商用密码测评

1基本情况1.1 商用密码应用安全性评估商用密码应用安全性评估（以下简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。

《密码法》第二十七条规定“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”。

《商用密码应用安全性评估管理办法（试行）》第三条规定“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。

重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统”。

第十条规定“关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次，测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行”。

《国家政务信息化项目建设管理办法（国办发〔2019〕57 号）》中对政务信息系统的商用密码应用与评估工作提出了相应要求。

由此可知，关基、政务等领域必须开展商用密码应用建设与评估工作。

为了有效推进密评工作，在密码相关主管部门的推动下，GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》、GM/T 0115—2021《信息系统密码应用测评过程指南》、GM/T 0116—2021《信息系统密码应用测评要求》《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》和《商用密码应用安全性评估FAQ》等标准和指导性文件相继出台，为密评工作的快速开展奠定了良好基础。

1.2 密评目前存在的主要问题密码技术应用具有专业性较强、技术复杂度高的特点，通常与业务系统联系紧密。

商用密码评估标准
商用密码评估标准主要是为了保护用户的账户和信息安全而制定的。

以下是商用密码评估标准：
1.密码长度应不少于8个字符，且包含大写字母、小写字母、数字和特殊字符。

2.密码应定期更换，建议每三个月更换一次。

3.密码应该是唯一的，不应在不同账户之间重复使用。

4.禁止使用容易猜测的密码，如生日、常见单词、常见数字等。

5.密码不应明文存储或以明文方式传输。

6.应启用多因素身份验证，如指纹识别、短信验证码等。

7.禁止使用弱密码，如123456、qwerty、password等。

8.密码的安全性评估应定期进行，并对弱密码进行提示和修改。

以上是商用密码评估标准的主要内容，企业应该按照这些标准来保护用户的账户和信息安全。

商用密码测评管理制度一、总则为了加强公司对商用密码的管理，提高信息安全保护水平，保护公司的财产安全和客户信息安全，根据相关法律法规和公司内部规定，制定本商用密码测评管理制度。

二、适用范围本制度适用于公司内部所有员工在使用商用密码时的测评管理工作。

三、商用密码概述商用密码是指用于身份识别和信息保护的一种技术手段，用于访问重要系统、应用或数据。

商用密码可以包括但不限于账号密码、支付密码、登陆密码、手机解锁密码等。

四、商用密码测评管理1. 商用密码的生成与设置（1）商用密码应具备一定的复杂度，包括数字、大小写字母、特殊字符等，长度不少于8位。

（2）商用密码应避免使用容易被猜测的信息，如生日、身份证号等个人信息。

（3）商用密码应定期更换，建议每90天更换一次。

2. 商用密码的保存与保护（1）商用密码不应明文存储，应采用加密、哈希等安全方式存储。

（2）商用密码不得以明文方式在通讯中传输。

（3）商用密码不得由同一人员共享或泄露给他人，如有必要共享商用密码应采用安全的方式进行。

3. 商用密码的使用与管理（1）商用密码应限制访问次数，连续输错密码次数达到一定次数将会锁定账号。

（2）商用密码应及时更新，且不得与历史密码重复使用。

（3）商用密码应在必要时加入多因素认证，提高安全级别。

4. 商用密码的风险评估和处理（1）定期对商用密码进行风险评估，发现问题及时处理。

（2）对于被破解或泄露的商用密码，应立即修改，并通知相关人员。

（3）对于密码忘记或遗失的情况，应通过验证身份的方式找回密码。

五、商用密码测评1. 商用密码测评的目的商用密码测评是为了评估公司内部商用密码的安全性和合规性，发现问题并及时解决，提高公司信息安全保护水平。

2. 商用密码测评的内容（1）商用密码的生成与设置是否符合规定。

（2）商用密码的保存与保护是否安全可靠。

（3）商用密码的使用与管理是否合规。

（4）商用密码的风险评估和处理是否及时有效。

3. 商用密码测评的周期商用密码测评应定期进行，建议每年至少进行一次。

商用密码测评师工作内容商用密码测评师的工作内容一、商用密码测评师的定义和职责商用密码测评师是指具备密码理论知识和实践经验，能够根据商用密码应用安全评估标准，对商用密码应用安全性进行评估和测试的专业人员。

