商用密码应用与安全性评估

1基本情况1.1 商用密码应用安全性评估商用密码应用安全性评估（以下简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。

《密码法》第二十七条规定“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”。

《商用密码应用安全性评估管理办法（试行）》第三条规定“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。

重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统”。

第十条规定“关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次，测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行”。

《国家政务信息化项目建设管理办法（国办发〔2019〕57 号）》中对政务信息系统的商用密码应用与评估工作提出了相应要求。

由此可知，关基、政务等领域必须开展商用密码应用建设与评估工作。

为了有效推进密评工作，在密码相关主管部门的推动下，GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》、GM/T 0115—2021《信息系统密码应用测评过程指南》、GM/T 0116—2021《信息系统密码应用测评要求》《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》和《商用密码应用安全性评估FAQ》等标准和指导性文件相继出台，为密评工作的快速开展奠定了良好基础。

1.2 密评目前存在的主要问题密码技术应用具有专业性较强、技术复杂度高的特点，通常与业务系统联系紧密。

商用密码应用安全性评估及其相关标准作者：谢宗晓董坤祥甄杰来源：《中国质量与标准导报》2022年第02期1 概述商用密码应用安全性评估（以下简称：密评），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

这是继网络安全等级保护（以下简称：等级保护）之后，信息安全领域又一体系化的制度，至于称为“评估”还是“测评”，并不重要，其框架大致都遵循了传统的检测认证工作，这一点也可以从相关公文1）中得到验证。

和等级保护一样，密评也有法律依据。

《中华人民共和国网络安全法》第二十一条明确指出：国家实行网络安全等级保护制度。

《中华人民共和国密码法》的第二十七条规定如下：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

2 密评相关标准检测认证的标准体系与ISO/IEC 27000标准族的设计基本都是一致的，其来源为ISO 9000标准族的框架，大致包括：要求类标准、指南类标准，如实施指南、测评（或检测、评估）等指南、机构要求（可能包括人员要求）类的认可标准。

例如，国家标准中的网络安全等级保护系列标准架构主要包括：GB/T 22240、GB/T 22239、GB/T 25058、GB/T 25070、GB/T 28448和GB/T 28449等。

其关系大致如图1所示。

密评标准体系的设计大致也遵循了这样的架构。

一般而言，要求类标准是其中最基础的。

GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》是密评体系中的要求类标准，其前身为GM/T 0054—2018，该标准沿用了GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》的框架，将信息系统密码应用自低向高划分为五个等级。

GM/T 0115—2021《信息系统密码应用测评要求》和GM/T 0116—2021《信息系统密码应用测评过程指南》则是针对测评的相关标准。

国家密码管理局关于发布《商用密码检测机构（商用密码应用安全性评估业务）目录》的公告文章属性•【制定机关】国家密码管理局•【公布日期】2024.11.11•【文号】国家密码管理局公告第49号•【施行日期】2024.11.11•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保密正文国家密码管理局公告第49号关于发布《商用密码检测机构(商用密码应用安全性评估业务)目录》的公告依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》,现发布《商用密码检测机构(商用密码应用安全性评估业务)目录》。

