什么是商用密码？

商用密码应用安全性评估（简称“密评”）是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。以下是对商用密码应用安全性评估的详细解析：

一、法律法规依据

《中华人民共和国密码法》：该法第二十七条明确规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，并自行或者委托商用密码检测机构开展商用密码应用安全性评估。

《中华人民共和国网络安全法》：该法也对重要领域网络和信息系统的安全保护提出了要求，其中包括使用商用密码进行保护的相关规定。

《商用密码应用安全性评估管理办法（试行）》：该办法进一步细化了商用密码应用安全性评估的管理要求，明确了责任单位、评估流程等。

二、评估对象与范围

评估对象：采用商用密码技术、产品和服务集成建设的网络与信息系统。

评估范围：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。

三、评估内容

商用密码应用安全性评估主要包括以下三个方面：

合规性评估：判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求，以及使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。

正确性评估：判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确，即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现，自定义密码协议、密钥管理机制的设计和实现是否正确，安全性是否满足要求，密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。

有效性评估：判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用，是否满足了信息系统的安全需求，是否切实解决了信息系统面临的安全问题。

四、评估流程

商用密码应用安全性评估流程通常包括以下几个阶段：

规划阶段：分析系统现状，明确密码应用要求，编制密码应用方案，并进行密码应用安全性评估，确保方案符合相关要求。

建设阶段：按照密码应用方案进行系统建设，并在建设过程中进行密码应用安全性评估，确保系统建设符合方案要求。

运行阶段：系统投入运行后，定期开展密码应用安全性评估，及时发现并解决安全问题，确保系统持续安全运行。

五、评估结果与应用

评估结果：评估结果通常以评估报告的形式呈现，包括评估对象、评估内容、评估方法、评估结果及建议等。

应用：评估结果可作为信息系统安全保护的重要依据，帮助责任单位了解系统密码应用的现状和问题，并采取相应的措施进行改进和完善。同时，评估结果也可作为监管部门对责任单位进行监督检查的参考依据。

综上所述，商用密码应用安全性评估是确保网络与信息系统安全的重要手段之一。通过合规性、正确性和有效性三个方面的评估，可以全面了解系统密码应用的现状和问题，并采取相应的措施进行改进和完善，从而确保系统的安全性和稳定性。