商用密码应用安全性评估

商用密码应用与安全性评估介绍

商用密码应用安全性评估（简称“密评”）是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对真密码应用的合规性、正确性和高效性进行评估的活动。对商用密码应用安全性的评估，立足系统安全、体系安全和动态安全，对包括密码算法、密码协议和密码设备等进行整体安全性评估。商用密码应用安全性评估包括两部分重要内容：信息系统规划阶段对密码应用方案进行评审／评估和建设完成后对信息系统开展的实际测评。

密评依据及内容

主要依据GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用测评要求》、《信息系统密码应用高风险判定指引》和《商用密码应用安全性评估量化评估规则》等标准规范，进行商用密码应用安全性评估，并出具测评报告如下图所示。

一、密码应用方案评估

密码应用方案设计是信息系统密码应用的起点，它直接决定着信息系统的密码应用能否合规、正确、有效地部署实施。此外，密码应用方案还是开展信息系统密码应用情况分析和评估工作的基础条件，是开展密评工作不可或缺的重要参考文件。密码应用方案需按照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，结合信息系统的实际情况进行设计，并保证具有总体性、科学性、完备性和可行性。

评估流程如下图所示

二、系统测评

在测评活动开展前，需要对被测信息系统的密码应用方案进行评估，通过评估的密码应用方案可以作为测评实施的依据。

测评过程包括四项基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评方与被测单位之间的沟通与洽谈应贯穿整个测评过程。测评过程如下图所示。