商用密码应用与安全性评估pdf

1基本情况1.1 商用密码应用安全性评估商用密码应用安全性评估（以下简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。

《密码法》第二十七条规定“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”。

《商用密码应用安全性评估管理办法（试行）》第三条规定“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。

重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统”。

第十条规定“关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次，测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行”。

《国家政务信息化项目建设管理办法（国办发〔2019〕57 号）》中对政务信息系统的商用密码应用与评估工作提出了相应要求。

由此可知，关基、政务等领域必须开展商用密码应用建设与评估工作。

为了有效推进密评工作，在密码相关主管部门的推动下，GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》、GM/T 0115—2021《信息系统密码应用测评过程指南》、GM/T 0116—2021《信息系统密码应用测评要求》《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》和《商用密码应用安全性评估FAQ》等标准和指导性文件相继出台，为密评工作的快速开展奠定了良好基础。

1.2 密评目前存在的主要问题密码技术应用具有专业性较强、技术复杂度高的特点，通常与业务系统联系紧密。

商用密码应用安全性评估及其相关标准作者：谢宗晓董坤祥甄杰来源：《中国质量与标准导报》2022年第02期1 概述商用密码应用安全性评估（以下简称：密评），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

这是继网络安全等级保护（以下简称：等级保护）之后，信息安全领域又一体系化的制度，至于称为“评估”还是“测评”，并不重要，其框架大致都遵循了传统的检测认证工作，这一点也可以从相关公文1）中得到验证。

和等级保护一样，密评也有法律依据。

《中华人民共和国网络安全法》第二十一条明确指出：国家实行网络安全等级保护制度。

《中华人民共和国密码法》的第二十七条规定如下：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

2 密评相关标准检测认证的标准体系与ISO/IEC 27000标准族的设计基本都是一致的，其来源为ISO 9000标准族的框架，大致包括：要求类标准、指南类标准，如实施指南、测评（或检测、评估）等指南、机构要求（可能包括人员要求）类的认可标准。

例如，国家标准中的网络安全等级保护系列标准架构主要包括：GB/T 22240、GB/T 22239、GB/T 25058、GB/T 25070、GB/T 28448和GB/T 28449等。

其关系大致如图1所示。

密评标准体系的设计大致也遵循了这样的架构。

一般而言，要求类标准是其中最基础的。

GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》是密评体系中的要求类标准，其前身为GM/T 0054—2018，该标准沿用了GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》的框架，将信息系统密码应用自低向高划分为五个等级。

GM/T 0115—2021《信息系统密码应用测评要求》和GM/T 0116—2021《信息系统密码应用测评过程指南》则是针对测评的相关标准。

国家密码管理局关于发布《商用密码检测机构（商用密码应用安全性评估业务）目录》的公告文章属性•【制定机关】国家密码管理局•【公布日期】2024.11.11•【文号】国家密码管理局公告第49号•【施行日期】2024.11.11•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保密正文国家密码管理局公告第49号关于发布《商用密码检测机构(商用密码应用安全性评估业务)目录》的公告依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》,现发布《商用密码检测机构(商用密码应用安全性评估业务)目录》。

