商用密码小知识

商用密码小知识

1、什么是密码？

“密码”一词对人们来说并不陌生，人们可以举出许多有关使用密码的例子。如保密通信设备中使用“密码”，个人在银行取款使用“密码”，在计算机登录和屏幕保护中使用“密码”，开启保险箱使用“密码”，儿童玩电子游戏中使用“密码”等等。但以上所说的“密码”，并不都是真正的密码。除了保密通信设备中使用密码以外，其它使用的并不是密码，而是一种特定的暗号或口令。

那么，什么是密码呢？在《辞海》（1999年版）中对密码是这样释意的：“按特定法则编成，用以对通信双方的信息进行明密变换的符号”。换而言之，密码是隐蔽了真实内容的符号序列。就是把用公开的、标准的信息编码表示的信息通过一种变换手段，将其变为除通信双方以外其他人所不能读懂的信息编码，这种独特的信息编码就是密码。

密码是一门科学，有着悠久的历史。密码在古代就被用于传递秘密消息。在近代和现代战争中，传递情报和指挥战争均离不开密码，外交斗争中也离不开密码。密码一般用于信息通信传输过程中的保密和存储中的保密。随着计算机和信息技术的发展，密码技术的发展也非常迅速，应用领域不断扩展。密码除了用于信息加密外，也用于数据信息签名和安全认证。这样，密码的应用也不再只局限于为军事、外交斗争服务，它也广泛应用在社会和经济活动中。当今世界已经出现了密码应用的社会化和个人化趋势。例如：可以将密码技术应用在电子商务中，对网上交易双方的身份和商业信用进行识别，防止网上电子商务中的“黑客”和欺诈行为；应用于增值税发票中，可以防伪、防篡改，杜绝了各种利用增值税发票偷、漏、逃、骗国家税收的行为，并大大方便了税务稽查；应用于银行支票鉴别中，可以大大降低利用假支票进行金融诈骗的金融犯罪行为；应用于个人移动通信中，大大增强了通信信息的保密性等等。

2、什么是商用密码？

根据1999年10月7日国务院发布实施的《商用密码管理条例》第一章第二条规定：“本条例所称商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”。

如何来理解《商用密码管理条例》中对商用密码的定义呢？第一，它明确了商用密码是用于“不涉及国家秘密内容的信息”领域，即非涉密信息领域。商用密码所涉及的范围很广，凡是不涉及国家秘密内容的信息，又需要用密码加以保护的，均可以使用商用密码。第二，它指明了商用密码的作用，是实现非涉密信息的加密保护和安全认证等具体应用。加密是密码的传统应用。采用密码技术实现信息的安全认证，是现代密码的主要应用之一。第三，定义将商用密码归结为商用密码技术和商用密码产品，也就是说，商用密码是商用密码技术和商用密码产品的总称。

3、什么是商用密码技术？

商用密码技术，是指能够实现商用密码算法的加密、解密和认证等功能的技术（包括密码算法编程技术和密码算法芯片、加密卡等实现技术）。商用密码技术是商用密码的核心，国家将商用密码技术列入国家秘密，任何单位和个人都有责任和义务保护商用密码技术的秘密。

4、商用密码的主要应用领域有哪些？

商用密码的应用领域十分广泛，主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如：商用密码可用于企业内部的各类敏感信息的传输加密、存储加密，防止非法第三方获取信息内容；也可用于各种安全认证、网上银行、数字签名等。

5、什么是加密？什么是解密？

出于信息保密的目的，在信息传输或存储中，采用密码技术对需要保密的信息进行处理，使得处理后的信息不能被非受权者(含非法者)读懂或解读，这一过程称为加密。在加密处理

过程中，需要保密的信息称为“明文”，经加密处理后的信息称为“密文”。加密即是将“明文”变为“密文”的过程；与此类似，将“密文”变为“明文”的过程被称为解密。

6、什么是密钥？

从字面上解释，密钥是秘密信息的钥匙。掌握了密钥就可以获得保密的信息。具体来说，密钥是一组信息编码，它参与密码的“运算”，并对密码的“运算”起特定的控制作用。密钥是密码技术中的重要组成部分。在密码系统中，密钥的生成、使用和管理至关重要。密钥通常是需要严格保护的，密钥的失控将导致密码系统失效。

7、什么是密码算法？

密码算法是实现密码对信息进行“明”“密”变换的一种特定的规则。不同的密码算法有不同的变换规则。因此，密码算法也是加密算法、解密算法、签名算法和认证算法等各类算法的统称。密码算法对密码系统的安全性有着至关重要的意义。衡量密码算法的优劣采用的是密码强度的概念。密码强度不高的密码算法极易被对方分析攻破，导致密码系统失灵或被对方利用。为了研究高强度的密码算法，普遍采用数理逻辑的方法，这些方法许多都是数学中研究的课题，属于计算方法问题。计算方法在数学中通常称为算法，这也是将密码变换规则称为密码算法的原因。

商用密码管理条例

商用密码管理条例 【发布部门】国务院【发文字号】中华人民共和国国务院令[第273号] 【发布日期】1999.10.07 【实施日期】1999.10.07 【法规类别】质量管理监督机构与人员【唯一标志】23549 中华人民共和国国务院令 （第２７３号） 第一章总则 第一条为了加强商用密码管理，保护信息安全，保护公民和组织的合法权益，维护国家的安全和利益，制定本条例。 第二条本条例所称商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。 第三条商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。 第四条国家密码管理委员会及其办公室（以下简称国家密码管理机构）主管全国的商用密码管理工作。 省、自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托，承担商用密码的有关管理工作。 第二章科研、生产管理 第五条商用密码的科研任务由国家密码管理机构指定的单位承担。 商用密码指定科研单位必须具有相应的技术力量和设备，能够采用先进的编码理论和技术，编制的商用密码算法具有较高的保密强度和抗攻击能力。 第六条商用密码的科研成果，由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。 第七条商用密码产品由国家密码管理机构指定的单位生产。未经指定，任何单位或者个人不得生产商用密码产品。 商用密码产品指定生产单位必须具有与生产商用密码产品相适应的技术力量以及确保商用密码产品质量的设备、生产工艺和质量保证体系。

