等级测评与密码应用安全性评估-深圳网安

商用密码应用与安全性评估导语密码是国之重器，是网络空间安全体系的基石，在网络安全防护中具有不可替代的重要作用。

但密码技术只有得到合规、正确、有效应用，才能发挥安全支撑作用。

而在实际应用中，密码技术可能被弃用、乱用、误用，导致应用系统的安全性得不到有效保障，甚至一些不合规、不安全的密码产品和实现还会遭受攻击者的入侵和破坏，造成比不用密码技术更广泛、更严重的安全问题。

商用密码应用安全性评估（简称“密评”）正是为了避免或纠正密码应用过程中可能出现的安全性问题。

密评是指在采用商用密码技术、产品和服务集成建设的网络与信息系统中，对其密码应用的合规性、正确性、有效性等进行评估。

如同风险评估是信息安全管理过程的重要组成部分一样，密评也是密码应用管理过程的重要组成部分和不可缺失的环节。

密评的重要性和必要性还在于：密评是商用密码检测认证体系建设的重要组成部分，是衡量商用密码应用是否合规、正确、有效的重要抓手。

建立完善密评制度，开展密评工作，是贯彻落实密码法、维护网络空间安全、规范商用密码应用的客观要求，是深化商用密码“放管服”改革的重要手段，是商用密码管理的基础性和开创性工作，也是重要领域网络与信息系统运营者和主管部门必须承担的法定责任。

一、对商用密码的管理商用密码产品是指采用商用密码技术实现加密解密或安全认证操作等功能的专用硬件、软件。

1、密码的分类根据《中华人民共和国密码法》第6、7、8条：密码分为核心密码、普通密码、商用密码。

•核心密码、普通密码：用于保护国家秘密信息。

核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。

•商用密码用于保护不属于国家秘密的信息。

由上述密码分类方式知，大众消费类产品所采用的密码，也属于商用密码。

2、旧条例对商用密码的专控管理对于商用密码产品的管理，我印象非常深刻的是：1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理，规定“商用密码产品，必须经国家密码管理机构指定的产品质量检测机构检测合格”，“任何单位或个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品”。

密码安全测评资质密码安全测评是一种评估组织的网络系统安全性和对外界风险的能力的方法。

通过密码安全测评，组织能够了解自身存在的安全风险，并采取相应的措施来保护自身免受外界的攻击。

在进行密码安全测评时，需要具备相应的资质和技能。

以下是一些常见的密码安全测评资质。

1. CISSP（Certified Information Systems Security Professional）CISSP是国际信息系统安全认证联盟（ISC2）颁发的权威认证。

持有CISSP证书的人员具备深厚的信息安全背景和知识，能够进行全面的安全评估，并提供有效的安全建议。

2. CISA（Certified Information Systems Auditor）CISA是由ISACA颁发的全球认可的信息系统审计师证书。

持有CISA证书的人员具备审计、控制和安全知识，能够评估和监控组织的信息系统和技术环境。

3. CEH（Certified Ethical Hacker）CEH是由国际安全技术组织EC-Council颁发的认证。

持有CEH证书的人员了解黑客的攻击技术和方法，并能够以黑客的角度评估组织的安全性，发现潜在的威胁和漏洞。

4. OSCP（Offensive Security Certified Professional）OSCP是由Offensive Security颁发的认证。

持有OSCP证书的人员具备渗透测试和攻击技术的实践经验，能够模拟黑客攻击组织的网络系统，并发现安全漏洞。

5. GPEN（GIAC Penetration Tester）GPEN是由全球信息保护认证（GIAC）颁发的全球认可的渗透测试师证书。

持有GPEN证书的人员了解渗透测试的各个方面，能够评估和测试组织的安全性，并给出改进建议。

6. LPT（Licensed Penetration Tester）LPT是由EC-Council颁发的认证。

持有LPT证书的人员是经过严格训练和测试的专业渗透测试师，能够进行全面的渗透测试工作，并提供有效的安全建议。

国家密码管理局关于商用密码检测机构（商用密码应用安全性评估业务）资质申请通过技术评审的机构名单的公示文章属性•【制定机关】国家密码管理局•【公布日期】2024.10.28•【文号】•【施行日期】2024.10.28•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保密正文商用密码检测机构（商用密码应用安全性评估业务）资质申请通过技术评审的机构名单公示依据《商用密码管理条例》、《商用密码检测机构管理办法》有关规定，国家密码管理局组织对首批商用密码检测机构（商用密码应用安全性评估业务）资质申请开展了技术评审，现对通过技术评审的机构名单进行公示。