即日起,商用密码应用安全性评估试点工作正式结束,未取得商用密码检测机构(商用密码应用安全性评估业务)资质的机构不得面向社会开展商用密码应用安全性评估业务。

特此公告。

附件:商用密码检测机构(商用密码应用安全性评估业务)目录国家密码管理局2024年11月11日商用密码检测机构(商用密码应用安全性评估业务)目录(排名不分先后)北京国家金融科技认证中心有限公司北京京投信安科技发展有限公司北京全路通信信号研究设计院集团有限公司北京时代新威信息技术有限公司北京市产品质量监督检验研究院北京中科卓信软件测评技术中心北京卓识网安技术股份有限公司工业和信息化部密码应用研究中心公安部第一研究所信息安全等级保护测评中心公安部网络安全等级保护评估中心国家广播电视总局广播电视科学研究院国家信息技术安全研究中心国网计量中心有限公司商用密码检测认证中心中电信数智科技有限公司中国电子技术标准化研究院中国电子科技集团公司第十五研究所中国航天系统科学与工程研究院中国科学院软件研究所中国科学院数据与通信保护研究教育中心中国软件评测中心(工业和信息化部软件与集成电路促进中心) 中国铁道科学研究院集团有限公司中国移动通信有限公司研究院中科信息安全共性技术国家工程研究中心有限公司天津恒御科技有限公司天津鲲奥世达科技有限公司天津联信达软件技术有限公司天津市兴先道科技有限公司天津云安科技发展有限公司中互金认证有限公司河北千诚电子科技有限公司河北赛克普泰计算机咨询服务有限公司中国电子科技集团公司第五十四研究所山西晋信安科技有限公司太原清众鑫科技有限公司内蒙古万邦信息安全技术有限公司信元网络技术股份有限公司北方实验室(沈阳)股份有限公司辽宁牧龙科技有限公司沈阳赛宝科技服务有限公司长春金阳高科技有限责任公司国家网络与信息系统安全产品质量检验检测中心上海计算机软件技术开发中心上海市信息安全测评认证中心智巡密码(上海)检测技术有限公司江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心) 金盾检测技术股份有限公司南京南自数安技术有限公司苏州市软件评测中心有限公司杭州安信检测技术有限公司杭州中尔网络科技有限公司浙江辰龙检测技术有限公司浙江东安检测技术有限公司浙江省电子信息产品检验研究院浙江鑫诺检测技术有限公司安徽科测信息技术有限公司安徽信科共创信息安全测评有限公司安正网络安全技术有限公司合肥天帷信息安全技术有限公司福建金密网络安全测评技术有限公司福建智安信息技术有限公司江西神舟信息安全评估中心有限公司江西省网络安全研究院江西智慧云测安全检测中心股份有限公司高维密码测评技术(山东)有限公司山东维平信息安全测评技术有限公司山东新潮信息技术有限公司顶盛科技股份有限公司中科安永科技有限公司湖北东方网盾信息安全技术有限公司湖北星野科技发展有限公司武汉安域信息安全技术有限公司武汉等保测评有限公司湖南省金盾信息安全等级保护评估中心有限公司长沙云创信安科技有限公司鼎铉商用密码测评技术(深圳)有限公司工业和信息化部电子第五研究所广东南方信息安全研究院广东中科实数科技有限公司广州竞远安全技术股份有限公司广州市盛通建设工程质量检测有限公司深圳市博通智能技术有限公司深圳市网安计算机安全检测技术有限公司广西网信信息技术有限公司广西壮族自治区电子信息和网络安全测评研究院海南百安信息技术有限公司海南神州希望网络有限公司海南省国盾信息化发展有限公司海南正邦信息科技有限公司重庆衡鉴信息技术有限公司重庆若可网络安全测评技术有限公司重庆市信息通信咨询设计院有限公司重庆信安网络安全等级测评有限公司重庆信息通信研究院重庆巽诺科技有限公司重庆煜享星科技有限责任公司成都安美勤信息技术股份有限公司成都创信华通信息技术有限公司成都久信信息技术股份有限公司成都市信息系统与软件评测中心豪符密码检测技术(成都)有限责任公司四川省电子产品监督检验所贵州航天计量测试技术研究所云南金质信息技术服务有限公司云南云盾信息安全测评有限公司颢安检测技术(西安)有限责任公司陕西青山四纪信息技术有限公司西安安盟智能科技股份有限公司西安长盛信安信息技术有限公司甘肃安信信息安全技术有限公司青海信安正创检测技术有限公司宁夏泽新信息技术服务有限公司。

商用密码应用安全性评估量化评估规则中国密码学会密评联委会二〇二〇年十二月目录1. 范围 (1)2. 规范性引用文件 (1)3. 原则 (1)4. 量化评估框架 (1)5. 量化规则 (2)6. 整体结论判定 (3)商用密码应用安全性评估量化评估规则1.范围本文件依据GB/T AAAAA《信息安全技术信息系统密码应用基本要求》和GM/T BBBB 《信息系统密码应用测评要求》，对信息系统的密码应用情况给出定量评估结果。