第八条商用密码产品指定生产单位生产的商用密码产品的品种和型号，必须经国家密码管理机构批准，并不得超过批准范围生产商用密码产品。 第九条商用密码产品，必须经国家密码管理机构指定的产品质量检测机构检测合格。 第三章销售管理 第十条商用密码产品由国家密码管理机构许可的单位销售。未经许可，任何单位或者个人不得销售商用密码产品。 第十一条销售商用密码产品，应当向国家密码管理机构提出申请，并应当具备下列条件： （一）有熟悉商用密码产品知识和承担售后服务的人员； （二）有完善的销售服务和安全管理规章制度； （三）有独立的法人资格。 经审查合格的单位，由国家密码管理机构发给《商用密码产品销售许可证》。 第十二条销售商用密码产品，必须如实登记直接使用商用密码产品的用户的名称（姓名）、地址（住址）、组织机构代码（居民身份证号码）以及每台商用密码产品的用途，并将登记情况报国家密码管理机构备案。 第十三条进口密码产品以及含有密码技术的设备或者出口商用密码 产品，必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。 第四章使用管理 第十四条任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。 第十五条境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备，必须报经国家密码管理机构批准；但是，外国驻华外交代表机构、领事机构除外。 第十六条商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品发生故障，必须由国家密码管理机构指定的单位维修。报废、销毁商用密码产品，应当向国家密码管理机构备案。 第五章安全、保密管理 第十七条商用密码产品的科研、生产，应当在符合安全、保密要求的环境中进行。销售、运输、保管商用密码产品，应当采取相应的安全措施。

国密算法(国家商用密码算法简介)

国家商用密码算法简介 密码学是研究编制密码和破译密码的技术科学，起源于隐秘消息传输，在编码和破译中逐渐发展起来。密码学是一个综合性的技术科学，与语言学、数学、电子学、声学、信息论、计算机科学等有着广泛而密切的联系。密码学的基本思想是对敏感消息的保护，主要包括机密性，鉴别，消息完整性和不可否认性，从而涉及加密，杂凑函数，数字签名，消息认证码等。 一．密码学简介 密码学中应用最为广泛的的三类算法包括对称算法、非对称算法、杂凑算法。 1.1 对称密码 对称密码学主要是分组密码和流密码及其应用。分组密码中将明文消息进行分块加密输出密文区块，而流密码中使用密钥生成密钥流对明文消息进行加密。世界上应用较为广泛的包括DES、3DES、AES，此外还有Serpent，Twofish，MARS和RC6等算法。对称加密的工作模式包括电码本模式(ECB 模式)，密码反馈模式(CFB 模式)，密码分组链接模式(CBC 模式)，输入反馈模式(OFB 模式)等。1.2 非对称密码 公钥密码体制由Diffie和Hellman所提出。1978年Rivest，Shamir和Adleman提出RAS密码体制，基于大素数分解问题。基于有限域上的离散对数问题产生了ElGamal密码体制，而基于椭圆曲线上的离散对数问题产生了椭圆曲线密码密码体制。此外出现了其他公钥密码体制，这些密码体制同样基于困难问题。目前应用较多的包括RSA、DSA、DH、ECC等。 1.3杂凑算法 杂凑算法又称hash函数，就是把任意长的输入消息串变化成固定长的输出串的一种函数。这个输出串称为该消息的杂凑值。一个安全的杂凑函数应该至少满足以下几个条件。 1)输入长度是任意的； 2)输出长度是固定的，根据目前的计算技术应至少取128bits长，以便抵抗生日攻击； 3)对每一个给定的输入，计算输出即杂凑值是很容易的； 4)给定杂凑函数的描述，找到两个不同的输入消息杂凑到同一个值是计算上不可行的，或给定 杂凑函数的描述和一个随机选择的消息，找到另一个与该消息不同的消息使得它们杂凑到同一个值是计算上不可行的。 杂凑函数主要用于完整性校验和提高数字签名的有效性，目前已有很多方案。这些算法都是伪随机函数，任何杂凑值都是等可能的。输出并不以可辨别的方式依赖于输入；在任何输入串中单个比特

商用密码应用与安全性评估

商用密码应用与安全性评估 导语 密码是国之重器，是网络空间安全体系的基石，在网络安全防护中具有不可替代的重要作用。但密码技术只有得到合规、正确、有效应用，才能发挥安全支撑作用。而在实际应用中，密码技术可能被弃用、乱用、误用，导致应用系统的安全性得不到有效保障，甚至一些不合规、不安全的密码产品和实现还会遭受攻击者的入侵和破坏，造成比不用密码技术更广泛、更严重的安全问题。商用密码应用安全性评估（简称“密评”）正是为了避免或纠正密码应用过程中可能出现的安全性问题。密评是指在采用商用密码技术、产品和服务集成建设的网络与信息系统中，对其密码应用的合规性、正确性、有效性等进行评估。如同风险评估是信息安全管理过程的重要组成部分一样，密评也是密码应用管理过程的重要组成部分和不可缺失的环节。密评的重要性和必要性还在于：密评是商用密码检测认证体系建设的重要组成部分，是衡量商用密码应用是否合规、正确、有效的重要抓手。建立完善密评制度，开展密评工作，是贯彻落实密码法、维护网络空间安全、规范商用密码应用的客观要求，是深化商用密码“放管服”改革的重要手段，是商用密码管理的基础性和开创性工作，也是重要领域网络与信息系统运营者和主管部门必须承担的法定责任。 一、对商用密码的管理 商用密码产品是指采用商用密码技术实现加密解密或安全认证操作等功能的专用硬件、软件。