公示期间，任何机构及个人均可通过申请机构所在地省、自治区、直辖市密码管理部门向我局实名提出书面意见（以邮寄方式提交意见的，提交时间以寄出时间为准），所提意见需以纸质形式提供，加盖机构公章或个人签字，附机构身份证明文件或个人身份证复印件，以及相关佐证材料和联系方式。

公示不接受匿名反映。

公示时间：自2024年10月28日起，至11月3日止，逾期不再受理。

附件：商用密码检测机构（商用密码应用安全性评估业务）资质申请通过技术评审的机构名单国家密码管理局2024年10月28日附件商用密码检测机构（商用密码应用安全性评估业务）资质申请通过技术评审的机构名单（排名不分先后）北京市（联系电话：010—55566259）北京国家金融科技认证中心有限公司北京京投信安科技发展有限公司北京全路通信信号研究设计院集团有限公司北京时代新威信息技术有限公司北京市产品质量监督检验研究院北京中科卓信软件测评技术中心北京卓识网安技术股份有限公司工业和信息化部密码应用研究中心公安部第一研究所信息安全等级保护测评中心公安部网络安全等级保护评估中心国家广播电视总局广播电视科学研究院国家信息技术安全研究中心国网计量中心有限公司商用密码检测认证中心中电信数智科技有限公司中国电子技术标准化研究院中国电子科技集团公司第十五研究所中国航天系统科学与工程研究院中国科学院软件研究所中国科学院数据与通信保护研究教育中心中国软件评测中心（工业和信息化部软件与集成电路促进中心）中国铁道科学研究院集团有限公司中国移动通信有限公司研究院中科信息安全共性技术国家工程研究中心有限公司天津市（联系电话：022—88354438）天津恒御科技有限公司天津鲲奥世达科技有限公司天津联信达软件技术有限公司天津市兴先道科技有限公司天津云安科技发展有限公司中互金认证有限公司河北省（联系电话：0311—87808811）河北千诚电子科技有限公司河北赛克普泰计算机咨询服务有限公司中国电子科技集团公司第五十四研究所山西省（联系电话：0351—8268850）山西晋信安科技有限公司太原清众鑫科技有限公司内蒙古自治区（联系电话：0471—4812870）内蒙古万邦信息安全技术有限公司信元网络技术股份有限公司辽宁省（联系电话：024—23218709）北方实验室（沈阳）股份有限公司辽宁牧龙科技有限公司沈阳赛宝科技服务有限公司吉林省（联系电话：0431—88902719）长春金阳高科技有限责任公司上海市（联系电话：021—64337761）国家网络与信息系统安全产品质量检验检测中心上海计算机软件技术开发中心上海市信息安全测评认证中心智巡密码（上海）检测技术有限公司江苏省（联系电话：025—83391675）江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）金盾检测技术股份有限公司南京南自数安技术有限公司苏州市软件评测中心有限公司浙江省（联系电话：0571—88900919）杭州安信检测技术有限公司杭州中尔网络科技