商用(use)密碼，是(yes)指對不(No)涉及國家秘密内容的(of)信息進行加密保護或安全認證所使用(use)的(of)密碼技術和(and)密碼産品。其中，商用(use)密碼技術，是(yes)保障信息安全的(of)核心技術。從功能上看，主要(want)包括加密保護技術和(and)安全認證技術；從内容上看，主要(want)包括密碼算法、密鑰管理和(and)密碼協議。

商用(use)密碼産品，是(yes)指采用(use)密碼技術對不(No)涉及國家秘密内容的(of)信息進行加密保護或安全認證的(of)産品，即承載密碼技術、實現密碼功能的(of)實體。按照形态劃分，商用(use)密碼産品分爲(for)六類，即軟件、芯片、模塊、闆卡、整機、系統；按照功能劃分，商用(use)密碼産品分爲(for)七類，即密碼算法類、數據加解密類、認證鑒别類、證書管理類、密鑰管理類、密碼防僞類和(and)綜合類。

商用(use)密碼應用(use)安全性評估(簡稱“密評”)，是(yes)指在(exist)采用(use)商用(use)密碼技術、産品和(and)服務集成建設的(of)網絡和(and)信息系統中，對其密碼應用(use)的(of)合規性、正确性和(and)有效性進行評估。

• 使用(use)的(of)密碼算法、密碼技術符合法律法規和(and)相關國家标準、行業标準的(of)有關要(want)求

• 使用(use)的(of)密碼産品、密碼模塊通過國家密碼管理部門核準

• 使用(use)的(of)密碼服務符合國家密碼管理要(want)求

• 密碼算法、密碼協議、密鑰管理、密碼産品和(and)服務使用(use)正确

• 系統中采用(use)的(of)标準密碼算法、協議和(and)密鑰管理機制按照密碼國家和(and)行業标準進行正确設計和(and)實現

• 自定義密碼協議、密鑰管理機制的(of)設計和(and)實現正确，符合相關标準要(want)求

• 密碼保障系統建設或改造過程中密碼産品和(and)服務的(of)部署和(and)應用(use)正确

開展密評，是(yes)爲(for)了(Got it)解決商用(use)密碼應用(use)中存在(exist)的(of)突出(out)問題，爲(for)網絡和(and)信息系統的(of)安全提供科學評價方法，逐步規範商用(use)密碼的(of)使用(use)和(and)管理。從根本上改變商用(use)密碼應用(use)不(No)廣泛、不(No)規範、不(No)安全的(of)現狀，确保商用(use)密碼在(exist)網絡和(and)信息系統中有效使用(use)，切實構建起堅實可靠的(of)網絡安全密碼屏障。開展密評，是(yes)國家網絡安全和(and)密碼相關法律法規提出(out)的(of)明确要(want)求，是(yes)法定責任和(and)義務。

基礎信息網絡：電信網、廣播電視網、互聯網。

重要(want)信息系統：能源、教育、公安、測繪地(land)理信息、社保、交通、衛生(born)計生(born)、金融等涉及國計民生(born)和(and)基礎信息資源的(of)重要(want)信息系統。

重要(want)工業控制系統：核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要(want)工業控制系統。

面向社會服務的(of)政務信息系統：黨政機關和(and)使用(use)财政性資金的(of)事業單位和(and)團體組織使用(use)的(of)面向社會服務的(of)信息系統。

01 總體要(want)求

密碼算法：使用(use)的(of)密碼算法應當符合法律、法規的(of)規定和(and)密碼相關國家标準、行業标準的(of)有關要(want)求，重點關注密碼算法的(of)合規性。

密碼技術：使用(use)的(of)密碼技術應遵循密碼相關國家标準和(and)行業标準。重點關注加密技術的(of)合規性，密碼技術應保證自身的(of)安全性，可靠性，與信息系統的(of)互聯互通性。

