一文全解商用密碼應(yīng)用安全性評(píng)估和國(guó)標(biāo)GB/T 39786

   導(dǎo)讀：本文將從全球經(jīng)濟(jì)和國(guó)家安全發(fā)展的背景出發(fā)，從密碼行業(yè)相關(guān)法律政策的出臺(tái)、提出商用密碼應(yīng)用安全性評(píng)估要求的原因、密評(píng)的主要內(nèi)容，包括評(píng)估對(duì)象、評(píng)估要求、評(píng)估規(guī)范文件和標(biāo)準(zhǔn)、密評(píng)改造流程、密評(píng)評(píng)估方法等內(nèi)容進(jìn)行全面的答疑。

       隨著全球數(shù)字經(jīng)濟(jì)發(fā)展，網(wǎng)絡(luò)空間逐漸成為戰(zhàn)略威懾和控制的新領(lǐng)域、維護(hù)經(jīng)濟(jì)社會(huì)穩(wěn)定的新陣地以及未來(lái)各國(guó)軍事角逐的新戰(zhàn)場(chǎng)，網(wǎng)絡(luò)安全被納入國(guó)家安全重要戰(zhàn)略地位。密碼是保障網(wǎng)絡(luò)安全的核心技術(shù)，是構(gòu)建網(wǎng)絡(luò)信任的基石。我們利用密碼的安全認(rèn)證、加密保護(hù)、信任傳遞等特性，來(lái)消除或控制潛在的“安全危機(jī)”，實(shí)現(xiàn)被動(dòng)防御向主動(dòng)免疫的戰(zhàn)略轉(zhuǎn)變。因此，我們要大力發(fā)展密碼工作、密碼事業(yè)。

       早在1996年，我國(guó)中央政治局常委會(huì)展開(kāi)專題研究商用密碼，做出在我國(guó)大力發(fā)展商用密碼和加強(qiáng)對(duì)商用密碼管理的決定。特別從黨的十八大以來(lái)，我國(guó)商用密碼的管理和應(yīng)用在法制化、規(guī)范化基礎(chǔ)上，逐漸向科學(xué)化、體系化的方向邁進(jìn)，在依法管理、科技創(chuàng)新、產(chǎn)業(yè)發(fā)展、應(yīng)用推廣、檢測(cè)認(rèn)證等方面實(shí)現(xiàn)了跨越式的發(fā)展。

       但目前我國(guó)還面臨著關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力依舊薄弱、核心技術(shù)仍然受制于人，以及大量信息產(chǎn)品存在著巨大安全隱患的危險(xiǎn)局面，因此大力加強(qiáng)密碼應(yīng)用是迫切需要，也是促進(jìn)密碼創(chuàng)新發(fā)展、發(fā)揮密碼功能特性的必然選擇。而怎樣合規(guī)、正確、有效地使用商用密碼，如何充分發(fā)揮商用密碼在保障網(wǎng)絡(luò)空間安全中的核心技術(shù)和基礎(chǔ)支撐作用，這就涉及到商用密碼應(yīng)用安全性評(píng)估（以下簡(jiǎn)稱“密評(píng)”）的問(wèn)題，開(kāi)展密評(píng)工作是發(fā)揮密碼作用的必要手段，因此，我國(guó)出臺(tái)相關(guān)法律和政策要求要在保證商用密碼應(yīng)用大力推進(jìn)和普及的同時(shí)，做好網(wǎng)絡(luò)與信息系統(tǒng)的密評(píng)工作，確保商用密碼應(yīng)用的合規(guī)、正確、有效。


       商用密碼應(yīng)用法律法規(guī)政策要求

       一、《中華人民共和國(guó)密碼法》

       《中華人民共和國(guó)密碼法》（以下簡(jiǎn)稱《密碼法》）按照中央確定的密碼管理原則和應(yīng)用政策，規(guī)定了密碼應(yīng)用的主要制度和要求。

       1、強(qiáng)調(diào)國(guó)家積極規(guī)范地促進(jìn)密碼應(yīng)用，提升使用密碼保障網(wǎng)絡(luò)與信息安全的水平，保護(hù)公民、法人和其他組織依法使用密碼的權(quán)利。

       2、建立商用密碼監(jiān)測(cè)認(rèn)證體系，鼓勵(lì)從業(yè)單位自愿接受商用密碼檢測(cè)認(rèn)證。

       3、明確關(guān)鍵信息基礎(chǔ)設(shè)施使用密碼和開(kāi)展密評(píng)的要求，規(guī)定法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施。自行或委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展密評(píng)。