有限公司浙江辰龙检测技术有限公司浙江东安检测技术有限公司浙江省电子信息产品检验研究院浙江鑫诺检测技术有限公司安徽省（联系电话：0551—62609967）安徽科测信息技术有限公司安徽信科共创信息安全测评有限公司安正网络安全技术有限公司合肥天帷信息安全技术有限公司福建省（联系电话：0591—87812717）福建金密网络安全测评技术有限公司福建智安信息技术有限公司江西省（联系电话：0791—88910752）江西神舟信息安全评估中心有限公司江西省网络安全研究院江西智慧云测安全检测中心股份有限公司山东省（联系电话：0531—51776535）高维密码测评技术（山东）有限公司山东维平信息安全测评技术有限公司山东新潮信息技术有限公司河南省（联系电话：0371—65866133）顶盛科技股份有限公司中科安永科技有限公司湖北省（联系电话：027—66995307）湖北东方网盾信息安全技术有限公司湖北星野科技发展有限公司武汉安域信息安全技术有限公司武汉等保测评有限公司湖南省（联系电话：0731—81125243）湖南省金盾信息安全等级保护评估中心有限公司长沙云创信安科技有限公司广东省（联系电话：020—87196254）鼎铉商用密码测评技术（深圳）有限公司工业和信息化部电子第五研究所广东南方信息安全研究院广东中科实数科技有限公司广州竞远安全技术股份有限公司广州市盛通建设工程质量检测有限公司深圳市博通智能技术有限公司深圳市网安计算机安全检测技术有限公司广西壮族自治区（联系电话：0771—5899331）广西网信信息技术有限公司广西壮族自治区电子信息和网络安全测评研究院海南省（联系电话：0898—65334941）海南百安信息技术有限公司海南神州希望网络有限公司海南省国盾信息化发展有限公司海南正邦信息科技有限公司重庆市（联系电话：023—63898690）重庆衡鉴信息技术有限公司重庆若可网络安全测评技术有限公司重庆市信息通信咨询设计院有限公司重庆信安网络安全等级测评有限公司重庆信息通信研究院重庆巽诺科技有限公司重庆煜享星科技有限责任公司四川省（联系电话：028—63092325）成都安美勤信息技术股份有限公司成都创信华通信息技术有限公司成都久信信息技术股份有限公司成都市信息系统与软件评测中心豪符密码检测技术（成都）有限责任公司四川省电子产品监督检验所贵州省（联系电话：0851—85892347）贵州航天计量测试技术研究所云南省（联系电话：0871—63994088 ）云南金质信息技术服务有限公司云南云盾信息安全测评有限公司陕西省（联系电话：029—63909155）颢安检测技术（西安）有限责任公司陕西青山四纪信息技术有限公司西安安盟智能科技股份有限公司西安长盛信安信息技术有限公司甘肃省（联系电话：0931—8922926）甘肃安信信息安全技术有限公司青海省（联系电话：0971—8482403）青海信安正创检测技术有限公司宁夏回族自治区（联系电话：0951—6668718）宁夏泽新信息技术服务有限公司。