密碼産品：使用(use)的(of)密碼産品與密碼模塊應通過國家密碼管理部門核準。“密碼模塊”可包括密碼卡、密碼機、定制密碼模塊、密碼軟件等多種形态。重點關注密碼産品的(of)合規性和(and)有效性，密碼産品和(and)密碼模塊需根據國家相關規定進行密碼産品安全等級确定、檢測。測評機構開展評估應當遵循商用(use)密碼管理政策和(and)國家标準GB/T39786-2021《信息安全技術信息系統密碼應用(use)基本要(want)求》《信息系統密碼測評要(want)求》（運行）等相關密碼标準和(and)指導性文件的(of)要(want)求，遵循獨立、客觀、公衆的(of)原則。

密碼服務：使用(use)的(of)密碼服務應通過國家密碼管理部門許可。如CA認證機構應獲得《電子認證服務使用(use)密碼許可證》以(by)及《電子認證服務許可證》。

02 密碼功能要(want)求

密碼功能要(want)求是(yes)對密碼技術在(exist)信息系統中的(of)使用(use)場景起到(arrive)什麽作(do)用(use)的(of)闡述，密碼功能要(want)求包括機密性、完整性、真實性和(and)不(No)可否認性。

機密性：使用(use)密碼加密功能，保障信息系統重要(want)數據在(exist)傳輸、存儲過程中的(of)保密性以(by)及身份鑒别信息、密鑰數據的(of)機密性。

完整性：使用(use)消息校驗碼(MAC)或數字簽名實現完整性，保障信息系統重要(want)數據在(exist)傳輸、存儲過程中的(of)完整性以(by)及身份鑒别信息、密鑰數據、日志記錄、訪問控制信息、資源敏感标記、重要(want)程序、可信信任鏈、視頻監控記錄、電子門禁出(out)入記錄的(of)完整性。

真實性：使用(use)對稱加密、動态口令、數字簽名等實現真實性，保障信息系統中各類基礎設施、軟硬件設備以(by)及業務應用(use)系統的(of)用(use)戶身份鑒别信息的(of)真實性。

不(No)可否認性：使用(use)數字簽名等密碼技術實現實體行爲(for)的(of)不(No)可否認性，保障信息系統中無法否認的(of)操作(do)行爲(for)，如發送、接收、審批、創建、修改、删除、添加、配置等。

03 密碼技術應用(use)要(want)求、密鑰管理和(and)安全管理

測評過程分爲(for)四項基本測評活動:測評準備活動、方案編制活動、現場測評活動、分析與報告編制活動。測評雙方之間的(of)溝通與洽談應貫穿整個(indivual)測評過程。其中，測評對象包括安全人(people)員、管理員、密碼産品、網絡設備、服務器、數據庫、安全設備、操作(do)系統、應用(use)系統、業務系統、技術文檔、管理制度文檔等；測評工具涉及協議分析工具、端口掃描工具、滲透測試工具、算法和(and)随機性檢測工具、密碼應用(use)檢測工具、密碼安全協議檢測工具等。

《密碼法》第三十七條第一(one)款規定

關鍵信息基礎設施的(of)運營者違反本法第二十七條第一(one)款規定，未按照要(want)求使用(use)商用(use)密碼，或者未按照要(want)求開展商用(use)密碼應用(use)安全性評估的(of)，由密碼管理部門責令改正，給予警告；拒不(No)改正或者導緻危害網絡安全等後果的(of)，處十萬元以(by)上一(one)百萬元以(by)下罰款，對直接負責的(of)主管人(people)員處一(one)萬元以(by)上十萬元以(by)下罰款。

《國家政務信息化項目建設管理辦法》第二十八條第三款規定

對于(At)不(No)符合密碼應用(use)和(and)網絡安全要(want)求，或者存在(exist)重大(big)安全隐患的(of)政務信息系統，不(No)安排運行維護經費，項目建設單位不(No)得新建、改建、擴建政務信息系統。

《商用(use)密碼應用(use)安全性評估管理辦法（試行）》第二章第十條規定

關鍵信息基礎設施、網絡安全等級保護第三級及以(by)上信息系統，每年至少評估一(one)次。

根據現有規定，責任單位取得報告後，被測單位自行上報主管部門及所在(exist)地(land)區（部門）密碼管理部門備案，測評機構上報國密局備案；等保三級及以(by)上信息系統，評估報告還需由被測單位上報至所在(exist)地(land)區公安部門備案。