1、密码的分类 根据《中华人民共和国密码法》第6、7、8条：密码分为核心密码、普通密码、商用密码。 ?核心密码、普通密码： 用于保护国家秘密信息。 核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。 ?商用密码用于保护不属于国家秘密的信息。 由上述密码分类方式知，大众消费类产品所采用的密码，也属于商用密码。 2、旧条例对商用密码的专控管理 对于商用密码产品的管理，我印象非常深刻的是：1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理，规定“商用密码产品，必须经国家密码管理机构指定的产品质量检测机构检测合格”，“任何单位或个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品”。当初的这条规定，意味着所有的商用密码产品都要受到专门控制，包括大众消费类产品所采用的商用密码。比如说，某个人想使用自编的小加密程序，来加密自己的隐私数据，也需经过国家密码管理机构的认可。这在实际操作中完全是不可行的。对此，笔者一直非常困惑。 3、新密码法对商用密码的管理

商用密码产品生产管理规定

商用密码产品生产管理规定 第一条为了加强商用密码产品生产管理，规范商用密码产品生产活动，根据《商用密码管理条例》，制定本规定。 第二条本规定所称商用密码产品，是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。 第三条商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。 第四条商用密码产品由国家密码管理局指定的单位（以下称商用密码产品生产定点单位）生产。未经指定，任何单位和个人不得生产商用密码产品。 商用密码产品的品种和型号必须经国家密码管理局批准。 第五条国家密码管理局主管全国的商用密码产品生产管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第六条国家密码管理局根据商用密码发展的需要，指定商用密码产品生产定点单位。 商用密码产品生产定点单位必须具备独立的法人资格，具有与开发、生产商用密码产品相适应的技术力量和场所，具有确保商用密码产品质量的设备、生产工艺和质量保证体系，满足法律、行政法规规定的其它条件。 第七条国家密码管理局指定商用密码产品生产定点单位原则上定期集中进行。 指定商用密码产品生产定点单位的程序如下：

（一）申请单位填写《商用密码产品生产定点单位申请表》，提交所在地的省、自治区、直辖市密码管理机构； （二）省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审，提出初审意见； （三）国家密码管理局对通过初审的单位进行实地考察； （四）国家密码管理局作出指定决定并告知指定结果。 第八条被指定为商用密码产品生产定点单位的，由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。 《商用密码产品生产定点单位证书》有效期3年。 第九条商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内，到所在地的工商行政管理部门办理许可经营项目登记手续。 第十条国家密码管理局对商用密码产品生产定点单位进行年度考核。 商用密码产品生产定点单位应当于每年3月1日之前，填写《商用密码产品生产定点单位考核表》并交所在地的省、自治区、直辖市密码管理机构。省、自治区、直辖市密码管理机构应当于3月31日之前将考核意见报国家密码管理局。 考核结果由国家密码管理局公布。考核不合格的，撤销其商用密码产品生产定点单位资质。商用密码产品生产定点单位未在规定期限内填报考核材料的，视为考核不合格。 取得《商用密码产品生产定点单位证书》未满6个月的，不参加该

信息安全等级保护商用密码测评机构审批服务指引

信息安全等级保护商用密码测评机构审批 服务指南 一、适用范围 本指南适用于信息安全等级保护商用密码测评机构审批的申请和办理。 二、项目信息 项目名称：信息安全等级保护商用密码测评机构审批 子项名称：无 审批类别：非行政许可审批（正在履行新设行政许可程序） 项目编号：60012 三、办理依据 《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第九条：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。” 《信息安全等级保护管理办法》（公通字〔2007〕43号）第一条：“为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。” 第三十八条：“信息系统中的密码及密码设备的测评工

作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。” 《信息安全等级保护商用密码管理办法》（国密局发〔2007〕11号）第十一条：“信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。” 四、受理机构 国家密码管理局 五、决定机构 国家密码管理局 六、审批数量 无数量限制 七、办事条件 申请人应当具备以下条件： 1.独立法人资格的企事业单位； 2.产权关系明晰，资产总值不低于1000万元； 3.具备信息安全系统测评相关经验，具有密码相关工作经验的专业技术人员，人数不少于30人； 4.具备必要的系统测评环境、设备和设施； 5.具有完备的系统测评质量管理、安全保密管理和人员管理等规章制度； 6.申请单位的法人性质、产权构成以及组织结构能够保证其公正、独立地实施系统测评活动，不从事密码产品生产、

倪光南：航天科工“商密网”是实行自主可控替代的典型

倪光南：航天科工“商密网”是实行自主可控替代的典型 【观察者网讯】日前，在乌镇举行的第四届世界互联网大会上，中国工程院院士倪光南做了《使中国“泛互联网之树”根深叶茂》的报告。倪光南介绍称，航天科工“商密网”是实行自主可控替代的典型，此外，航天昆仑数据库一体机等人们不熟悉的自主创新实例表明，在网信领域，整体上中国已进入第一梯队，正从跟跑向跟跑并跑发展。 倪光南表示，不久前，在“砥砺奋进的五年·大型成就展”上，“泛互联网之树”成果引人注目，可以说是“根深叶茂”。 “根深”指这棵树扎根扎实，基本具备了核心芯片、基础软件、关键设备等三个方面的支撑，沿着这个方向前进，我们的网信事业就可以不受制于人、持续健康发展。 “叶茂”指这棵树惠及到社会经济的每个角落，惠及到千家万户，惠及到每一个人。今天中国的“新四大发明”——高铁、网购、移动支付和共享单车，这后三项基本上都是互联网应

用推广的成果。 根深才能叶茂。为了使“泛互联网之树”能持续发展，取得更 大成果，我们要使它扎根更深、更牢，为此要坚持安全和发展同步推进，还要尽快弥补我国网信技术的短板。 倪光南称，网信领域的软硬件是形成技术体系的，单项软硬件不成气候，要使网信事业能持续健康发展，必须打造安全可控的信息技术体系。近年来，政府部门推行国产自主可控替代计划：在桌面领域要用国产操作系统+CPU构成的电脑及其应用去替代Wintel架构电脑及其应用。 这方面我们和世界网络强国——美国相比，还有很大的差距，例如我国网信技术和产品的对外技术依存度很高。而美国网信领域几乎不依赖于外国，几乎全用本国的软硬件产品和服务。 据工信部测评，目前国产软硬件基本上达到了可用阶段，与