       4、建立安全審查機(jī)制，規(guī)定對(duì)可能影響國(guó)家安全的、涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)按照國(guó)家安全審查的要求進(jìn)行安全審查。

       5、規(guī)定國(guó)家密碼管理部門對(duì)采用商用密碼技術(shù)從事電子政務(wù)電子認(rèn)證服務(wù)的機(jī)構(gòu)進(jìn)行認(rèn)定。

       二、《商用密碼管理?xiàng)l例》（修訂草案征求意見(jiàn)稿）

       國(guó)家建立商用密碼應(yīng)用促進(jìn)協(xié)調(diào)機(jī)制，加強(qiáng)對(duì)商用密碼應(yīng)用的統(tǒng)籌指導(dǎo)。國(guó)家機(jī)關(guān)和設(shè)計(jì)商用密碼工作的單位在其職責(zé)范圍內(nèi)負(fù)責(zé)本機(jī)關(guān)、本單位或者本系統(tǒng)的商用密碼應(yīng)用和安全保障工作。

       非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)以上網(wǎng)絡(luò)、國(guó)家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)，其運(yùn)營(yíng)者應(yīng)當(dāng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)。

       三、2021年8月發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》

       《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱“《條例》”）明確了在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作中，依據(jù)密碼管理法律法規(guī)開(kāi)展有關(guān)密碼管理工作，充分體現(xiàn)了密碼管理在國(guó)家網(wǎng)絡(luò)安全大局中的重要地位和作用。

       第四十二條：“運(yùn)營(yíng)者對(duì)保護(hù)工作部門開(kāi)展的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測(cè)工作，以及公安、國(guó)家安全、保密行政管理、密碼管理等有關(guān)部門依法開(kāi)展的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作不予配合的，由有關(guān)主管部門責(zé)令改正；拒不改正的，處5萬(wàn)元以上50萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處1萬(wàn)元以上10萬(wàn)元以下罰款；情節(jié)嚴(yán)重的，依法追究相應(yīng)法律責(zé)任?！?br />
       第五十條：“.……關(guān)鍵信息基礎(chǔ)設(shè)施中的密碼使用和管理，還應(yīng)當(dāng)遵守相關(guān)法律、行政法規(guī)的規(guī)定?！?br />
       該《條例》明確了關(guān)鍵信息基礎(chǔ)設(shè)施的密碼應(yīng)用要求，壓實(shí)了網(wǎng)絡(luò)安全運(yùn)營(yíng)者和主管部門有關(guān)密碼應(yīng)用和密碼安全的主體責(zé)任，為密碼管理部門開(kāi)展網(wǎng)絡(luò)空間密碼保護(hù)工作，尤其是網(wǎng)路安全檢查和安全審查等工作提供了法律依據(jù)，同時(shí)也為開(kāi)展密評(píng)工作提供了強(qiáng)有力的支撐。

       四、2018年6月《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》

       2018年6月27日，《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》向社會(huì)公開(kāi)征求意見(jiàn)，其中設(shè)置了密碼管理專章，明確了網(wǎng)絡(luò)安全等級(jí)保護(hù)密碼管理的主要思路、方式和手段。第五部分第四十七條非涉密網(wǎng)絡(luò)應(yīng)當(dāng)按照國(guó)家密碼管理法律法規(guī)和標(biāo)準(zhǔn)的要求，使用密碼技術(shù)、產(chǎn)品和服務(wù)。第三級(jí)以上網(wǎng)絡(luò)應(yīng)當(dāng)采用密碼保護(hù)，并使用國(guó)家密碼管理部門認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù)。

       第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運(yùn)營(yíng)階段，按照密碼應(yīng)用安全性評(píng)估辦法和相關(guān)標(biāo)準(zhǔn)，委托密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)開(kāi)展密碼應(yīng)用安全性評(píng)估。網(wǎng)絡(luò)通過(guò)評(píng)估后，方可上線運(yùn)行，并在投入運(yùn)行后，每年至少組織一次評(píng)估。密評(píng)結(jié)果應(yīng)當(dāng)報(bào)受理備案的公安機(jī)關(guān)和所在地設(shè)區(qū)市的密碼管理部門備案。

       《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》在頒布實(shí)施后將替代現(xiàn)行的《信息安全等級(jí)保護(hù)管理辦法》，對(duì)我國(guó)的網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)行規(guī)范和管理。屆時(shí)，國(guó)家密碼管理局將與公安部等部門密切配合，依法開(kāi)展密評(píng)工作，并修訂《信息安全等級(jí)保護(hù)商用密碼管理辦法》等配套規(guī)章。

