浅谈商用密码应用安全性评估 (密评).pdfVIP

浅谈商用密码应用安全性评估(密评)--第1页

浅谈商用密码应用安全性评估(密评)

商用密码应用安全性评估，是对采用商用密码技术、产品

和服务集成建设的网络和信息系统中，密码应用的合规性、正

确性、有效性进行评估的过程。密评是其简称。

密评工作在法律法规中有明确规定。《中华人民共和国密

码法》规定，要求使用商用密码进行保护的关键信息基础设施，

其运营者应当使用商用密码进行保护，并且自行或者委托商用

密码检测机构开展商用密码应用安全性评估。此外，商用密码

应用安全性评估应当与关键信息基础设施安全检测评估、网络

安全等级测评制度相衔接，避免重复评估、测评。关键信息基

础设施的运营者采购涉及商用密码的网络产品和服务，可能影

响国家安全的，应当按照《中华人民共和国网络安全法》的规

定，通过国家网信部门会同国家密码管理部门等有关部门组织

的国家安全审查。

为规范密评工作，XXX制定印发了《商用密码应用安全

性评估管理办法（试行）》、《商用密码应用安全性测评机构

管理办法（试行）》、《商用密码应用安全性测评机构能力评

浅谈商用密码应用安全性评估(密评)--第1页

浅谈商用密码应用安全性评估(密评)--第2页

审实施细则（试行）》等管理文件。其中，《商用密码应用安

全性评估管理办法（试行）》规定，在重要领域网络与信息系

统投入运行后，责任单位应当委托测评机构定期开展商用密码

应用安全性评估。如果评估未通过，责任单位应当限期整改并

重新组织评估。此外，关键信息基础设施、网络安全等级保护

第三级及以上信息系统，每年至少评估一次，测评机构可将商

用密码应用安全性评估与关键信息基础设施网络安全测评、网

络安全等级保护测评同步进行。对其他信息系统则要定期开展

检查和抽查。

在参考标准方面，《中华人民共和国密码法》、《商用密

码应用安全性评估管理办法（试行）》、《信息安全等级保护

商用密码管理办法》都是必须遵守的参考标准。这些标准的实

施，有助于提高商用密码应用的安全性和有效性，保障关键信

息基础设施的安全运行。

信息安全等级保护商用密码技术实施要求》、《信息安全

等级保护商用密码技术要求》、《信息系统密码测评要求》以

及GM/T0054-2018《信息系统密码应用基本要求》是商用密

码领域的重要规范和标准。

浅谈商用密码应用安全性评估(密评)--第2页

浅谈商用密码应用安全性评估(密评)--第3页

商用密码是密码工作的重要组成部分，主要用于保护非涉

密信息，如通信、金融、税控、社保、能源等领域。商用密码

在维护国家安全、促进经济发展以及保护人民群众利益中发挥

着不可替代的作用。1996年7月，XXX专题研究商用密码，

做出了大力发展商用密码和加强对商用密码管理的决定。

根据1999年10月7日国务院发布实施的《商用密码管理

条例》第一章第二条规定，商用密码是指对不涉及国家秘密内

容的信息进行加密保护或者安全认证所使用的密码技术和密码

产品。这个定义明确了商用密码的使用范围和作用，商用密码

可以用于任何非涉密信息领域，需要用密码进行保护的信息都

可以使用商用密码。

金融行业常见的国密算法包括SM2、SM3、SM4等。其

中，SM2算法是基于椭圆曲线离散对数问题的公钥密码算法。

由于椭圆曲线上离散对数问题的困难性要高于一般乘法群上的

离散对数问题的困难性，且椭圆曲线所基于的域的运算位数要

远小于传统离散对数的运算位数，因此，椭圆曲线密码体制比

原有的密码体制更具优越性。S