商密科普：（四）商用密码应用安全性评估

什么是商用密码应用安全性评估

商用密码应用安全性评估，又可以称为“密评”。密评工作主要是对信息系统使用的密码技术（比如：SM系列的密码算法）、产品（比如说智能密码钥匙、SSL VPN加密客户端、SSL VPN加密服务端、密码卡、密码机、密管系统等）、密码服务（比如沃通CA等）从合规性、有效性、正确性进行评估的活动；目前，密评工作最重要的参考依据就是在2021年10月正式实施的 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，规定了信息系统从第一级到第四级的密码应用的基本要求；密评实施时还会参考GM/T 0115-2021《信息系统密码应用基本要求》、GM/T 0116-2021 《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等规范。密评采取的是打分制的，密评分数不低于60，且无高风险项，密评通过；量化评估细则中规定了每一项对应的分值；高风险项在高风险判定指引里面进行了详细说明。

系统密评的改造的流程有哪些？

密评改造的流程遵循“三同步一评估”的原则：同步规划、同步建设、同步运行；在系统的建设阶段的话，首先需要对系统密码应用现状进行分析，并根据 GB/T 39786-2021进行方案的设计；方案设计完成之后需要对方案进行评审；方案评审目前分两种方式：一，密评机构对方案进行评审，评审完成之后，由密评机构出具一个评审报告；二，邀请专家进行方案评审，由专家出具方案评审意见。项目建设单位根据密评方案对系统进行建设实施，建设实施完成之后进行整改上线；上线之后，需要找具有密评资质的密评机构进行密评测试的工作。

密评测试的流程有哪些？

密评测试的流程，分为五个基本的测评的活动，分别是测评准备、方案编制、现场测评、分析与报告编制和备案活动；备案活动完成即整个密评的项目完成；密评备案和等保备案类似，需要到当地的密码管理局进行备案，备案的时候需要填写《网络与信息系统密评备案信息表》，提交密评合同、密评报告，以及其他需要的盖章的文件，材料审核通过后，密码局会反馈一个回执，收到回执之后即完成了备案的工作。

不做密评或测试结果不合格会有哪些影响呢？

首先，是《中华人民共和国密码法》里面提出：关键信息基础设施的运营者未按照要求使用商用密码，或者开展密评的，由密码管理部门责令改正，给予警告；拒不改正或者说导致了危害网络安全等后果的，将处以罚款。《国家政务信息化项目建设管理办法》里面指出：对于不符合密码应用和网络安全要求的，不安排项目的运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。目前，全国各地方也在不断将密码应用要求纳入行业管理规范、工作计划中。比如近两年印发的《广东省政务信息化项目建设管理办法》《河北省省级政务信息化项目建设管理办法》《江西省政务信息化项目建设管理办法》《吉林省政务信息化项目建设管理办法》等政务信息管理办法里面，均提到了要按要求采用密码技术和定期开展密评的工作。

密评主要由哪些机构开展？

首先，从事密评活动的机构，应当获得国家密码管理部门的认定，依法取得商用密码检测机构资质。2021年6月，国家密码管理局正式发布公开《商用密码应用安全性评估试点机构目录》，工业和信息化部密码应用研究中心在第一个，其中中心的第一测评实验室就设立在中国信息通信研究院。实验室里面也具备商用密码测试评估平台、模拟仿真系统、测评工具等，相关技术人员具备专业的测评实施能力，可依据GB/T 39786-2021等标准规范，为用户提供密评相关的咨询服务以及测评评估服务。并且目前已为多家政务、金融、医疗、互联网等相关机构提供密评及相关服务。

声明：内容来源中国信通院云计算与大数据研究所，转载目的在于传递更多信息。如有侵权，请联系本站处理。