商用密码测评师的职责主要包括以下几个方面：1. 对商用密码应用进行安全性评估，包括但不限于密码算法、加密协议、密钥管理等方面；2. 根据评估结果，提出改进建议，制定密码应用安全方案；3. 协助客户完善密码安全体系，提高密码应用安全性；4. 撰写密码应用安全性评估报告，为客户提供合规性证明；5. 参与密码应用安全性相关的技术研究和创新。

二、测评对象及范围商用密码测评师的主要测评对象包括：1. 各种加密算法，如对称加密算法、非对称加密算法等；2. 各种加密协议，如SSL、TLS、IPSec等；3. 密钥管理，包括密钥生成、存储、分发、销毁等环节；4. 各种加密设备，如加密机、加密卡、加密软件等；5. 各种密码应用系统，如身份认证系统、电子签章系统、电子合同系统等。

三、测评方法和工具商用密码测评师在进行密码应用安全性评估时，通常采用以下方法和工具：1. 采用合规性检查和渗透测试等方法，对密码应用进行深入检测；2. 使用各种密码分析工具，如协议分析工具、流量分析工具、解密工具等；3. 利用现有的密码攻击工具，如字典攻击、暴力攻击等，测试密码系统的安全性；4. 采用密码算法和协议分析方法，对密码系统的实现进行验证；5. 利用安全漏洞扫描工具，对密码应用进行漏洞扫描。

四、密码安全评估与风险分析商用密码测评师在进行密码安全评估时，需要对密码应用进行风险分析，主要包括以下几个方面：1. 分析密码应用面临的安全威胁和风险，如密码泄露、数据篡改、拒绝服务等；2. 对密码应用的安全性进行定量和定性评估，包括安全性漏洞的数量、严重程度等；3. 分析密码应用的安全性发展趋势，预测未来的安全威胁和风险；4. 根据安全威胁和风险分析结果，提出针对性的安全措施和建议。

国家密码管理局关于商用密码检测机构（商用密码应用安全性评估业务）资质申请通过技术评审的机构名单的公示文章属性•【制定机关】国家密码管理局•【公布日期】2024.10.28•【文号】•【施行日期】2024.10.28•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保密正文商用密码检测机构（商用密码应用安全性评估业务）资质申请通过技术评审的机构名单公示依据《商用密码管理条例》、《商用密码检测机构管理办法》有关规定，国家密码管理局组织对首批商用密码检测机构（商用密码应用安全性评估业务）资质申请开展了技术评审，现对通过技术评审的机构名单进行公示。

公示期间，任何机构及个人均可通过申请机构所在地省、自治区、直辖市密码管理部门向我局实名提出书面意见（以邮寄方式提交意见的，提交时间以寄出时间为准），所提意见需以纸质形式提供，加盖机构公章或个人签字，附机构身份证明文件或个人身份证复印件，以及相关佐证材料和联系方式。