国产密码算法及应用

国产密码算法及应用 商用密码，是指能够实现商用密码算法的加密、解密和认证等功能的技术。（包括密码算法编程技术和密码算法芯片、加密卡等的实现技术）。商用密码技术是商用密码的核心，国家将商用密码技术列入国家秘密，任何单位和个人都有责任和义务保护商用密码技术的秘密。 商用密码的应用领域十分广泛，主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如各种安全认证、网上银行、数字签名等。 为了保障商用密码安全，国家商用密码管理办公室制定了一系列密码标准，包括SSF33、SM1（SCB2）、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法等等。其中SSF33、SM1、SM4、SM7、祖冲之密码是对称算法；SM2、SM9是非对称算法；SM3是哈希算法。 目前已经公布算法文本的包括SM2椭圆曲线公钥密码算法、SM3密码杂凑算法、SM4分组密码算法等。 一、国密算法简介 1.SM1对称密码 国密SM1算法是由国家密码管理局编制的一种商用密码分组标准对称算法，分组长度为128位，密钥长度都为128比特，算法安全保密强度及相关软硬件实现性能与AES相当，算法不公开，仅以IP

核的形式存在于芯片中。 采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域（包括国家政务通、警务通等重要领域）。2.SM2椭圆曲线公钥密码算法 SM2算法就是ECC椭圆曲线密码机制，但在签名、密钥交换方面不同于ECDSA、ECDH等国际标准，而是采取了更为安全的机制。国密SM2算法标准包括4个部分，第1部分为总则，主要介绍了ECC 基本的算法描述，包括素数域和二元扩域两种算法描述，第2部分为数字签名算法，这个算法不同于ECDSA算法，其计算量大，也比ECDSA 复杂些，也许这样会更安全吧，第3部分为密钥交换协议，与ECDH 功能相同，但复杂性高，计算量加大，第4部分为公钥加密算法，使用ECC公钥进行加密和ECC私钥进行加密算法，其实现上是在ECDH 上分散出流密钥，之后与明文或者是密文进行异或运算，并没有采用第3部分的密钥交换协议产生的密钥。对于SM2算法的总体感觉，应该是国家发明，其计算上比国际上公布的ECC算法复杂，相对来说算法速度可能慢，但可能是更安全一点。 设需要发送的消息为比特串M，len为M的比特长度。为了对明文M进行加密，作为加密者的用户应实现以下运算步骤： 步骤1：用随机数发生器产生随机数k∈[1，n -1]； 步骤2：计算椭圆曲线点C1=[k]G=(X1，Y1 )，将C1的数据类型转换为

商用密码发展规划意见思路

商用密码发展规划提纲 1.商用密码发展取得的成功经验和面临的主要问题 自1996年我国大力发展商用密码，并加强对商用密码的管理以来，我国的商用密码发展已有20多年的历史。国家密码主管部门一直采用“统筹规划、严格监管、规范行业、有序推进”的工作原则，有力促进了我国各类商用密码资源发展的快速进步和发展。 然而自党的十八大以来，转变政府职能已经成为深化经济体制改革和行政体制改革的关键。随着“放管服”改革工作的全面深化的不断推进，对商用密码管理工作出现了许多新情况新变化。今年“商用密码产品定点生产单位”资质和“商用密码产品销售许可单位”资质已经被取消，更加有效、便利的事中事后监管措施将被建立，《电子认证服务密码管理办法》也将再次进行修订，这使得密码使用监管的边界问题需要进一步被研究规范。 目前国内商用密码企业呈现了分布均衡的良好发展态势。目前，我国已颁布53个密码行业标准，经国家密码主管部门商用密码产品销售许可单位有近1000个，批准密码上市销售产品1900余款。商用密码技术已经被在电子政务、电子商务等领域广泛应用，涉及到社会生活的各个角落。 然而从政府部门到人民群众对密码的认识都不够，缺乏对信息安全的保护意识，这也造成了一些面向公众的服务还缺乏商用密码的保护。各省市之间商用密码的发展和应用也不平衡，安全存在薄弱环节。 2.商用密码发展的阶段特征、存在的主要矛盾、发展的主要任务 （1）对密码工作的严格管控和密码应用的灵活需求之间的矛盾，主要任务是确立密钥服务的职责边界。 （2）互联网技术的迅猛发展对密码技术提出的挑战（大数据、云计算、物联网、区块链），主要任务是使用密码技术对这些新技术的应用及时 进行保障。 （3）日益增长的密码应用需要和缺乏信息安全保护意识的矛盾，主要任务是对信息安全知识、密码知识的科普。 3.商用密码在密码工作和密码科学发展中的地位和作用 商用密码是密码工作面向公众的桥梁，是密码工作真正为广大人民群众服务、