       五、《電子認(rèn)證服務(wù)密碼管理辦法》

       《電子認(rèn)證服務(wù)密碼管理辦法》主要規(guī)定面向社會(huì)公眾提供電子認(rèn)證服務(wù)應(yīng)當(dāng)使用商用密碼，明確了申請(qǐng)電子認(rèn)證服務(wù)使用密碼許可應(yīng)當(dāng)具備的基本條件和程序，對(duì)電子認(rèn)證服務(wù)系統(tǒng)的運(yùn)行和技術(shù)改造等做出了規(guī)定。同時(shí)，要求電子認(rèn)證服務(wù)系統(tǒng)要由具有商用密碼產(chǎn)品生產(chǎn)和密碼服務(wù)能力的單位，按照GM/T 0034-2014《基于SM2密碼算法的證書(shū)認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》的要求承建，并通過(guò)國(guó)家密碼管理局組織的安全性審查。

       六、2017年12月《政務(wù)信息系統(tǒng)政府采購(gòu)管理暫行辦法》

       第八條規(guī)定：“采購(gòu)需求應(yīng)當(dāng)落實(shí)國(guó)家密碼管理有關(guān)法律法規(guī)、政策和標(biāo)準(zhǔn)規(guī)范地要求，同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評(píng)估?！?br />
       第十二條：“采購(gòu)人應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定組織政務(wù)信息系統(tǒng)項(xiàng)目驗(yàn)收，根據(jù)項(xiàng)目特點(diǎn)規(guī)定完整的項(xiàng)目驗(yàn)收方案。驗(yàn)收方案應(yīng)當(dāng)包括項(xiàng)目所有功能的實(shí)現(xiàn)情況、密碼應(yīng)用和安全審查情況、信息系統(tǒng)共享情況、維護(hù)服務(wù)等采購(gòu)文件和采購(gòu)合同規(guī)定的內(nèi)容，必要時(shí)可以邀請(qǐng)行業(yè)專家、第三方機(jī)構(gòu)或相關(guān)主管部門參與驗(yàn)收?！?br />
       七、2019年12月《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》

       《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》對(duì)國(guó)家政務(wù)信息系統(tǒng)的規(guī)劃、審批、建設(shè)、共享和監(jiān)管做出規(guī)定，其中明確規(guī)定了多項(xiàng)密碼應(yīng)用有關(guān)要求。

       政務(wù)信息化項(xiàng)目建設(shè)單位應(yīng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評(píng)估；按要求向發(fā)改委備案的備案文件應(yīng)當(dāng)包括密碼應(yīng)用方案和密碼應(yīng)用安全性評(píng)估報(bào)告；

       項(xiàng)目的密碼應(yīng)用和安全審查情況應(yīng)當(dāng)作為項(xiàng)目驗(yàn)收的重要內(nèi)容之一，密評(píng)報(bào)告應(yīng)當(dāng)作為提交驗(yàn)收申請(qǐng)的必要材料；

       對(duì)于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)；

       國(guó)務(wù)院有關(guān)部門對(duì)密碼應(yīng)用情況實(shí)施監(jiān)督管理，不符合要求的，視情予以通報(bào)批評(píng)、暫緩安排投資計(jì)劃、暫停項(xiàng)目建設(shè)直至終止項(xiàng)目；

       國(guó)務(wù)院各部門應(yīng)當(dāng)嚴(yán)格按照要求采用密碼技術(shù)，并定期開(kāi)展密評(píng)工作，確保政務(wù)信息系統(tǒng)運(yùn)行安全和政務(wù)信息資源共享交換的數(shù)據(jù)安全。

       八、公安網(wǎng)1960號(hào)文 關(guān)于《貫徹等保和關(guān)保保護(hù)制度指導(dǎo)意見(jiàn)》

       第二部分第六條網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)貫徹落實(shí)《密碼法》等有關(guān)法律法規(guī)規(guī)定和密碼應(yīng)用相關(guān)標(biāo)準(zhǔn)規(guī)范。第三級(jí)以上網(wǎng)絡(luò)應(yīng)正確、有效采用密碼技術(shù)進(jìn)行保護(hù)，并使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù)。第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運(yùn)行階段，按照密評(píng)的管理辦法和相關(guān)標(biāo)準(zhǔn)，在網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)中同步開(kāi)展密碼應(yīng)用安全性評(píng)估。

       九、國(guó)辦發(fā)（2019）57號(hào)文國(guó)務(wù)院辦公廳關(guān)于印發(fā)國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法的通知