即日起,商用密码应用安全性评估试点工作正式结束,未取得商用密码检测机构(商用密码应用安全性评估业务)资质的机构不得面向社会开展商用密码应用安全性评估业务。

特此公告。

附件:商用密码检测机构(商用密码应用安全性评估业务)目录国家密码管理局2024年11月11日商用密码检测机构(商用密码应用安全性评估业务)目录(排名不分先后)北京国家金融科技认证中心有限公司北京京投信安科技发展有限公司北京全路通信信号研究设计院集团有限公司北京时代新威信息技术有限公司北京市产品质量监督检验研究院北京中科卓信软件测评技术中心北京卓识网安技术股份有限公司工业和信息化部密码应用研究中心公安部第一研究所信息安全等级保护测评中心公安部网络安全等级保护评估中心国家广播电视总局广播电视科学研究院国家信息技术安全研究中心国网计量中心有限公司商用密码检测认证中心中电信数智科技有限公司中国电子技术标准化研究院中国电子科技集团公司第十五研究所中国航天系统科学与工程研究院中国科学院软件研究所中国科学院数据与通信保护研究教育中心中国软件评测中心(工业和信息化部软件与集成电路促进中心) 中国铁道科学研究院集团有限公司中国移动通信有限公司研究院中科信息安全共性技术国家工程研究中心有限公司天津恒御科技有限公司天津鲲奥世达科技有限公司天津联信达软件技术有限公司天津市兴先道科技有限公司天津云安科技发展有限公司中互金认证有限公司河北千诚电子科技有限公司河北赛克普泰计算机咨询服务有限公司中国电子科技集团公司第五十四研究所山西晋信安科技有限公司太原清众鑫科技有限公司内蒙古万邦信息安全技术有限公司信元网络技术股份有限公司北方实验室(沈阳)股份有限公司辽宁牧龙科技有限公司沈阳赛宝科技服务有限公司长春金阳高科技有限责任公司国家网络与信息系统安全产品质量检验检测中心上海计算机软件技术开发中心上海市信息安全测评认证中心智巡密码(上海)检测技术有限公司江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心) 金盾检测技术股份有限公司南京南自数安技术有限公司苏州市软件评测中心有限公司杭州安信检测技术有限公司杭州中尔网络科技有限公司浙江辰龙检测技术有限公司浙江东安检测技术有限公司浙江省电子信息产品检验研究院浙江鑫诺检测技术有限公司安徽科测信息技术有限公司安徽信科共创信息安全测评有限公司安正网络安全技术有限公司合肥天帷信息安全技术有限公司福建金密网络安全测评技术有限公司福建智安信息技术有限公司江西神舟信息安全评估中心有限公司江西省网络安全研究院江西智慧云测安全检测中心股份有限公司高维密码测评技术(山东)有限公司山东维平信息安全测评技术有限公司山东新潮信息技术有限公司顶盛科技股份有限公司中科安永科技有限公司湖北东方网盾信息安全技术有限公司湖北星野科技发展有限公司武汉安域信息安全技术有限公司武汉等保测评有限公司湖南省金盾信息安全等级保护评估中心有限公司长沙云创信安科技有限公司鼎铉商用密码测评技术(深圳)有限公司工业和信息化部电子第五研究所广东南方信息安全研究院广东中科实数科技有限公司广州竞远安全技术股份有限公司广州市盛通建设工程质量检测有限公司深圳市博通智能技术有限公司深圳市网安计算机安全检测技术有限公司广西网信信息技术有限公司广西壮族自治区电子信息和网络安全测评研究院海南百安信息技术有限公司海南神州希望网络有限公司海南省国盾信息化发展有限公司海南正邦信息科技有限公司重庆衡鉴信息技术有限公司重庆若可网络安全测评技术有限公司重庆市信息通信咨询设计院有限公司重庆信安网络安全等级测评有限公司重庆信息通信研究院重庆巽诺科技有限公司重庆煜享星科技有限责任公司成都安美勤信息技术股份有限公司成都创信华通信息技术有限公司成都久信信息技术股份有限公司成都市信息系统与软件评测中心豪符密码检测技术(成都)有限责任公司四川省电子产品监督检验所贵州航天计量测试技术研究所云南金质信息技术服务有限公司云南云盾信息安全测评有限公司颢安检测技术(西安)有限责任公司陕西青山四纪信息技术有限公司西安安盟智能科技股份有限公司西安长盛信安信息技术有限公司甘肃安信信息安全技术有限公司青海信安正创检测技术有限公司宁夏泽新信息技术服务有限公司。

浅谈商用密码应用安全性评估 (密评)商用密码应用安全性评估，是对采用商用密码技术、产品和服务集成建设的网络和信息系统中，密码应用的合规性、正确性、有效性进行评估的过程。

密评是其简称。

密评工作在法律法规中有明确规定。

《中华人民共和国密码法》规定，要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，并且自行或者委托商用密码检测机构开展商用密码应用安全性评估。

此外，商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

为规范密评工作，XXX制定印发了《商用密码应用安全性评估管理办法（试行）》、《商用密码应用安全性测评机构管理办法（试行）》、《商用密码应用安全性测评机构能力评审实施细则（试行）》等管理文件。

其中，《商用密码应用安全性评估管理办法（试行）》规定，在重要领域网络与信息系统投入运行后，责任单位应当委托测评机构定期开展商用密码应用安全性评估。

如果评估未通过，责任单位应当限期整改并重新组织评估。

此外，关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次，测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。