商用密码产品开发和生产管理条例

商用密码管理条例 第一章总则 第一条为了加强商用密码管理，保护信息安全，保护企业和商用密码产品用户的合法权益，制定本条例。 第二条本条例所称商用密码，是指对不涉及公司秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。 第二章科研、生产管理 第三条本公司是由国家密码管理机构指定的商用密码产品销售许可单位，具有相应的技术力量和设备，能够采用先进的编码理论和技术，编制的商用密码算法具有较高的保密强度和抗攻击能力。 第四条商用密码的科研成果，需要由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。 第六条生产的商用密码产品的品种和型号，必须经国家密码管理机构批准，并不得超过批准范围生产商用密码产品。 第七条商用密码产品，必须经国家密码管理机构指定的产品质量检测机构检测合格。 第三章销售管理 第八条本单位已通过国家密码管理机构许可，可合法的销售商用密码产品。 第九条销售商用密码产品，应当严格按照国家密码局颁布的商用密码销售许可条例，并且应配备一下条件： （一）有熟悉商用密码产品知识和承担售后服务的人员； （二）有完善的销售服务和安全管理规章制度； （三）有独立的法人资格。 第十条销售商用密码产品，必须如实登记直接使用商用密码产品的用户的名称（姓名）、地址（住址）、组织机构代码（居民身份证号码）以及每台商用密码产品的用途，并及时的将登记情况报国家密码管理机构备案。（一个季度进行一次季报） 第四章使用管理 第十一条销售人员只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。 第十二条已购买商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品发生故障，报废、销售商用密码产品，应指派专人进行维修、并向国家密码管理机构备案。 第五章安全、保密管理 第十三条商用密码产品的科研、生产，应当在符合安全、保密要求的环境中进行。销售、运输、保管商用密码产品，应当采取相应的安全措施。 任职商用密码产品的科研、生产和销售的人员，必须对所接触和掌握的商用密码技术承担保密义务。 第十四条宣传、公开展览商用密码产品，必须事先报国家密码管理机构批准。 第六章附则

商用密码-保障信息安全的重要手段

踩ｏ∞ 躲珀—，踩。。躲廿 ‘０ｏｏＮ１０ 王长喜主任近照 当前，我国正在大力发展信息化，信息安全问题越来越受 到大家的重视，因为没有信息安全作保障，信息化就不能健康 发展，这也是世界各国搞信息化建设的共识。现在，从中央到 地方，各级党委和政府都高度重视信息安全保障工作，非常重 视利用密码来保障信息安全。因为，当今世界围绕信息获取和 控制的斗争相当激烈，我们不得不重视对重要信息和信息系统 进行安全保护，不得不重视发挥密码在保障信息安全中的作用。 密码技术是保障信息安全的关键和核心技术。密码是解决 信息安全最有效、最可靠、最经济的方式，是网络环境下实现 信息保护和安全认证的有效手段，在网络与信息系统的数据保 护、安全接入、信任体系建设等方面发挥着基础性的作用。在现代网络 环境下，保障信息安全就是要保障信息的机密性、完整性、可用性、抗 抵赖性和可控性。尽管信息安全技术多种多样，但从目前的技术发展来 看，许多信息安全问题，还必须通过采用密码技术加以解决。保障信息 安全已离不开密码。好的密码不仅要具有足够的强度，不能轻易被破 解，还要具有足够的实现效率，并适合于各种环境下的软硬件实现。现 在普遍应用的密码主要以数学为基础，在具体应用和实现中，要通过综 合利用集成电路技术、信息技术、微电子技术、计算机技术等来实现。 无论在革命战争年代还是在社会主义建设时期，密码都发挥着及其 重要的作用。密码是国家重要的战略资源，在我国的使用已经有相当长 的历史。例如，我们大家都熟知的《红灯记））、（（永不消失的电波》等影 片中就可以看到涉及密码的情节。革命战争年代，我方密码工作人员利 用密码技术千方百计地保护自己的重要信息和获取敌方的信息，为保障 战争胜利和加快战争进程发挥了不可替代的作用；解放后，密码在推进 国民经济建设、维护社会稳定以及外交斗争、科学研究和党政军部门重 要信息保护方面发挥了重要的作用。 在党中央、国务院的高度重视下，对不涉及国家秘密内容的信息进 行加密保护或安全认证的商用密码得到快速发展和广泛应用。密码技术 传统的用途是对通信信息进行加密保护。过去，密码在社会上广泛使用 几乎是人们不敢想象的。随着我国信息化进程的不断加快，大量的信息 安全问题需要使用密码技术解决。为适应这种需要，１９９６年党中央决定 在我国大力发展商用密码。１９９９年１０月国务院颁布实施《商用密码管 理条例》，使我国商用密码的发展和管理步入法制化轨道。商用密码是 对不涉及国家秘密内容的信息进行加密保护或安全认证的密码。凡是对 不涉及国家秘密内容的信息进行加密保护或安全认证的一切单位都可以 使用商用密码。从此，密码从为国家重要机关服务，逐步走向社会，为 社会的信息化广泛服务，并为广大企业和老百姓服务。根据中央确定的 “统一领导，集中管理，定点研制，专控经营，满足使用”的二十字方 针和《商用密码管理条例》的规定，国家密码管理局为商用密码主管部 门，履行对全国商用密码的管理职能，对商用密码的科研、生产、销售 和使用实施具体的管理。中办发［２００３］２７号文件，要求“加强以密码技 国家窭码管理局总工程 师 　万方数据