       第九條 除國(guó)家發(fā)展改革委審批或者核報(bào)國(guó)務(wù)院審批的外，其他有關(guān)部門自行審批新建、改建、擴(kuò)建，以及通過(guò)政府購(gòu)買服務(wù)方式產(chǎn)生的國(guó)家政務(wù)信息化項(xiàng)目，應(yīng)當(dāng)按規(guī)定履行審批程序并向國(guó)家發(fā)展改革委備案。

       備案文件應(yīng)當(dāng)包括項(xiàng)目名稱、建設(shè)單位、審批部門、績(jī)效目標(biāo)及績(jī)效指標(biāo)、投資額度、運(yùn)行維護(hù)經(jīng)費(fèi)、經(jīng)費(fèi)渠道、信息資源目錄、信息共享開(kāi)放、應(yīng)用系統(tǒng)、等級(jí)保護(hù)或者分級(jí)保護(hù)備案情況、密碼應(yīng)用方案和密碼應(yīng)用安全性評(píng)估報(bào)告等內(nèi)容，其中改建、擴(kuò)建項(xiàng)目還需提交前期項(xiàng)目第三方后評(píng)價(jià)報(bào)告。

       十、財(cái)庫(kù)（2017）210號(hào)關(guān)于印發(fā)《政務(wù)信息系統(tǒng)政府采購(gòu)管理暫行辦法》的通知

       第八條 采購(gòu)需求應(yīng)當(dāng)落實(shí)國(guó)家密碼管理有關(guān)法律法規(guī)、政策和標(biāo)準(zhǔn)規(guī)范的要求，同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行安全評(píng)估。


       商用密碼應(yīng)用安全性評(píng)估的主要內(nèi)容

       一、評(píng)估的主要內(nèi)容

       商用密碼應(yīng)用安全性評(píng)估（簡(jiǎn)稱“密評(píng)”）是指采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)與信息系統(tǒng)中，對(duì)其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估。（摘自《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》）
因此評(píng)估的內(nèi)容包括密碼應(yīng)用安全三個(gè)方面：合規(guī)性、正確性、有效性。

       1、合規(guī)性評(píng)估

       判定信息系統(tǒng)使用的密碼算法、密碼協(xié)議、密鑰管理等是否符合法律法規(guī)和國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求，密碼產(chǎn)品和密碼服務(wù)是否經(jīng)過(guò)國(guó)家密碼管理部門核準(zhǔn)或具備資格的機(jī)構(gòu)認(rèn)證合格。

       2、正確性評(píng)估

       判定信息系統(tǒng)的密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)是否正確配置和使用，安全性是否滿足要求，密碼保障系統(tǒng)建設(shè)或改造過(guò)程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用是否正確。

       3、有效性評(píng)估

       判定信息系統(tǒng)中實(shí)現(xiàn)的密碼保障系統(tǒng)是否在信息系統(tǒng)運(yùn)行過(guò)程中發(fā)揮了實(shí)際效用，是否滿足了信息系統(tǒng)的安全需求，是否切實(shí)解決了信息系統(tǒng)面臨的安全問(wèn)題。


       二、評(píng)估的主要對(duì)象

       根據(jù)《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》第三條、第二十條：

       設(shè)計(jì)國(guó)家安全和社會(huì)公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位應(yīng)當(dāng)健全密碼保障體系，實(shí)施商用密碼應(yīng)用安全性評(píng)估。

       重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括：基礎(chǔ)信息網(wǎng)絡(luò)、設(shè)計(jì)國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)、以及關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)。

       基礎(chǔ)信息網(wǎng)絡(luò)：電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)；

       重要信息系統(tǒng)：能源、教育、公安、測(cè)繪地理信息、社保、交通、衛(wèi)生計(jì)生、金融等設(shè)計(jì)國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)；

       重要工業(yè)控制系統(tǒng)：核設(shè)施、航天航空、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸、水利樞紐、城市設(shè)施等重要工控系統(tǒng)；

       面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)：黨政機(jī)關(guān)和使用財(cái)政性資金的事業(yè)單位和團(tuán)體組織使用的面向社會(huì)服務(wù)的信息系統(tǒng)。


