 网络与信息 系统名称 若该系统进行了等保定级备案，以备案系统名称为准；若未定级备案，以密评报告上所载的系统名称为 准，该名称应与相关建设、验收等文件所载名称一致。 （填写系统功能描述，200字以内） 提供选项供选择，包括：存量系统（改建/扩建）、新建系统。 填写相关人群，如：学生、患者、办事群众等

分保、等保、关保、密评 之间联系与区别 02 相关的法律法规依据 06 密评工作简介 01 什么是“ 3 保 1 评” 05 关保工作简介 03 分保工作简介 07 3 保 1 评联系与区 别 04 等保工作简介 H CONTENTS 01 PART ONE 什么是“ 3 保 1 评 ” 日日日日母 涉密信息系统分级保护 指涉密信息系统的建设使用单位根据分级保护管理 商用密码应用安全评估 是指对采用商用密码技术、产品和服务集成建设的 网络和信息系统密码应用的合规性、正确性、有效 性进行评估。 分保 等保 关保 密评 什么是“ 3 保 1 评” 网络安全领域 3 保 1 评 ◎ 02 PART.TWO 相关的法律法规依据 日 日母母 《国家保密法》 (2010 年 ) 第二十三条存储、处理国家秘密的计算机信息系统 ( 以下简称涉密信息系统 和国家有关规定要求使用商 用密码进行保护的关键信息 基础设施，其运营者应当使 用商用密码进行保护，自行 或者委托商用密码检测机构 开展商用密码应用安全性评 估。商用密码应用安全性评 估应当与关键信息基础设施 安全检测评估、网络安全等 级测评制度相衔接，避免重 复评估、测评。 中华人民共和国 网络安全法 第三十一条 国家对公共通信

密评备案信息表 备案日期 备案编号 密评类型 根据有关法人证书或文件上所载信息填写。 根据有关法人证书或文件上所载信息填写。 填写本次密评备案归属的省级密码管理部门，从提供选项中选择即可。 姓 名 联系电话 手机号或者座机号。 电子邮件 责任部门 填写规范全称。 姓 名 联系电话 电子邮件 功能描述 系统分类 服务对象 即备案回执出具日期，经密码管理部门反馈后 日，格式YYYYMMDD，例如20250701八位 数字。收到备案回执前可填填表日期。 提供选项供选择，包括：系统、方案。 注明：若为系统密评，则所有选项均需填写；若为初次方案密评，部分尚未确定内容的选项可不填写 责任单位（网络运营 者）名称 填写规范全称，应与密评报告信息页所载的运营者名称保持一致，若运营者为企业或事业单位，采用其 法人证书上所载名称，若运营者为机关单位，采用机构编制文件上所载名称。（加盖公章） 责任单位 负责人 职务/职称 责任部门 联系人 职务/职称 手机号（必填）、座机号 （选填）。 网络与信息 系统名称 若该系统进行了等保定级备案，以备案系统名称为准；若未定级备案，以密评报告上所载的系统名称为 准，该名称应与相关建设、验收等文件所载名称一致。 （填写系统功能描述，200字以内） 提供选项供选择，包括：存量系统（改建/扩建）、新建系统。 填写相关人群，如：学生、患者、办事群众等

《密评备案信息统计表》使用说明 注：考虑到表格当前的自动检查规则可能无法穷举所有异常， 若遇到极个别单元格提示填写错误，但经核实确实已按要求正确填 写的情况，请正常提交并向管理部门提醒说明，便于进一步完善表 格检查机制。 《密评备案信息统计表》的填表方一般为网络与信息系统运营 者。 《密评备案信息统计表》中部分单元格在填写数据后自动会进 行检查（注意：需要启用 Excel 宏）。全部信息填写无误时，“数据 备案编号填写正确时，显示如下图。 3. 密评类型 （1）填写错误示例 1）密评类型为空白时，数据检查说明显示“【密评类型】输入 或粘贴的值与下拉选项不一致（超出了下拉选项值范围）！”。 2）密评类型选择的选项与密评结果不对应时（如密评类型选择 2 “系统”，密评结果选择“通过”），数据检查说明显示“【密评类型】与 【密评结果】不对应！”。 3）密评类型自行填写，未从提供选项中选择时，将弹窗报错。 弹窗报错。 （2）填写正确示例 密评类型选择正确时，显示如下图。 4. 责任单位（网络运营者）性质 （1）填写错误示例 责任单位（网络运营者）性质自行填写，未从提供选项中选择 时，将弹窗报错。 3 （2）填写正确示例 责任单位（网络运营者）性质从提供选项中选择时，显示如下 图。 5. 网络与信息系统所在地 （1）填写错误示例 网络与信息系统所在地填写格式错误时，数据检查说明显示