电子商务法律法规

1、电子商务法的概念：电子商务法是指调整电子商务活动中所产生的社会关系的法律规范的总称，是一个新兴的综合法律领域。 国际电子商务相关法规包括：《计算机记录法律价值的报告》、《电子资金传输示范法》、《电子商务示范法》、《电子商务示范法实施指南》以及《统一电子签名规则》等。 三、我国电子商务的法律环境建立 要使我国电子商务快速稳健地发展，除了完备的技术支持和良好的经济环境外，与之相匹配的法律制度更是必不可少。电子商务法应将在保留和遵循商法基本原理的基础上,逐步扬弃规范传统商业活动的内容,增加和补充用以规范电子商务活动的内容。基于世界电子商务立法的经验教训和我国的具体国情，我觉得我国电子商务法律体系建设应从以下几个方面入手。 (二)我国电子商务法的发展 《中华人民共和国合同法》已于今年三月十五日由全国人大通过，并将在今年十月一日开始实施，它首次明确了电子合同的合法地位，为我国电子商务的发展奠定了法律基础，但电子合同毕竟不同于传统书面合同，而且在电子商务活动中与合同相关的记录、文件、单证、凭证等的电子化等实际操作问题，相关法律法规尚待同步，社会的认知程度也不同。再者，首都电子商城的商务活动将不会局限于首都电子商城内。所以，立法仍需改进。 随之，《首都电子商城电子商务规则》由首都电子商城起草并主持修订，经北京仲裁委员及相关法律界专家的多次研讨，不断修改完善，并在由全国人大法工委、国务院法制局、市府法制办及法律、知识产权、金融等行业专家参加的多次研讨会上，得到专家们的进一步修改完善和肯定，认为本规则已具实用意义，可以试行，以积累经验。 《电子签名法》的出台是我国电子商务发展的里程碑，它的颁布和实施必将扫除电子签名在电子商务、电子政务和其他领域中应用的法律障碍，极大地改善我国电子签名应用的法制环境，从而大力推动我国信息化的发展。我国电子签名法的起草，经历了征求意见稿、草案和最终稿三个阶段。整个起草过程也是对电子签名这一新型核证技术的认识逐步深化的过程。 (三)我国电子商务法的立法模式构想 对于电子商务的立法模式，理论界有两种不同的观点：一是主张先就电子商务出现的具体法律问题，先行制定单行规则或修订传统法律，形成统一思路后，再制定电子商务基本法;二是主张先制定电子商务基本法，然后以基本法为指导思想，就各个具体问题制定单行规则或修订传统法律。以上两种立法模式各有利弊。第一，我国电子商务已经有过几年的发展历程，开始渗透传统领域，并出现了一些现实的法律问题，为电子商务立法提供了立法需求;第二，国际电子商务立法较为成熟，有可借鉴的经验;第三，我国近年来出台了一些规范信息市场、促进信息产业发展等方面的法规规范，为出台电子商务基本法奠定了立法基础。 总而言之，在电子商务这种新兴的贸易方式冲击传统商务活动的同时，电子商务的新法律制度框架必然会有一个与传统商法不断协调和融合的时期，但这是必然也必经的阵痛。惟有如此，电子商务法律才能不断成熟和完善，从而电子商务才能得到健康持续地发展，成为扎实的国民经济增长点，为提升我国的综合实力服务。 国外电子商务立法现状 电子商务立法，是近几年世界商事立法的重点。电子商务立法的核心，主要围绕电子签名、电子合同、电子记录的法律效力展开。从1995年美国犹他州颁布《数字签名法》至今，已有几十个国家、组织和地区颁布了与电子商务相关的立法，其中较重要或影响较大的有：联合国贸易法委员会1996年的《电子商务示范法》和2000年的《电子签名统一规则》，欧盟的《关于内部市场中与电子商务有关的若干法律问题的指令》和《电子签名统一框架指令》，德国1997年的《信息与通用服务法》，俄罗斯1995年的《俄罗斯联邦信息法》，新加坡1998

商用密码测评

按照测评内容的不同，密码测评体系主要分为三个层次：密码算法测评、密码模块测评和密码系统评估。密码算法测评的主要对象是底层的密码算法，如分组算法、序列算法、公钥算法；实现了密码算法的密码模块是密码评测的第二层内容，密码模块有硬件实现、软件实现、或软硬件混合实现等方式；实现了多个密码模块的密码系统是评测体系的第三层内容。由于密码系统最终会由其他应用所使用，所以密码系统的评估对于信息安全、应用系统稳定也有重要的意义。 密码算法测评现有的技术存在一些问题：如检测方法过多地集中于黑盒式测试；缺乏有效的白盒测试方法；密码分析的自动化程度偏低，主要还是使用人工测试为主；检测方法存在着大量冗余检测，很多检测方法存在重叠，检测效率较低；算法评估缺乏科学有效的评估模型与机制，无法有效的评估密码算法是否合规是否安全。我们密码算法测评的研究也主要是研究这些问题的解决方法，主要的研究内容有：1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。2、检测方法相关性分析研究,研究各类现有检测方法，分析其关联性，提高检测效率。3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。4、评估模型、密码检测指标研究,形成密码评估检测标准，为密码算法的合理评估提供科学依据与量化指标。 关于密码模块的测评研究，我们主要集中在密码模块的自动化检测技术方面，主要包括密码模块实现正确性检验、实现安全性检验以

及实现效率检测等内容。密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提供科学的参考数据，从而提高对密码产品安全隐患的发现能力。 密码系统评估技术研究,可以使用一个金字塔模型来概括：（一）研究适合于密码系统的风险评估原理和模型；（二）研究能够反映密码系统安全性需求的指标体系，包括评估准则、风险指标体系的建立等；（三）研究密码系统的评估方法和密码系统安全风险管理；（四）研究密码系统评估的原型系统设计与实现等内容；最终达到金字塔的顶端：形成完善的密码系统评估准则；合理的密码系统评估流程；实用的密码系统评估方法。概括的讲就是“四个层次三个目标”。 密码测评的研究具有重要的现实意义：1、提高密码测评的基础理论水平：增强对密码测评基础理论与关键技术的研究支持。提高我国密码测评的基础理论水平，从根本上提升我国检测认证工作的先进性。2、增强对密码测评标准规范的研究与相关工作的制定：密码检测系列标准规范，它将为密码算法和密码产品测评的合理化、规范化提供重要的共性技术支撑。3、增强对密码测评自动化工具与平台的研究支持:研制密码测评工具平台将大大提高测评效率，增强检测健壮性，也将有效促进密码测评技术在信息安全领域的应用。4、增强密码测评人才队伍的建设：密码检测认证人员将成为信息安全从业人员的重要组成部分

境外组织和个人在华使用密码产品管理办法

国家密码管理局公告 （第9 号） 现公布《境外组织和个人在华使用密码产品管理办法》，自2007年5月1日起施行。 国家密码管理局 2007年3月24日境外组织和个人在华使用密码产品管理办法 第一条为了规范境外组织和个人在中国境内使用密码产品以及含有密码技术的设备（以下统称密码产品）的行为，根据《商用密码管理条例》，制定本办法。 第二条境外组织和个人在中国境内使用密码产品的行为适用本办法。外国驻华使馆、领事机构，国际组织驻华代表机构等享有相应特权和豁免权的机构除外。 第三条本办法所称境外组织，是指依照外国法律在中国境外成立的组织，包括这些组织在中国境内设立的分支机构、办事机构、代表机构等。 本办法所称境外个人，是指依照《中华人民共和国国籍法》不具有中国国籍的人。