本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。

2.规范性引用文件1)GB/T AAAAA《信息安全技术信息系统密码应用基本要求》2)GM/T BBBB《信息系统密码应用测评要求》3.原则本文件按如下原则设计量化评估规则：1)遵循法律法规和最新相关指导性文件的总体要求；2)遵循GB/T AAAAA和GM/T BBBB；3)鼓励使用密码技术；4)特别鼓励使用合规的密码算法/技术/产品/服务；5)优先在网络和通信安全层面、应用和数据安全层面进行密码技术应用。

4.量化评估框架参考GM/T BBBB，本规则从三个方面进行量化评估：●密码使用安全（Cryptography D eployment security）是指，密码技术是否被正确、有效使用，以满足信息系统的安全需求，有效提供机密性、完整性、真实性和不可否认性的保护；●密钥管理安全（K ey management security）是指，密钥管理的全生命周期是否安全，用于密码计算或密钥管理的密码产品/密码服务是否安全。

●密码算法/技术安全（Cryptography A lgorithm/Technique security）是指，信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。

5.量化规则（1）各测评对象的测评结果量化规则密码应用技术要求中，第i个安全层面的第j测评单元的第k测评对象T i,j,k，其量化评估结果S i,j,k∈{0, 0.25, 0.5, 1}，其中0表示不符合，1表示符合，其它表示部分符合。

政务信息系统密码应用与安全性评估工作指南（2020版）中国密码学会密评联委会二〇二〇年九月前言为贯彻落实《国家政务信息化项目建设管理办法》（国办发〔2019〕57号）密码应用与安全性评估要求，依据《中华人民共和国密码法》及商用密码管理规定，制定本指南。

本指南可用于指导非涉密的国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作，也可供政务信息系统集成单位和商用密码应用安全性评估机构参考。

各级地方政务信息化项目建设单位和使用单位也可参照本指南开展相关工作。

本指南主要依据《国家政务信息化项目建设管理办法》《商用密码应用安全性评估管理办法（试行）》《政务信息系统政府采购管理暂行办法》（财库〔2017〕210号）和GM/T0054—2018《信息系统密码应用基本要求》编制。

政务信息系统密码应用与安全性评估相关密码国家标准和行业标准正在制定过程中，GM/T0054对应的国家标准即将发布，本指南中任何与当前或后续发布的密码国家标准和行业标准不一致之处，以相关密码国家标准和行业标准为准。

必要时本指南将根据最新的管理要求与相关技术标准进行更新。

本指南分为三章。

第一章为政务信息系统密码应用与安全性评估实施过程指南，依据《国家政务信息化项目建设管理办法》和《商用密码应用安全性评估管理办法（试行）》，给出了政务信息系统规划、建设、运行阶段，项目建设单位和使用单位分别应当开展的密码应用与安全性评估相关工作。

第二章为政务信息系统密码应用措施指南，主要依据GM/T0054，介绍了密码在政务信息系统中发挥的主要功能，并给出了密码应用措施方面的建议，可供项目建设单位结合自身实际进行选择和调整。

第三章为政务信息系统密码应用与安全性评估质量保障指南，给出了项目建设单位和使用单位、系统集成单位、密评机构在相关活动中的质量管理建议。

本指南附录1提供了密码应用方案模板，可供项目建设单位在设计编制密码应用方案时参考。

附录2提供了已发布的密码国家标准和密码行业标准目录。

报告编号：{}《XXX系统密码应用方案》商用密码应用安全性评估报告委托单位：密评机构：报告时间：声明本报告是{密评机构名称}针对《XXX系统密码应用方案》给出的商用密码应用安全性评估报告，报告模板为2023年版。