公示不接受匿名反映。

公示时间：自2024年10月28日起，至11月3日止，逾期不再受理。

附件：商用密码检测机构（商用密码应用安全性评估业务）资质申请通过技术评审的机构名单国家密码管理局2024年10月28日附件商用密码检测机构（商用密码应用安全性评估业务）资质申请通过技术评审的机构名单（排名不分先后）北京市（联系电话：010—55566259）北京国家金融科技认证中心有限公司北京京投信安科技发展有限公司北京全路通信信号研究设计院集团有限公司北京时代新威信息技术有限公司北京市产品质量监督检验研究院北京中科卓信软件测评技术中心北京卓识网安技术股份有限公司工业和信息化部密码应用研究中心公安部第一研究所信息安全等级保护测评中心公安部网络安全等级保护评估中心国家广播电视总局广播电视科学研究院国家信息技术安全研究中心国网计量中心有限公司商用密码检测认证中心中电信数智科技有限公司中国电子技术标准化研究院中国电子科技集团公司第十五研究所中国航天系统科学与工程研究院中国科学院软件研究所中国科学院数据与通信保护研究教育中心中国软件评测中心（工业和信息化部软件与集成电路促进中心）中国铁道科学研究院集团有限公司中国移动通信有限公司研究院中科信息安全共性技术国家工程研究中心有限公司天津市（联系电话：022—88354438）天津恒御科技有限公司天津鲲奥世达科技有限公司天津联信达软件技术有限公司天津市兴先道科技有限公司天津云安科技发展有限公司中互金认证有限公司河北省（联系电话：0311—87808811）河北千诚电子科技有限公司河北赛克普泰计算机咨询服务有限公司中国电子科技集团公司第五十四研究所山西省（联系电话：0351—8268850）山西晋信安科技有限公司太原清众鑫科技有限公司内蒙古自治区（联系电话：0471—4812870）内蒙古万邦信息安全技术有限公司信元网络技术股份有限公司辽宁省（联系电话：024—23218709）北方实验室（沈阳）股份有限公司辽宁牧龙科技有限公司沈阳赛宝科技服务有限公司吉林省（联系电话：0431—88902719）长春金阳高科技有限责任公司上海市（联系电话：021—64337761）国家网络与信息系统安全产品质量检验检测中心上海计算机软件技术开发中心上海市信息安全测评认证中心智巡密码（上海）检测技术有限公司江苏省（联系电话：025—83391675）江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）金盾检测技术股份有限公司南京南自数安技术有限公司苏州市软件评测中心有限公司浙江省（联系电话：0571—88900919）杭州安信检测技术有限公司杭州中尔网络科技有限公司浙江辰龙检测技术有限公司浙江东安检测技术有限公司浙江省电子信息产品检验研究院浙江鑫诺检测技术有限公司安徽省（联系电话：0551—62609967）安徽科测信息技术有限公司安徽信科共创信息安全测评有限公司安正网络安全技术有限公司合肥天帷信息安全技术有限公司福建省（联系电话：0591—87812717）福建金密网络安全测评技术有限公司福建智安信息技术有限公司江西省（联系电话：0791—88910752）江西神舟信息安全评估中心有限公司江西省网络安全研究院江西智慧云测安全检测中心股份有限公司山东省（联系电话：0531—51776535）高维密码测评技术（山东）有限公司山东维平信息安全测评技术有限公司山东新潮信息技术有限公司河南省（联系电话：0371—65866133）顶盛科技股份有限公司中科安永科技有限公司湖北省（联系电话：027—66995307）湖北东方网盾信息安全技术有限公司湖北星野科技发展有限公司武汉安域信息安全技术有限公司武汉等保测评有限公司湖南省（联系电话：0731—81125243）湖南省金盾信息安全等级保护评估中心有限公司长沙云创信安科技有限公司广东省（联系电话：020—87196254）鼎铉商用密码测评技术（深圳）有限公司工业和信息化部电子第五研究所广东南方信息安全研究院广东中科实数科技有限公司广州竞远安全技术股份有限公司广州市盛通建设工程质量检测有限公司深圳市博通智能技术有限公司深圳市网安计算机安全检测技术有限公司广西壮族自治区（联系电话：0771—5899331）广西网信信息技术有限公司广西壮族自治区电子信息和网络安全测评研究院海南省（联系电话：0898—65334941）海南百安信息技术有限公司海南神州希望网络有限公司海南省国盾信息化发展有限公司海南正邦信息科技有限公司重庆市（联系电话：023—63898690）重庆衡鉴信息技术有限公司重庆若可网络安全测评技术有限公司重庆市信息通信咨询设计院有限公司重庆信安网络安全等级测评有限公司重庆信息通信研究院重庆巽诺科技有限公司重庆煜享星科技有限责任公司四川省（联系电话：028—63092325）成都安美勤信息技术股份有限公司成都创信华通信息技术有限公司成都久信信息技术股份有限公司成都市信息系统与软件评测中心豪符密码检测技术（成都）有限责任公司四川省电子产品监督检验所贵州省（联系电话：0851—85892347）贵州航天计量测试技术研究所云南省（联系电话：0871—63994088 ）云南金质信息技术服务有限公司云南云盾信息安全测评有限公司陕西省（联系电话：029—63909155）颢安检测技术（西安）有限责任公司陕西青山四纪信息技术有限公司西安安盟智能科技股份有限公司西安长盛信安信息技术有限公司甘肃省（联系电话：0931—8922926）甘肃安信信息安全技术有限公司青海省（联系电话：0971—8482403）青海信安正创检测技术有限公司宁夏回族自治区（联系电话：0951—6668718）宁夏泽新信息技术服务有限公司。