商用密码应用与安全性评估随着信息技术的发展，密码应用已经成为商业领域中保护数据安全的重要手段。

然而，密码应用的安全性问题也日益引起人们的关注。

本文将从商用密码应用的现状入手，探讨商用密码应用的安全性评估方法，并结合实际案例分析商用密码应用的安全性问题。

一、商用密码应用的现状随着企业信息化程度的提高，密码应用已经成为保护企业数据安全的重要手段。

在商业领域中，各种密码应用层出不穷，如口令、指纹、面部识别等。

密码应用的安全性是商业应用的重要指标之一。

然而，目前市场上存在着一些安全性问题突出的商用密码应用。

二、商用密码应用的安全性评估方法为了提高商用密码应用的安全性，需要对其进行安全性评估。

商用密码应用的安全性评估方法包括以下几个方面：1.密码强度评估密码强度评估是商用密码应用安全性评估的重要环节之一。

密码强度评估可以通过密码破解软件进行模拟攻击，检测密码强度，从而提高密码的安全性。

2.漏洞扫描漏洞扫描是商用密码应用安全性评估的另一个重要环节。

漏洞扫描可以检测商用密码应用中可能存在的漏洞，从而及时修复漏洞，提高商用密码应用的安全性。

3.安全性测试安全性测试是商用密码应用安全性评估的最后一个环节。

安全性测试可以模拟攻击，检测商用密码应用的安全性，从而提高商用密码应用的安全性。

三、商用密码应用的安全性问题分析商用密码应用存在着一些安全性问题，如密码强度不足、漏洞较多等。

下面将结合实际案例分析商用密码应用的安全性问题。

1.密码强度不足密码强度不足是商用密码应用安全性问题的一个重要方面。

密码强度不足会导致密码易被破解，从而造成数据泄露。

例如，某企业使用的密码为“123456”，这种密码强度过低，容易被破解，从而导致企业数据泄露。

2.漏洞较多商用密码应用中存在着较多的漏洞，这些漏洞会被黑客利用，从而导致数据泄露。

例如，某企业使用的商用密码应用存在SQL注入漏洞，黑客利用该漏洞，成功入侵企业系统，导致企业数据泄露。

信息安全等级测评信息安全等级测评是指对一个系统、网络或组织的信息安全状况进行评估和等级划分的过程。

在当今信息化社会，信息安全已经成为各个行业和企业面临的重要挑战之一。

因此，对信息安全等级进行科学、全面的测评，对于保障信息安全、防范信息泄露和网络攻击具有重要意义。

信息安全等级测评的目的在于通过对信息系统安全性的评估，为组织提供信息系统的安全等级，帮助组织了解其信息系统的安全状况，为组织提供安全建议和改进建议。

信息安全等级测评主要包括对信息系统的物理安全、网络安全、数据安全、应用安全、运维安全等方面进行评估，以确定信息系统的安全等级。

在进行信息安全等级测评时，需要考虑以下几个方面：1. 安全性能：评估信息系统的安全性能，包括系统的完整性、可用性、保密性等方面。

2. 安全风险：评估信息系统所面临的安全风险，包括外部攻击、内部威胁、数据泄露等风险。

3. 安全措施：评估信息系统的安全措施，包括防火墙、入侵检测系统、加密技术等安全措施的有效性和完整性。

4. 安全管理：评估信息系统的安全管理制度和安全管理人员的能力，包括安全策略、安全培训、安全监控等方面。

信息安全等级测评的过程主要包括以下几个步骤：1. 确定测评目标：确定测评的范围和目标，包括测评的对象、测评的内容、测评的标准等。

2. 收集信息：收集信息系统的相关资料和数据，包括系统架构、安全策略、安全事件记录等。

3. 进行评估：对信息系统进行安全性能评估、安全风险评估、安全措施评估和安全管理评估。

4. 制定建议：根据评估结果，制定信息系统的安全建议和改进建议，包括安全加固措施、安全培训计划等。

5. 编写报告：将评估结果和建议整理成报告，提交给组织管理者和相关人员。

信息安全等级测评的意义在于帮助组织了解其信息系统的安全状况，发现安全隐患和问题，并提供安全建议和改进建议，从而提高信息系统的安全性。

同时，信息安全等级测评也有助于组织满足法律法规和标准的要求，保护组织的核心信息资产，降低信息安全风险，提高组织的竞争力和可信度。

网络安全等级评估报告网络安全等级评估报告一、背景随着网络技术的快速发展和互联网的普及，网络安全问题日益突出。

为了确保网络的安全稳定运行，评估网络安全等级成为一项重要任务。

我们对某企业的网络进行了安全等级评估，并撰写了本报告。

二、评估目标本次评估主要从以下几个方面对目标网络进行安全等级评估：1. 网络设备的安全性能评估：评估目标网络所使用的网络设备的安全性能，包括防火墙、入侵检测系统等；2. 网络通信的安全性评估：评估目标网络中数据传输的安全性，包括加密传输、访问控制等；3. 网络应用的安全性评估：评估目标网络中所使用的各种应用的安全性，包括服务器的安全配置、应用的漏洞等；4. 网络管理的安全性评估：评估目标网络的管理系统的安全性，包括管理员权限管理、日志审计等。

三、评估结果根据评估的结果，我们将目标网络的安全等级划分为以下几个等级：1. 一级安全等级（危险）：网络设备安全性能较差，缺乏有效的防火墙和入侵检测系统；网络通信采用明文传输，缺乏访问控制和加密传输；网络应用存在较多的漏洞，易受到攻击；网络管理系统较为混乱，管理员权限管理不完善。