本报告评估结论的有效性建立在委托单位提供相关材料的真实性基础之上。

本报告中给出的评估结论仅对本次评估的《XXX系统密码应用方案》的内容有效。

评估工作完成后，当《XXX系统密码应用方案》发生变更时，本报告不再适用。

本报告中给出的评估结论不能作为实际建设或运行系统的评估结论，也不能作为系统构成组件（或产品）的评估结论。

在任何情况下，若需引用本报告中的评估结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。

本报告若无签字或机构盖章，均属无效。

{密评机构名称}（盖章）年月日《XXX系统密码应用方案》商用密码应用安全性评估报告基本信息表{报告编号}商用密码应用安全性评估结论《XXX系统密码应用方案》商用密码应用安全性评估报告改进建议{评估结论为不通过时，具体修改意见为针对《XXXX系统密码应用方案》中存在的XXX问题（指出具体章节，具体问题），具体修改建议为XXX，需补充的材料为XXX。

}{评估结论为通过时：无意见/或进一步完善的参考建议意见为XXX。

}{报告编号}目录声明 (I)基本信息表 (I)商用密码应用安全性评估结论 ..................................... I I 改进建议 ...................................................... I II1 系统概述 (1)2 安全控制措施描述及指标适用情况 (4)3 安全控制措施评估结果 (9)4 方案评估结论 (12)5 报告分发范围 (13)附录A密评活动有效性证明记录 (14)A.1 密评委托证明 (14)A.2 密评活动证明 (15)A.3 密评活动质量文件 (16)A.4 密评人员资格证明 (17)A.5 系统定级匹配证明 (18)附：《XXXX系统密码应用方案》 (19)《XXX 系统密码应用方案》商用密码应用安全性评估报告1 系统概述图 1 系统网络拓扑图{该部分内容需包含系统网络拓扑、承载的业务情况等内容，梳理系统各安全层面保护对象（汇总到表1中）。

2022年商用密码应用与安全性评估密评测试卷及答案(一)C．密钥生命周期包括密钥的生成、分发、使用和销毁等阶段。

(正确答案)D．密钥的失效应该在使用后立即进行，以避免密钥被攻击者利用。

2022年商用密码应用与安全性评估密评测试卷及答案（一）第一部分：单选题（每小题2分，共60分）1.密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

2.密码可以对信息实现机密性、数据完整性、真实性和不可否认性保护。

3.密评是指在采用商用密码技术、产品和服务集成建设的网络与信息系统中，对其密码应用的合规性、正确性、有效性进行评估。

4.在PDCA管理循环保证管理体系中，在计划（Plan)阶段，应详细梳理分析信息系统所包含的网络平台、应用系统和数据资源的信息保护需求，并设计出具体的密码应用方案。

5.不属于对称算法的是SHAKE256.6.SM2算法私钥长度是256.7.SM4算法在进行密钥扩展过程中，总共会产生32轮密钥。

8.在以上分析密码的工作模式中，CBC加密过程无法并行化。

9.128-EEA3算法主要用于4G移动通信中移动用户设备和无线网络控制设备之间的无线链路上通信信令和数据的加密和解密。

10.以下MD5、SHA-1、DES算法被XXX警示是有风险的算法。

11.关于密钥生命周期，错误的说法是口令通过派生算法生成密钥，极大地降低了穷举搜索攻击的难度，因此这种密钥仅在某些特定环境中使用。

C．在密钥导入和导出过程中，可以将密钥简单地截取成若干个分量，每个分量单独进行传输，提高传输安全性。

密钥备份与密钥存储类似，但备份的密钥处于不激活状态，不能直接使用。

在IPSEC VPN协议中，通过SA载荷协商所使用的密码算法套件。

在IPSEC VPN的主模式中，利用Nonce载荷等交换的数据生成基本密钥参数，但不包括用于产生会话密钥的密钥参数。

AH协议无法穿透NAT。

SSLVPN协议中，握手协议实现了服务端和客户端之间的身份鉴别。

商用密码应用与安全性评估2020年1月法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

——摘自《中华人民共和国密码法》第二十七条PREFACE序当今，数字化、网络化、智能化深入发展，网络空间与物理空间的边界正在逐渐消融，以网络安全为代表的非传统安全威胁与传统安全威胁融合交织，深刻改变网络安全需求，深刻影响网络安全格局。