本办法所称密码产品，是指采用密码技术对信息进行加密保护或安全认证的产品，包括境外生产的密码产品和中国生产的密码产品。 第四条国家密码管理局主管境外组织和个人在中国境内使用密码产品的管理工作。 省、自治区、直辖市密码管理机构依据本办法承担有关管理工作。 第五条境外组织或个人在中国境内使用密码产品，应当事先填写《境外组织或个人使用密码产品申报登记表》，交所在地的省、自治区、直辖市密码管理机构。 省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内，对《境外组织或个人使用密码产品申报登记表》进行审查并报国家密码管理局。 国家密码管理局应当自省、自治区、直辖市密码管理机构受理申请之日起20个工作日内，对《境外组织或个人使用密码产品申报登记表》进行审核。准予使用的，发给《境外组织或个人使用密码产品准用证》。 《境外组织或个人使用密码产品准用证》有效期3年。 第六条境外组织或个人使用的密码产品需要从境外进口的，应当申请办理《密码产品进口许可证》。 密码产品入境时，境外组织或个人应当向海关如实申报并提交《密码产品进口许可证》，海关凭此办理验放手续。

商用密码产品使用管理规定

商用密码产品使用管理规定 国家密码管理局公告 （第 8 号） 现公布《商用密码产品使用管理规定》，自2007年5月1日起施行。 国家密码管理局 2007年3月24日 商用密码产品使用管理规定 第一条为了规范商用密码产品使用行为，根据《商用密码管理条例》，制定本规定。 第二条中国公民、法人和其他组织使用商用密码产品的行为适用本规定。 第三条本规定所称商用密码产品，是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品。 第四条国家密码管理局主管全国的商用密码产品使用管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第五条中国公民、法人和其他组织需要对不涉及国家秘密内容的信息进行加密保护或安全认证的，均可以使用商用密码产品。 使用商用密码产品，应当遵守国家法律，不得损害国家利益、社会公共利

益和其他公民的合法权益，不得利用商用密码产品进行违法犯罪活动。 第六条中国公民、法人和其他组织都应当使用国家密码管理局准予销售的商用密码产品，不得使用自行研制的或境外生产的密码产品。 国家密码管理局定期公布准予销售的商用密码产品目录。 第七条需要使用商用密码产品的，应当到商用密码产品销售许可单位购买。 购买商用密码产品应当向商用密码产品销售许可单位出示本人身份证，说 明直接使用商用密码产品的用户名称（姓名）、地址（住址）以及产品用途， 提供用户组织机构代码证（居民身份证）复印件。 第八条需要维修商用密码产品的，应当交该产品的生产单位或销售单位维修。 第九条外商投资企业（包括中外合资经营企业、中外合作经营企业、外资企业、外商投资股份有限公司等）确因业务需要，必须使用境外生产的密码产 品与境外进行互联互通的，经国家密码管理局批准，可以使用境外生产的密码 产品。 外商投资企业申请使用境外生产的密码产品，应当事先填写《使用境外生 产的密码产品登记表》，交所在地的省、自治区、直辖市密码管理机构。 省、自治区、直辖市密码管理机构自受理申请之日起5个工作日内，对 《使用境外生产的密码产品登记表》进行审查并报国家密码管理局。 国家密码管理局应当自省、自治区、直辖市密码管理机构受理申请之日起 20个工作日内，对《使用境外生产的密码产品登记表》进行审核。准予使用的，发给《使用境外生产的密码产品准用证》。 《使用境外生产的密码产品准用证》有效期3年。 第十条使用境外生产的密码产品的外商投资企业的名称、地址、密码产品用途发生变更的，应当自变更之日起10日内，到所在地的省、自治区、直辖市密码管理机构办理《使用境外生产的密码产品准用证》更换手续。 第十一条外商投资企业终止使用境外生产的密码产品的，应当自终止使用之日起30日内，书面告知所在地的省、自治区、直辖市密码管理机构，并交回《使用境外生产的密码产品准用证》。 第十二条外商投资企业申请使用的密码产品需要从境外进口的，应当申请办理《密码产品进口许可证》。 密码产品入境时，外商投资企业应当向海关如实申报并提交《密码产品进 口许可证》，海关凭此办理验放手续。 第十三条用户不得转让其使用的密码产品。 第十四条违反本规定的行为，依照《商用密码管理条例》予以处罚。

05.信息安全等级保护商用密码系统安全测评流程详解

信息安全等级保护商用密码系统安全测评流程详解 信息安全等级保护商用密码系统安全测评流程图测评申请 现场检测 报告与结论

一、检测依据 《信息安全等级保护商用密码管理办法》 《信息安全等级保护商用密码技术实施要求》 《信息系统安全等级保护基本要求》 二、检测范围 信息安全等级为三级以上（含三级）信息系统中的商用密码系统。 三、检测程序 上海市信息安全测评认证中心（以下简称测评中心）的商用密码系统安全等级保护测评工作拟分以下三个阶段进行： 1．测评申请阶段 1）填写文档 申请单位可到上海市信息安全测评认证中心网站https://www.360docs.net/doc/1a655135.html,下载《信息安全等级保护商用密码系统安全测评申请书》，并填写相关信息。 2）提交申请 申请单位： l须按照申报表的要求，据实填写（用Word录入排版）。 l提交申报表纸质版1份（加盖单位公章）、电子版本1份,并送交测评中心。 l须同时提交上海市密码管理局有关收到“信息安全等级保护商用密码产品备案表”的确认回执单。 3)受理申请 测评中心对申请单位提交的有关材料进行审核后，对符合测评条件的予以受理，并协商有关测评的费用，发放测评受理单或签订相关委托测评协议。 2．现场检测阶段 测评中心组成检测小组对现场商用密码信息系统进行调研，明确商用密码产

