商用密码应用安全性评估的具体内容与流程

商用密码应用安全性评估的具体内容与流程

商用密码应用安全性评估（简称“密评”）是确保网络与信息系统安全的重要手段。本文将详细介绍密评的具体内容、评估流程及报告结论，帮助读者全面了解这一专业领域。

商用密码应用安全性评估（简称“密评”）是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。密评的具体内容主要包括以下几个方面：

合规性评估

合规性评估主要判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求，使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。具体来说，需要检查系统是否属于被保护的对象；是否按照《信息系统密码应用基本要求》进行相应的密码应用设计，并核实自查表是否如实反映方案设计内容以及自查结果是否符合标准要求；是否遵循所属行业（领域）相关的密码使用要求。

正确性评估

正确性评估主要判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确。这包括系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现；自定义密码协议、密钥管理机制的设计和实现是否正确，安全性是否满足要求；以及密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。

有效性评估

有效性评估主要判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用，是否满足了信息系统的安全需求，是否切实解决了信息系统面临的安全问题。具体来说，需要检查密码保障系统是否在运行过程中发挥了保密性、完整性、真实性和不可否认性的保护功能。

评估流程与阶段

密评通常包括以下几个阶段：

• 规划阶段：重要网络与信息系统的运营者需要根据商用密码应用需求，制定商用密码应用方案，并对商用密码应用方案进行密评。未通过密评的方案不得作为商用密码保障系统的建设依据。
• 建设阶段：运营者按照通过密评的商用密码应用方案组织实施，落实商用密码安全防护措施，建设商用密码保障系统，并对建设完成的网络与信息系统开展密评。未通过密评的系统不得投入运行。
• 运行维护阶段：运营者需要自行或者委托商用密码检测机构每年至少开展一次密评，确保商用密码保障系统正确有效运行。未通过密评的，需要进行改造，并在改造期间采取必要措施保证网络与信息系统运行安全。

评估报告与结论

密评结束后，通常会形成《系统密码应用安全性评估报告》，该报告会详细记录评估过程、评估结果以及改进建议等内容。根据评估结果，可以判定系统整体量化评估的符合程度，如整体量化评估结果为100分则为“符合”，低于100分但不低于60分且无“高风险”项则为“基本符合”，低于60分或存在“高风险项”则需要整改并判定为“不符合”。

综上所述，商用密码应用安全性评估是一项全面、客观、准确的评估活动，旨在确保商用密码应用系统的安全性符合国家法律法规和相关标准的要求。