商用密码测评身份鉴别方法
商用密码测评身份鉴别方法包括以下几种：
1. 用户名和密码：最常见的身份鉴别方法，用户使用唯一的用户名和密码进行身份验证。

2. 双因素认证：在用户名和密码之外，还需要额外的鉴别因素，如手机验证码、指纹、面部识别等。

3. 多因素认证：使用多个独立的鉴别因素来验证用户身份，增加了安全性，如指纹加密码、指纹加人脸等。

4. 生物特征识别：使用人体特征来进行身份鉴别，如指纹、虹膜、面部和声音等。

5. 动态密码：根据时间、位置或事件等因素生成临时的动态密码来进行身份验证。

6. 单点登录：用户只需要输入一次密码就可以访问多个应用程序，减少了密码管理的负担。

7. 行为分析：根据用户的行为特征，如击键模式、鼠标移动方式、登录地点等，来判断身份的真实性。

这些方法可以单独使用，也可以结合使用，以提高商用密码的安全性和有效性。

具体的选择要根据具体的应用场景和安全需求来决定。

金融行业信息系统商用密码应用测评要求随着金融行业的不断发展和信息技术的迅猛进步，商用密码应用在金融信息系统中的作用变得日益重要。

商用密码应用不仅关乎金融机构信息资产的安全，也与客户的资金和个人信息息息相关。

对于金融行业信息系统中商用密码应用的测评要求，需要全面评估其深度和广度，以确保系统安全和稳定运行。

在商用密码应用的深度评估上，我们需要考虑密码算法的安全性。

衡量密码算法的安全性可以从其加密强度、密钥长度、抗攻击能力等多个方面进行评估。

在金融行业信息系统中，常见的商用密码应用包括对称加密算法（如DES、AES）、非对称加密算法（如RSA、ECC）和哈希函数（如SHA-256、MD5）等。

针对不同的密码算法，我们需要考虑其在保护信息安全、防范密码破解和抵御密码攻击等方面的表现和应用情况。

在商用密码应用的广度评估上，我们需要考虑密码管理和使用的全流程。

密码管理包括密码生成、存储、传输和销毁等环节。

在金融行业信息系统中，密码管理需要符合国家和行业标准，确保密码的安全性和合规性。

另外，密码使用的全流程包括密码的输入、验证、重置和更新等过程。

这些过程需要综合考虑用户体验、系统安全和风险控制等方面，确保密码在使用过程中不会成为安全漏洞和风险隐患。

在文章中，多次提及金融行业信息系统商用密码应用测评要求。

采取从简到繁、由浅入深的方式探讨商用密码应用的评估要求，以便读者更深入地理解。

总结和回顾商用密码应用的测评要求，并结合个人观点和理解，为读者全面、深刻和灵活地呈现这一主题。

在金融行业信息系统中，商用密码应用的重要性不言而喻。

在密码的深度评估中，不仅要考虑密码算法的安全性，还需关注密码的使用环境和场景。

在密码的广度评估中，密码管理和使用的全流程也同样重要。

综合深度和广度的评估要求，方能确保金融行业信息系统中商用密码应用的高质量和安全性。

在总结和回顾本文所提及的商用密码应用测评要求时，我们不仅需要考虑密码的技术属性，还要考虑密码在实际应用中的表现和效果。

商用密码安全性评估的介绍
商用密码的安全性评估是一种评估和检测组织或企业使用的密码策略和系统的安全程度的过程。

它通过评估密码的强度、策略的合规性和系统的保护措施来识别潜在的风险和漏洞，并提供改进建议和措施以加强密码的安全性。

商用密码的安全性评估通常包括以下步骤：
1. 收集信息：评估人员将收集关于密码使用和管理的信息，包括密码策略、密码复杂性要求、密码存储和传输的方式等。

2. 评估密码强度：评估人员会对组织或企业使用的密码进行测试，评估其强度和易受攻击的程度。

这可能包括使用密码破解工具、字典攻击和暴力破解等方法。

3. 评估密码策略：评估人员会审核密码策略，包括密码复杂性要求、密码定期更改的要求、密码重用规则等，以确定其符合最佳实践和合规性要求。

4. 评估密码管理和存储：评估人员将审查密码的管理和存储方式，包括密码加密、密码散列、密码传输的加密等，以确保密码在存储和传输过程中的安全性。

5. 系统保护措施评估：评估人员将审查系统对密码的保护措施，包括防火墙、入侵检测系统、访问控制等，以确保系统能有效地保护密码的安全性。

6. 提供改进建议：评估人员将根据评估结果提供改进建议，包括加强密码策略、增强密码强度、改进密码管理和存储方式、加强系统保护措施等，以提高密码的安全性。

商用密码的安全性评估对于组织和企业来说十分重要。

它可以帮助组织评估密码安全性的现状，识别潜在的风险和漏洞，并提供有效的措施和建议以加强密码的安全性。

通过此评估，组织可以提高其对密码的保护，降低密码遭受攻击的风险，保障组织的信息系统和数据的安全。