       密評(píng)的政策法規(guī)和規(guī)范性文件

       為了規(guī)范密評(píng)工作，國(guó)密局制定印發(fā)了《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》、《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)管理辦法（試行）》、《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)能力評(píng)審實(shí)施細(xì)則（試行）》等相關(guān)管理文件；同時(shí)還組織編制了《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》標(biāo)準(zhǔn)、《信息系統(tǒng)密碼應(yīng)用基本要求》標(biāo)準(zhǔn)，以及《信息系統(tǒng)密碼測(cè)評(píng)要求（試行）》、《商用密碼應(yīng)用安全性評(píng)估測(cè)試過(guò)程指南（試行）》、《商用密碼應(yīng)用安全性評(píng)估測(cè)評(píng)作業(yè)指導(dǎo)書(shū)（試行）》、《商用密碼應(yīng)用安全性評(píng)估測(cè)評(píng)工具使用需求說(shuō)明（試行）》等指導(dǎo)性文件，主要用于指導(dǎo)測(cè)評(píng)機(jī)構(gòu)規(guī)范有序開(kāi)展評(píng)估工作。

       一、管理文件

       1、《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》

       明確國(guó)家和?。ú浚┟艽a管理部門在密評(píng)中的指導(dǎo)、監(jiān)督和檢查職責(zé)；明確重要信息系統(tǒng)的建設(shè)、使用、管理單位在評(píng)估工作中的主體責(zé)任；依法培育測(cè)評(píng)機(jī)構(gòu)，規(guī)范評(píng)估行為，以評(píng)促改、以評(píng)促用，形成規(guī)范有序的密碼應(yīng)用安全性評(píng)估審查機(jī)制，并與網(wǎng)絡(luò)安全等級(jí)保護(hù)等已有的制作做好銜接。

       2、《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)管理辦法（試行）》

       確定在試點(diǎn)期間的主要原則，為規(guī)范培育商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)，適用于對(duì)測(cè)評(píng)機(jī)構(gòu)、測(cè)評(píng)人員及其測(cè)評(píng)活動(dòng)的管理與規(guī)范。內(nèi)容包含：明確測(cè)評(píng)機(jī)構(gòu)的監(jiān)管主體和基本條件、申請(qǐng)測(cè)評(píng)機(jī)構(gòu)應(yīng)提交的材料和申請(qǐng)流程、測(cè)評(píng)機(jī)構(gòu)的責(zé)任和義務(wù)，以及法律責(zé)任等。

       3、《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)能力評(píng)審實(shí)施細(xì)則（試行）》

       通過(guò)對(duì)申請(qǐng)機(jī)構(gòu)的組織管理能力、測(cè)評(píng)實(shí)施能力、設(shè)施和設(shè)備安全與保障能力、質(zhì)量管理能力、風(fēng)險(xiǎn)防范能力等進(jìn)行公平、公正、獨(dú)立、客觀的能力評(píng)審，為規(guī)范測(cè)評(píng)機(jī)構(gòu)的建設(shè)和管理、提高測(cè)評(píng)機(jī)構(gòu)能力提供支撐。另外《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)能力評(píng)審實(shí)施細(xì)則（試行）》的附件《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)能力要求》，對(duì)測(cè)評(píng)機(jī)構(gòu)能力提出了具體要求。主要包括基本情況、人員結(jié)構(gòu)、測(cè)評(píng)實(shí)驗(yàn)室條件、儀器設(shè)備條件、測(cè)評(píng)實(shí)施能力、質(zhì)量管理能力和風(fēng)險(xiǎn)控制能力等方面的要求。


       二、指導(dǎo)性文件

       1、《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》

       2021年3月，國(guó)家正式發(fā)布國(guó)家標(biāo)準(zhǔn)GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》，將于2021年10月1日起實(shí)施。該標(biāo)準(zhǔn)在現(xiàn)行的行業(yè)標(biāo)準(zhǔn)GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》的基礎(chǔ)上進(jìn)行修改完善，并上升為國(guó)家標(biāo)準(zhǔn)，進(jìn)一步突出了其在商用密碼應(yīng)用標(biāo)準(zhǔn)體系中的基礎(chǔ)性地位。該標(biāo)準(zhǔn)從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全等四個(gè)方面提出了密碼應(yīng)用技術(shù)要求,以及管理制度、人員管理、建設(shè)運(yùn)行、應(yīng)急處置等密碼應(yīng)用管理要求。與GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》相比,該標(biāo)準(zhǔn)結(jié)合近年來(lái)商用密碼應(yīng)用與安全性評(píng)估工作實(shí)踐對(duì)部分內(nèi)容進(jìn)行了優(yōu)化,按照信息系統(tǒng)安全等級(jí)分別提出了相應(yīng)的密碼應(yīng)用要求。