2. 二级安全等级（一般）：网络设备的安全性能一般，基本满足基本的安全需求；网络通信采用加密传输，但访问控制和数据完整性保护有待进一步加强；网络应用存在少量的漏洞，但有一定的安全保护措施；网络管理系统较为规范，但还有一些不足之处。

3. 三级安全等级（良好）：网络设备的安全性能较好，具有完善的防火墙和入侵检测系统；网络通信采用加密传输，并且有较为严格的访问控制和数据安全保护；网络应用存在少量的漏洞，但有较好的安全保护措施；网络管理系统较为规范，管理员权限管理严格。

4. 四级安全等级（优秀）：网络设备的安全性能优秀，具有高强度的防火墙和入侵检测系统；网络通信采用高强度的加密传输，并且有严格的访问控制和数据完整性保护；网络应用几乎没有漏洞，具有完善的安全保护措施；网络管理系统规范，管理员权限管理严格，并且有完善的日志审计系统。

等级保护、风险评估与安全测评三者之间的区别1. 等级保护（Protection Level）：等级保护是一种针对信息系统的安全需求进行分类和分级的方法。

它是按照信息系统的重要性和敏感性将其划分为不同的等级，以确定适当的安全控制策略和保护措施。

等级保护主要关注信息系统的重要性和敏感性，以确定系统需要采取的保护等级。

2. 风险评估（Risk Assessment）：风险评估是对信息系统或网络中的潜在威胁和可能的风险进行分析和评估的过程。

它通过识别资产、威胁和漏洞，并对其造成的潜在影响进行评估，从而确定具体的风险水平。

风险评估的目的是为了识别威胁和漏洞，评估其潜在影响，并确定相应的风险级别，以便决策者能够制定适当的风险应对策略。

3. 安全测评（Security Assessment）：安全测评是对系统或网络进行安全性能测试的过程，旨在评估其安全性状态和安全控制措施的有效性。

安全测评通常包括系统的安全配置、漏洞扫描、渗透测试等活动，以发现系统中的潜在漏洞和薄弱点。

安全测评的目的是为了检测系统的脆弱性和弱点，发现系统可能存在的安全漏洞，并提供改进建议和措施，以加强系统的安全性。

综上所述，等级保护是根据信息系统的重要性和敏感性进行分类和分级，风险评估是评估系统潜在风险和威胁的过程，而安全测评则是对系统进行安全性能测试和评估的过程。

它们在信息安全管理中各有不同的目的，但都对系统的安全性起着重要的作用。

等级保护（Protection Level）、风险评估（Risk Assessment）和安全测评（Security Assessment）是信息系统安全管理的重要组成部分，它们分别从不同的角度来保障信息系统的安全性。

下面将进一步阐述它们之间的区别和关系。

首先，等级保护是一种安全管理方法，通过对信息系统进行分类和分级，确定适当的安全控制策略和保护措施。

等级保护的目的是根据信息系统的重要性和敏感性来确定安全等级，并制定相应的安全要求和措施。

全国网络安全等级测评与检测评估机构目录
一、中国大陆。

1、中国信息安全测评中心（CISA）。

2、中国信息安全认证中心（CIACA）。

3、中国信息咨询安全技术有限公司（CITST）。

4、中国民航信息安全管理有限公司（CAMS）。

5、中国网络安全与信息化研究中心（CNS）。

6、中国电子公司信息安全与处理认证中心（CEEC）。

7、国家信息安全覆盖检测与评估中心（CCT）。

8、中国计算机技术质量中心（CTQC）。

9、中国联合网络通信有限公司（CNC）。

10、中国网络安全与数据安全研究所（CSDSRI）。

11、上海市信息技术项目评估中心（SITCE）。

12、国家信息技术安全评价中心（NITE）。

13、中国安全认证中心（CSC）。

二、港澳台。

1、香港信息安全协会（HKISA）。

2、香港信息安全标准发展委员会（HKSDC）。

3、香港数据安全与私隐委员会（PDPC）。

4、香港政府信息安全综合评估中心（HGISEC）。

5、台湾信息安全评估机构（TISA）。

6、嘉义信息安全评估中心（JISEC）。