对其他信息系统则要定期开展检查和抽查。

在参考标准方面，《中华人民共和国密码法》、《商用密码应用安全性评估管理办法（试行）》、《信息安全等级保护商用密码管理办法》都是必须遵守的参考标准。

这些标准的实施，有助于提高商用密码应用的安全性和有效性，保障关键信息基础设施的安全运行。

信息安全等级保护商用密码技术实施要求》、《信息安全等级保护商用密码技术要求》、《信息系统密码测评要求》以及GM/T0054-2018《信息系统密码应用基本要求》是商用密码领域的重要规范和标准。

商用密码应用与安全性评估随着信息技术的发展，密码应用已经成为商业领域中保护数据安全的重要手段。

然而，密码应用的安全性问题也日益引起人们的关注。

本文将从商用密码应用的现状入手，探讨商用密码应用的安全性评估方法，并结合实际案例分析商用密码应用的安全性问题。

一、商用密码应用的现状随着企业信息化程度的提高，密码应用已经成为保护企业数据安全的重要手段。

在商业领域中，各种密码应用层出不穷，如口令、指纹、面部识别等。

密码应用的安全性是商业应用的重要指标之一。

然而，目前市场上存在着一些安全性问题突出的商用密码应用。

二、商用密码应用的安全性评估方法为了提高商用密码应用的安全性，需要对其进行安全性评估。

商用密码应用的安全性评估方法包括以下几个方面：1.密码强度评估密码强度评估是商用密码应用安全性评估的重要环节之一。

密码强度评估可以通过密码破解软件进行模拟攻击，检测密码强度，从而提高密码的安全性。

2.漏洞扫描漏洞扫描是商用密码应用安全性评估的另一个重要环节。

漏洞扫描可以检测商用密码应用中可能存在的漏洞，从而及时修复漏洞，提高商用密码应用的安全性。

3.安全性测试安全性测试是商用密码应用安全性评估的最后一个环节。

安全性测试可以模拟攻击，检测商用密码应用的安全性，从而提高商用密码应用的安全性。

三、商用密码应用的安全性问题分析商用密码应用存在着一些安全性问题，如密码强度不足、漏洞较多等。

下面将结合实际案例分析商用密码应用的安全性问题。

1.密码强度不足密码强度不足是商用密码应用安全性问题的一个重要方面。

密码强度不足会导致密码易被破解，从而造成数据泄露。

例如，某企业使用的密码为“123456”，这种密码强度过低，容易被破解，从而导致企业数据泄露。

2.漏洞较多商用密码应用中存在着较多的漏洞，这些漏洞会被黑客利用，从而导致数据泄露。

例如，某企业使用的商用密码应用存在SQL注入漏洞，黑客利用该漏洞，成功入侵企业系统，导致企业数据泄露。

商用密码应用安全性评估量化评估规则人们从事商用活动时，使用密码作为安全保障是必不可少的，而来设定安全的密码及量化评估密码的安全程度，就显得尤为重要。

以下便是一套能够评估商用密码安全性的量化评估规则。

首先，密码的长度影响着安全性，一般建议使用至少8位以上的密码，密码中大小写字母，数字和特殊字符应有一定的比例，以便提高密码的安全性。

其次，密码应该定期更换，防止过于频繁的更新，以免让用户记忆困难，但也不能太久不改，以免被黑客窃取，一般建议在三个月到一年之间更新密码。

再者，密码的相关安全策略也是重要的，比如要求强制用户于特定时间更改密码、不允许连续使用相同的密码、不允许使用明文存储等。

此外，还可以给不同级别的用户设定不同安全级别的密码，以便给不同数据应用程序按照不同的安全级别来保护数据的保密性，防止恶意攻击。

最后，有必要防止密码的泄露及窃取，比如可以使用社会安全号码作为加强登录安全的另一种方法，或者使用其他的两步验证技术来防止黑客的进入，而这将是非常有效的方法。

总而言之，量化评估商用密码安全性的规则至关重要，并不局限于上述说明，而是会随着科技更新而不断变化，因此，密码安全应该是商家企业实施网络安全时最首先考虑的事情。

因此，要加强和提升
网络安全工作，务必做好密码评估量化评估规则，以确保网络信息的安全。