       2、《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》

       依據(jù)《中華人民共和國(guó)密碼法》等法律法規(guī)，中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)組織編制了《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》等5項(xiàng)指導(dǎo)性文件，用于指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用在規(guī)劃、建設(shè)、運(yùn)行環(huán)節(jié)的商用密碼應(yīng)用安全性評(píng)估工作。

       文件規(guī)定了信息系統(tǒng)不同等級(jí)密碼應(yīng)用的測(cè)評(píng)要求，從密碼算法和密碼技術(shù)合規(guī)性、密鑰管理安全性方面，提出了第一級(jí)到第五級(jí)的密碼應(yīng)用通用測(cè)評(píng)要求；從信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全等四個(gè)技術(shù)層面提出了第一級(jí)到第四級(jí)密碼應(yīng)用技術(shù)的測(cè)評(píng)要求；從管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置等四個(gè)管理方面提出了第一級(jí)到第四級(jí)密碼應(yīng)用管理的測(cè)評(píng)要求。

       3、《商用密碼應(yīng)用安全性評(píng)估測(cè)試過(guò)程指南（試行）》

       本指南詳細(xì)描述了商用密碼應(yīng)用安全性評(píng)估的主要活動(dòng)和任務(wù)，包括測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析和報(bào)告編制活動(dòng)，適用于規(guī)范商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)在商用密碼應(yīng)用安全性評(píng)估工作中的測(cè)評(píng)過(guò)程。


       密評(píng)實(shí)施要點(diǎn)分析

       密評(píng)工作主要有兩個(gè)重點(diǎn)內(nèi)容：一是信息系統(tǒng)規(guī)劃階段對(duì)密碼應(yīng)用方案的評(píng)審/評(píng)估；二是建設(shè)完成后對(duì)信息系統(tǒng)開(kāi)展的實(shí)際測(cè)評(píng)。下面我們將根據(jù)最新的標(biāo)準(zhǔn)文件GB/T39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》的要點(diǎn)進(jìn)行逐一分析。

       一、密評(píng)標(biāo)準(zhǔn)體系

密評(píng)標(biāo)準(zhǔn)體系

       二、密碼應(yīng)用改造目標(biāo)及流程

       首先是針對(duì)信息系統(tǒng)規(guī)劃階段對(duì)密碼應(yīng)用方案的評(píng)審和評(píng)估，這其中涉及到的重要環(huán)節(jié)就是密碼應(yīng)用方案設(shè)計(jì)。密碼應(yīng)用方案設(shè)計(jì)是信息系統(tǒng)密碼應(yīng)用的起點(diǎn)，直接決定信息系統(tǒng)的密碼應(yīng)用是否合規(guī)、正確、有效地部署實(shí)施，是開(kāi)展密評(píng)工作不可或缺的參考文件。

       依據(jù)GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》，對(duì)信息系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行三個(gè)階段制定密碼方案，采用商用密碼算法、技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)，確保信息系系統(tǒng)密碼應(yīng)用的合規(guī)、正確和有效，使參與評(píng)估的信息系統(tǒng)順利通過(guò)密評(píng)。

       具體階段分工：

       ①系統(tǒng)定級(jí)階段：

       執(zhí)行單位：信息系統(tǒng)建設(shè)方

       主要目標(biāo)：確定信息系統(tǒng)的安全保護(hù)等級(jí)目標(biāo)，保證規(guī)劃、建設(shè)、運(yùn)行階段按照安全指標(biāo)落地。

       （注：信息系統(tǒng)所應(yīng)遵循的密碼應(yīng)用等級(jí)，目前是參照等保定級(jí)的。信息系統(tǒng)根據(jù)GB/T 22240—2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》完成定級(jí)備案后，其密碼應(yīng)用等級(jí)也相應(yīng)確定，即等保定級(jí)為第一級(jí)的對(duì)應(yīng)第一級(jí)密碼應(yīng)用基本要求，等保定級(jí)為第二級(jí)的對(duì)應(yīng)第二級(jí)密碼應(yīng)用基本要求，以此類推。）

       ②應(yīng)用調(diào)研階段：

       執(zhí)行單位：密碼應(yīng)用集成商

       主要目標(biāo)：掌握各個(gè)信息系統(tǒng)的密碼應(yīng)用的現(xiàn)狀

       ③方案設(shè)計(jì)階段：

       執(zhí)行單位：密碼應(yīng)用集成商

       主要目標(biāo)：針對(duì)已調(diào)研的信息系統(tǒng)編寫密碼應(yīng)用方案、實(shí)施方案和應(yīng)急處置方案。

       ④方案評(píng)審階段

       執(zhí)行單位：密碼測(cè)評(píng)機(jī)構(gòu)

