商用密码应用安全性评估的重要性

一、密码应用问题

如何合规、正确、有效使用商用密码，充分发挥商用密码在保障网络空间安全中的核心技术和基础支撑作用，关于国家大局、关乎网络空间安全、关于用户个人隐私。因此，要在保证商用密码应用大力推进和普及的同时，做好网络与信息系统的商用密码应用安全性评估，确保商用密码应用的合规、正确、有效。

密码安全形势严峻，商用密码应用现状不容乐观，主要存在以下问题：

①密码应用不广泛

目前，我国网络的整体安全防护能力十分脆弱，大量数据没有使用密码技术保护，处于“裸奔” 状态，有些数据即使用了密码技术保护措施也是使用了不合规的密码技术，存在巨大的安全隐患。有关部门对所辖信息系统进行检查，结果表明商用密码应用比重较低，系统安全防护能力十分薄弱。

②密码应用不规范

1999年《商用密码管理条例》（2020年8月20日国家密码管理局发布了修订草案征求意见稿）提出任何单位或个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生严的密码产品。近年来虽然中央、地方、行业相继出台一些规定和配套制度、要求，但在一些地区和部门并未得到有效实施。－些单位重信息化建设、轻信息安全保护，信息系统密码使用不规范、不正确，在密钥管理、密码系统运行维护等方面存在风险。

③密码应用不安全

现有大量系统依旧在使用MD5、SHA-1、RSA-1024、DES等已被警示有风险的密码算法，以及基于这些密码算法提供的不安全密码服务。此外，应用系统应按规范要求使用密码服务、或者调用密码应用接口等等，这给信息系统带来了严重安全隐患。

二、商用密码应用安全性评估是发挥密码作用的必要手段

商用密码应用安全性评估（密评）是商用密码检测认证体系建设的重要组成部分，是衡量商用密码应用是否合规、正确、有效的重要抓手。开展密评是维护网络空间安全、规范商用密码应用的客观要求，是深化商用密码“放管服”改革、加强事申事后监管的重要手段，也是重要领域网络与信息系统运营者和主管部门必须承担的法定责任。

①开展密评是应用网络安全严峻形势的迫切需要

建立密评体系，就是为了解决商用密码应用中存在的突出问题，为重要网络与信息系统的安全提供科学评价方法，以评促建、以评促改、以评促用，逐步规范商用密码的使用和管理，从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络与信息系统中的有效使用，切实构建起坚实可靠的网络空间安全密码屏障。

②开展密评是系统安全维护的必然要求

商用密码应用安全是整体的、系统的、动态的。密码安全是网络与信息系统安全的前提，构建成体系的、安全苟效的密码保障系统，对重要网络与信息系统有效抵徊网络攻击具有关键作用和重要意义。密码应用是否合规、正确、有效，涉及密码算法、协议、产品、技术体系、密钥管理、密码应用等多个方面。有必要委托专业机构、专业人员，采用专业工具和专业手段，对系统整体的商用密码应用安全进行专项测试和综合评估，形成科字准确的评估结果，以便及时掌握商用密码安全现状，采取必要的技术和管理措施。

③开展密评是相关责任主体的法定职责

《中华人民共和国密码法》规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。《中华人民共和国网络安全法》也指出，网络运营者应当履行网络安全保护义务，并明确在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护。采取技术措施和真他必要措施，维护网络数据的完整性、保密性和可用性。《网络安全等级保护条例（征求意见稿）》强化密码应用要求，突出密码应用监管，重点面向网络安全等级保护第三级及以上系统，落实密码应用安全性评估制度。因此，针对网络安全等级保护第三级及以上信息系统、关键信息基础设施开展密评，将是网络运营者和主管部门的法定责任。