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的网络与信息系统是经济社会运行的神经中枢，是网络安全的重中之重，其安全稳定运行关乎国家安全、国计民生、公共利益，一旦遭到破坏、丧失功能或者数据泄露，后果不堪设想。

物联网、大数据、云计算等技术的飞速发展激发了前所未有的科技创新动力，正在重塑世界科技创新版图，万物互联、天地一体成为必然趋势。

网络威胁泛在化和复杂化程度不断加深，被动式防御、增量式修补、局部式治理已不能适应严峻多变的网络安全形势，必须建立一个足够强大的自主可控安全防御体系。

密码是国之重器，是保障网络安全的核心技术和基础支撑，在网络安全防护中具有不可替代的重要作用。

利用密码在安全认证、加密保护、信任传递等方面的重要作用，构建网络空间安全保障体系、实现国家网络空间安全自主可控，必须坚持以密码为基石，推动密码全面规范应用，有效控制或消除网络安全问题，实现从被动防御向主动免疫的战略转变。

当前，我国重要网络与信息系统密码应用仍存在不科学、不规范等突出问题，给国家安全和社会发展造成重大隐患。

《密码法》对密码应用和安全性评估作出了规范。

落实该法有关要求，确保密码在网络与信息系统中安全、规范使用，亟需提升密码测评能力，完善密码应用安全性评估审查机制，构建自主可控的密码应用安全性评估体系。

2023年商用密码应用安全性评估工作指南下载温馨提示：该文档是我店铺精心编制而成，希望大家下载以后，能够帮助大家解决实际的问题。

文档下载后可定制随意修改，请根据实际需要进行相应的调整和使用，谢谢!并且，本店铺为大家提供各种各样类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，如想了解不同资料格式和写法，敬请关注!Download tips: This document is carefully compiled by the editor. I hope that after you download them, they can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!In addition, our shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!当前，随着信息技术的不断发展，商用密码应用在各行各业中扮演着至关重要的角色。

商用密码安全性评估pdf商用密码安全性评估是对一个商用密码系统进行安全性分析和评估的过程。

本文将介绍商用密码安全性评估的重要性，并提出评估的基本原则和方法。

商用密码系统的安全性评估对于保护商业机密和个人隐私具有重要意义。

随着互联网的发展和商业活动的数字化，商用密码系统的安全性问题也越来越受到关注。

恶意黑客、网络病毒和其他安全威胁日益增多，因此评估商用密码系统的安全性成为保护商业利益和个人信息的关键。

商用密码安全性评估的基本原则包括评估的全面性、独立性和客观性。

全面性意味着评估应当覆盖密码系统的各个方面，包括密码生成、存储、传输和验证等环节。

独立性意味着评估应由独立的第三方进行，以确保评估结果的客观性。

评估过程应公正透明，不受任何利益干扰。

商用密码安全性评估的方法包括技术审计、漏洞探测和安全性测试等。

技术审计是通过检查密码系统的代码、设计和文档等来评估其安全性。

漏洞探测是通过扫描和测试密码系统的漏洞来发现可能存在的安全隐患。

安全性测试是通过模拟实际攻击来测试密码系统的抵抗攻击能力。

在商用密码安全性评估中，需要考虑的因素包括密码强度、用户身份验证、密码传输和存储安全等。

密码强度是指一个密码系统的密码生成算法的安全性，以及密码的长度和复杂性。

用户身份验证是指确定用户身份的过程，如用户名和密码的验证。

密码传输和存储安全是指密码在传输和存储过程中的保护措施。

商用密码安全性评估的结果应提出相关安全建议，以帮助密码系统的开发者和管理员改进密码系统的安全性。

这些建议可以包括更新密码系统的密码算法、增强用户身份验证过程、改进密码传输和存储的安全措施等。

综上所述，商用密码安全性评估是保护商业利益和个人信息安全的必要措施。

通过全面、独立和客观的评估，可以发现密码系统存在的安全隐患，并提出相应的改进建议，以增强密码系统的安全性。