       主要目標(biāo)：密碼專家或密評(píng)機(jī)構(gòu)對(duì)密碼方案進(jìn)行評(píng)審，密碼應(yīng)用集成商支持評(píng)審過(guò)程。

       ⑤實(shí)施改造階段

       執(zhí)行單位：密碼應(yīng)用集成商

       主要目標(biāo)：根據(jù)密碼應(yīng)用實(shí)施方案，完成密碼應(yīng)用集成實(shí)施工作。

       ⑥合規(guī)測(cè)評(píng)階段

       執(zhí)行單位：密碼測(cè)評(píng)機(jī)構(gòu)

       主要目標(biāo)：評(píng)估密碼應(yīng)用的合規(guī)性、正確性和有效性

       ⑦上線應(yīng)用階段：

       執(zhí)行單位：信息系統(tǒng)建設(shè)方

       主要目標(biāo)：密評(píng)報(bào)告向主管部門備案（三級(jí)以上系統(tǒng)需向公安部備案），隨后系統(tǒng)上線正式使用。


       三、密碼應(yīng)用的基本要求

       從密碼應(yīng)用的管理要求和技術(shù)要求來(lái)看，國(guó)標(biāo)GB/T 39786相對(duì)于現(xiàn)行行標(biāo)GM/T 0054，總體來(lái)講針對(duì)技術(shù)要求更加規(guī)范和合規(guī)，如相關(guān)密鑰生存周期管理的環(huán)節(jié)和建議說(shuō)明做出更全面、細(xì)致的規(guī)定；另外是相關(guān)標(biāo)準(zhǔn)的行業(yè)適應(yīng)性和安全性更強(qiáng)，主要表現(xiàn)在一些標(biāo)準(zhǔn)要求有所放寬，而針對(duì)密碼服務(wù)、密鑰管理等指標(biāo)的標(biāo)準(zhǔn)要求有所增強(qiáng)。

       總體的要求還是從密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)等方面進(jìn)行規(guī)范，總體要求解讀如下：

       1、密碼算法，條款要求信息系統(tǒng)中使用的密碼算法應(yīng)當(dāng)符合法律、法規(guī)的規(guī)定和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求。

       條款的目的是規(guī)范密碼算法的選用，要求信息系統(tǒng)應(yīng)使用國(guó)家密碼管理部門或相關(guān)行業(yè)認(rèn)可的算法標(biāo)準(zhǔn)。一是保證算法本身的安全性，二是為信息系統(tǒng)的互聯(lián)互通提供便利。一般來(lái)說(shuō)，以國(guó)家標(biāo)準(zhǔn)或國(guó)家密碼行業(yè)標(biāo)準(zhǔn)形式公開(kāi)發(fā)布的密碼算法，包括ZUC、SM2、SM3、SM4、SM9等算法；還有為特定行業(yè)、特定需求設(shè)計(jì)的專用算法及未公開(kāi)的通用算法以及由于國(guó)際互聯(lián)互通等需要而兼容的其他算法，像銀行為了滿足國(guó)際互聯(lián)互通等需求而采用符合安全強(qiáng)度要求RSA算法等這三種情況，都是符合滿足該條款的要求的。

       2、密碼技術(shù)，條款要求信息系統(tǒng)中使用的密碼技術(shù)應(yīng)遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。

       目的是為了規(guī)范密碼技術(shù)的使用，要求使用的密碼技術(shù)應(yīng)符合國(guó)家或者行業(yè)標(biāo)準(zhǔn)規(guī)定。密碼技術(shù)指實(shí)現(xiàn)密碼的加密保護(hù)和安全認(rèn)證等功能的技術(shù)，包括密碼算法、密鑰管理和密碼協(xié)議等。密碼技術(shù)相關(guān)的國(guó)家和行業(yè)標(biāo)準(zhǔn)規(guī)定了它在面產(chǎn)品中或不同應(yīng)用場(chǎng)景下的使用方法，信息系統(tǒng)應(yīng)當(dāng)依據(jù)相關(guān)要求實(shí)現(xiàn)所需的安全功能。例如，在GM/T0036-2014電子門禁系統(tǒng)標(biāo)準(zhǔn)中，規(guī)定了采用基于SM4等算法的密鑰分散技術(shù)實(shí)現(xiàn)密鑰分發(fā)；在GM/T 0022-2014IPSec VPN標(biāo)準(zhǔn)中，規(guī)定了采用SM4等對(duì)稱密碼算法、SM2等公鑰密碼算法和SM3等密碼雜湊算法進(jìn)行保密性保護(hù)、身份鑒別和完整性保護(hù)的方法。