品实际使用情况和系统相关信息。 测评中心按照信息安全等级保护商用密码技术实施要求等技术规范要求以及实验室质量体系管理的要求，和申请单位及相关集成单位协商制订测试方案、测试计划，并实施测试任务。 3．报告与结论阶段 测评中心检测小组对现场采集的检测结果数据进行分析，形成有关商密系统的安全测评意见，并告知申请单位。 测评中心最后向申请单位出具安全测评报告，并将有关测评情况和安全测评结论报送上海市密码管理局。

2019年商用密码信息安全企业三年发展战略规划

2019年商用密码信息安全企业三年发展战略规划 2019年11月

目录 一、公司整体发展目标 (3) 1、坚持科技创新打造关键核心技术 (3) 2、坚持围绕核心技术打造成熟商业模式 (3) 3、坚持应用牵引加速企业成长 (3) 二、未来三年的发展规划和目标 (4) 1、产品和技术纵深化 (4) 2、市场和营销纵深化 (4) 3、行业应用领域纵深化 (4) 三、为实现发展规划已采取的措施及实施效果 (5) 1、打通技术主线，形成全技术链布局 (5) 2、建设服务主线，构建开放信息安全服务能力 (5) 3、创新实践布局，抢抓万物互联新兴市场机遇 (6) 四、未来规划采取的措施 (6) 1、持续加大研发投入 (6) 2、进一步提升公司治理能力 (6) 3、积极引进优秀人才 (7) 4、充分发挥筹集资金的作用 (7)

一、公司整体发展目标 公司将围绕国家信息安全保障要求，基于国家商用密码标准和行业技术体系，提供一体化的信息安全服务解决方案，构建保障国家关键信息基础设施的国密密码基础服务，构筑坚实的信息安全防护长城，建设国家网络安全的信息安全疆域；奋力成为移动信息安全领域的引领者，密码服务领域的开拓者，国家密码服务基础设施的筑基者。公司将着力做好以下工作： 1、坚持科技创新打造关键核心技术 聚焦研发设计，坚持投入科技创新，专注自主可控国密系列安全芯片创新设计与安全服务云平台研发，突破影响产业发展的核心技术和关键产品。 2、坚持围绕核心技术打造成熟商业模式 加大“移动互联网、物联网信息安全服务”创新投入力度，全面提升公司基于国密技术体系的信息安全服务能力，提升公司产业核心竞争力。 3、坚持应用牵引加速企业成长 面对万物互联时代带来的信息安全市场机遇，加快安全可控的信息安全技术、产品和服务的应用推广，进一步提升企业的成长性。

商用密码发展

信息安全与商用密码 中国工程院院士蔡吉人 一、密码在信息化社会中的作用和地位 信息革命浪潮席卷全球，已成为不可逆转之势。我国高度重视信息化，制定了“发展信息技术，以信息化带动工业化”的发展战略。信息是国家发展的重要资源。伴随着信息网络化的发展，国际上围绕信息获取、利用和控制的斗争愈演愈烈，“制信息权”成为各国竞争的制高点，信息安全已成为不可回避的现实挑战。 密码是保障信息安全的核心技术，是网络环境下实现信息保护和安全认证的有效手段。在解决网络信息系统的身份认证、安全接入以及信息的保密性、完整性和不可否认性等方面发挥着特殊的不可替代的作用，有效地使用密码技术是网络安全风险控制的关键。 美国政府在强调密码在信息时代的作用时认为：“国家密码政策的正确作用应该是，有利于从充满信息脆弱性的当今世界明智地过渡到具有高度信息安全性的未来世界”。密码学家Schneier也说过：“加密术是网络空间的核心技术。如果没有密码术，电子商务将永远无法成为主流。” 当前，随着信息网络的发展，密码应用领域不断拓宽。密码在为党、政、军各级领导机关提供秘密通信的同时，已广泛应用于经济、科技、文化和社会生活的各个领域，成为现代社会的重要战略资源。因此，我们要充分发挥密码在保障国家安全、社会稳定、经济发展和公众利益中的重要作用，促进国家信息化的健康发展。 二、密码领域面临的新形势和新挑战 1.密码发展历史的简要回顾 密码已有几千年的历史。在很长一段时间里，密码都是作为一种隐蔽通信技术。密码称为一门完整的、成熟的学科，还是20世纪50年代的事情。 ● 1949年，信息论创始人Shannon发表的经典论文“保密通信的信息理论”，将密码学的研究引入了科学的轨道。

一文读懂商用密码应用性评估流程

一文读懂商用密码应用性评估流程 由海量数据、复杂结构、多样应用共同组成的“网络空间”，已经成为继陆地、海洋、天空、太空之后的“第五空间”，并且已经演变成各个国家争抢的新领域，以及未来军事较量的新战场。网络空间已经纳入国家安全战略范围。 由海量数据、复杂结构、多样应用共同组成的“网络空间”，已经成为继陆地、海洋、天空、太空之后的“第五空间”，并且已经演变成各个国家争抢的新领域，以及未来军事较量的新战场。网络空间已经纳入国家安全战略范围。 一、法律规定

《中华人民共和国密码法》第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。二、密评的意义 密评是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性、有效性进行评估的活动。 密评是衡量商用密码应用是否合规、正确、有效的重要手段，也是维护网络空间安全、规范商用密码应用的客观要求，同时也是加强事中和事后监管的方法，是网络信息系统运营者和主管部门必须承担的法律责任。 三、密评职责 1、网络信息系统责任单位 ?规划阶段依据商密技术标准制定合规的密码应用方案。 ?系统建设完成后，开展密评，合格后投入运行。 ?运行期间定期开展密评，不断整改优化。 ?发生安全事件时，开展密评，进行应急处置和安全方案措施。 ?完成密评工作后，要在30个工作日内到本地密码管理部门备案。 2、测评机构和测评人员 ?经过国家密码管理部门审核，取得资格，纳入测评机构目录。 ?按照法律法规和标准要求科学、公正的开展密评。