密碼分為(wèi)核心密碼、普通(tōng)密碼和商用密碼，我們(men)日常工(gōng)作生活中接觸到的多是商用密碼。工(gō視兒ng)作中，網上辦公、繳稅納稅等過程都有商用密碼在起作資微用。生活中，第二代居民身份證就通(tōng)過商用密碼技術保證認證一緻，購村下買火車(chē)票、網絡購物等在線支付全過程都有商用綠吃密碼的保護。

商用密碼，是指對不(bù)涉及國家(jiā)秘密這南内容的信息進行加密保護或安全認證所使用的密碼技術和中黑密碼産品。其中，商用密碼技術，是保障信息安全的核心技術。從功能上答明看，主要包括加密保護技術和安全認證技術；從慢費内容上看，主要包括密碼算法、密鑰管理和密碼協議。商用密碼産品，是指采用密體舞碼技術對不(bù)涉及國家(jiā)秘密内容的信息進行的水加密保護或安全認證的産品，即承載密碼技術、實現密碼會金功能的實體。按照形态劃分，商用密碼産品分票化為(wèi)六類，即軟件、芯片、模塊、闆卡、整機、系統；按照水章功能劃分，商用密碼産品分為(wèi)七類，即密碼算法類、開物數據加解密類、認證鑒别類、證書管理類、密鑰管理類、密碼防僞類和綜合類妹兵。

密碼是網絡信任體系的重要基石，是目前******上公認的，保障網絡與信息安全*要煙**有效、***可靠、***經濟的關鍵核心技術。《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全男水保護條例》等法律法規均不(bù)同程度地提到要使用商用密碼。在信息互聯時(s讀河hí)代，密碼除傳統加密外，主要體現在身份認證、權限管理、訪問控制等。數字現農經濟時(shí)代，密碼的作用不(bù)斷擴展到數據流通(tō家懂ng)、數據共享等新維度，密碼技術自身也需要持續革新。

“密評”是指在采用商用密碼技術、産品和服紙輛務集成建設的網絡和信息系統中，對其密碼應用的合規性、正确性如雜和有效性進行評估。

國家(jiā)網絡安全和密碼相關法律法規明确要求非土身涉密的關鍵信息基礎設施、等保三級及以上系都從統、國家(jiā)政務等重要信息系統要開(kāi)展員鄉密評工(gōng)作。并且，密評管理辦法也明确規定：關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統購生，需要每年至少評估一次。

● 首先，是《密碼法》第三十七條******款指出：關鍵信息基礎設施的運營者未按照要求使用商用密碼，或者未按照要求開(k關費āi)展密評的，由密碼管理部門責令改正，給予警告；拒不(b懂聽ù)改正或者導緻危害網絡安全等後果的，将處十萬元以草又上一百萬元以下罰款。

● 《國家(jiā)政務信息化項目建設管理辦法》第二十八條第三款也人少有提到：對于不(bù)符合密碼應用和網絡安全要求，或者存在重大(dà)市動安全隐患的政務信息系統，不(bù)安排運行維護經費，項嗎為目建設單位不(bù)得(de)新建、改建、擴建政務信息系統。

項目建設單位應當落實國家(jiā)密碼管理有關法律法動飛規和标準規範的要求，同步規劃、同步建設、同步運行密碼畫訊保障系統并定期進行評估。

從事密評活動的機構，應當經國家(jiā)密碼管理們年部門認定，依法取得(de)商用密碼檢測機構資(zī)質。

參考的标準主要分為(wèi)兩類：

●******類是基本要求

● 第二類是評估方法

目前主要參考的文件是2021年發布的GM/T 0115-2021《信息系統密碼友劇應用測評要求》、GM/T 0116-2021《信息系愛草統密碼應用測評過程指南》，中國密碼學會(huì)密評西煙聯委會(huì)修訂形成的《信息系統密碼應用北就高風險判定指引》《商用密碼應用安全性評估量化評估規則》。

密評量化評估滿分100分，得(de)分大(dà)于等于60分且沒有高風險項為(朋業wèi)基本合格。

密評工(gōng)作主要包括兩部分内容：一是信息系統規劃階段的密資飛碼應用方案評估，這一環節主要用于保證建設方案的有有安全性；二是信息系統建設完成後針對該系統開(kāi)展現場會分測試。

● 方案評估階段

主要針對新建或改造信息系統，密碼應用改造照這方案一般由用戶單位組織編寫，用戶單位編寫密碼應用建設方案/改睡喝造方案後，應委托專家(jiā)對方案進行評估或爸畫委托密評機構出具方案密評報告。

● 系統評估階段

注：密評系統的定級參照網絡安全等級保護的山男系統定級。

密評過程（見下圖）分為(wèi)四個基本測評活動：測評準備活動信下、方案編制活動、現場測評活動、分析與報告編制活動花音；測評雙方之間的溝通(tōng)與洽談貫穿整個密碼應用安全性評估過程。綠風其中，測評對象包括安全人員、管理員、密碼妹的産品、網絡設備、服務器(qì)、數據庫、安全設備、要區操作系統、應用系統、業務系統、技術文檔、管理制度文檔輛月等；測評工(gōng)具涉及協議分析工(gōng)具、端口掃描工(gōng)離日具、滲透測試工(gōng)具、算法和随機性檢測工(gōng)具、黃草密碼應用檢測工(gōng)具、密碼安全協議檢測工(gōng)具等。

按照《密碼法》确定的屬地管理原則，應由運營者畫可所在地的密碼管理部門作為(wèi)備案部門，由省那現級密碼管理部門作為(wèi)一般備案部門，國家(jiā)密碼管理局作間生為(wèi)特殊備案部門。自密評報告出具之日起30日城通内，填寫《網絡與信息系統密評備案信息表》，并按備案表要求，附上密評合同和密評報們和告，郵寄到所屬地密碼管理局。

​