       3、密碼產(chǎn)品，條款要求信息系統(tǒng)中使用的密碼產(chǎn)品與密碼模塊應(yīng)通過(guò)國(guó)家密碼管理部門核準(zhǔn)。

       條款的目的是規(guī)范密碼產(chǎn)品和密碼模塊的使用。按照商用密碼產(chǎn)品檢測(cè)的趨勢(shì)，密碼產(chǎn)品（除密碼系統(tǒng)外），不僅要在功能上滿足相關(guān)產(chǎn)品標(biāo)準(zhǔn)，還要在自身安全性（安全防護(hù)能力）上滿足特定安全等級(jí)的要求。在原理上，信息系統(tǒng)的安全等級(jí)與選用的密碼產(chǎn)品的安全等級(jí)并沒(méi)有嚴(yán)格對(duì)應(yīng)的關(guān)系，密碼模塊等級(jí)的選用，應(yīng)當(dāng)綜合考慮密碼模塊的安全性及被保護(hù)系統(tǒng)和被保護(hù)資產(chǎn)的價(jià)值等各方面因素。

       4、密碼服務(wù)，條款要求信息系統(tǒng)中使用的密碼服務(wù)應(yīng)通過(guò)國(guó)家密碼管理部門許可。

       條款的目的是規(guī)范密碼服務(wù)的使用，要求使用國(guó)家密碼管理部門許可（或商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證合格）的密碼服務(wù)?，F(xiàn)階段，密碼服務(wù)許可的范圍還集中在較為成熟的電子認(rèn)證服務(wù)行業(yè)。國(guó)家密碼管理局為通過(guò)安全性審查的第三方電子認(rèn)證服務(wù)提供商頒發(fā)電子認(rèn)證服務(wù)使用密碼許可證，對(duì)電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)進(jìn)行認(rèn)定；商用密碼認(rèn)證機(jī)構(gòu)將為認(rèn)證合格的其他密碼服務(wù)頒發(fā)相應(yīng)的認(rèn)證證書(shū)。

       綜合以上的總體要求分析，以下是依據(jù)GB/T 39786-2021國(guó)標(biāo)文件里針對(duì)第一級(jí)到第四級(jí)的密碼應(yīng)用基本要求匯總：

       注：上表中“可”代表可以、允許；“宜”代表推薦、建議；“應(yīng)”代表應(yīng)該、只準(zhǔn)許。詳細(xì)要求請(qǐng)見(jiàn)GB/T 39786-2021源文件。


       四、密碼測(cè)評(píng)要求與方法

       貫穿整個(gè)《信息系統(tǒng)密碼應(yīng)用基本要求》標(biāo)準(zhǔn)的主線，在進(jìn)行密評(píng)時(shí)，測(cè)評(píng)人員需要對(duì)密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)進(jìn)行檢查。在進(jìn)行具體核查之前，測(cè)評(píng)人員首先需要確認(rèn)，在信息系統(tǒng)中，應(yīng)當(dāng)使用密碼保護(hù)的資產(chǎn)是否采用了密碼技術(shù)進(jìn)行保護(hù)。這里的“應(yīng)”，應(yīng)該在默認(rèn)情況下按照GB/T 39786-2021條款要求進(jìn)行判定；如有不適項(xiàng)，信息系統(tǒng)責(zé)任方應(yīng)當(dāng)在密碼應(yīng)用方案中對(duì)每條不適用項(xiàng)及不適用原因進(jìn)行論證。密碼應(yīng)用方案應(yīng)在測(cè)評(píng)活動(dòng)開(kāi)展前首先通過(guò)評(píng)估，開(kāi)展測(cè)評(píng)時(shí)，測(cè)評(píng)人員可以參考通過(guò)評(píng)估的密碼應(yīng)用方案，對(duì)密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)進(jìn)行核查。若信息系統(tǒng)確無(wú)密碼應(yīng)用方案，則需要測(cè)評(píng)人員對(duì)所有不適用項(xiàng)及具體情況進(jìn)行逐條核查、評(píng)估，詳細(xì)論證被測(cè)信息系統(tǒng)具體的安全需求、不適用的具體原因，以及是否采用了可滿足要求的其他替代性措施來(lái)達(dá)到等效控制。

       參考文獻(xiàn)：《商用密碼應(yīng)用與安全性評(píng)估》霍煒

       （來(lái)源：國(guó)密應(yīng)用研究院公眾號(hào)）