密评

一、密评的主要评估对象有哪些？

1. 重要网络与信息系统

根据《商用密码应用安全性评估管理办法》第六条，密评的对象主要包括：

• 关键信息基础设施：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，一旦遭到破坏、丧失功能或数据泄露后可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统
• 政务信息化系统：党政机关和使用财政资金的事业单位、团体组织使用的面向社会服务的信息系统
• 网络安全等级保护第三级及以上信息系统：等保三级及以上且涉及商用密码的系统

2. 具体行业范围

密评适用对象涵盖以下重要领域：

• 基础信息网络：电信网、广播电视网、互联网等
• 重要信息系统：能源、教育、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统
• 重要工业控制系统：石油石化、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统
• 面向社会服务的政务信息系统：使用财政性资金建设的信息系统

二、密评与等保测评有什么区别和联系？

1. 核心区别

密评与等保测评在定位、范围和实施主体上存在显著差异：

2. 二者联系

密评与等保测评共同构成网络安全双重防线：

• 法规衔接：《网络安全法》要求等保覆盖所有非涉密系统，《密码法》对关键信息基础设施、等保三级以上系统提出密评强制要求
• 评估衔接：对于使用商用密码的等保三级及以上系统，运营者应当分别完成年度等级保护测评和年度商用密码应用安全性评估
• 内容衔接：等保测评中的密码应用部分与密评内容存在重叠，应当避免重复评估

3. 实际应用场景

以金融行业为例，某银行核心系统既要满足等保三级的访问控制要求，又需通过密评确保交易数据的加密存储和传输完整性，实现"宏观+微观"的双重安全保障。

三、密评的工作流程是什么？

1. 测评准备活动

测评准备是密评工作的基础和前提：

• 项目启动：明确测评目标、范围、依据和标准
• 信息收集与分析：收集被测系统的相关资料，包括系统架构、密码应用方案、管理制度等
• 工具和表单准备：准备测评工具、检查表单、记录表格等

2. 方案编制活动

方案编制是密评的关键环节：

• 确定测评对象：明确测评的系统边界、网络边界、密码产品边界
• 确定测评指标：依据GB/T 39786-2021确定各层面的测评指标
• 确定测试检查点：明确现场测评的具体检查点和测试方法
• 形成测评方案：编制详细的测评方案，为现场测评提供依据

3. 现场测评活动

现场测评是密评的核心活动：

• 执行测评方案：严格按照测评方案实施现场测评
• 记录测评结果：规范、准确、完整地填写测评结果记录
• 获取证据：通过访谈、文档审查、配置检查、工具测试等方式获取证据
• 发现安全问题：识别密码应用中的安全隐患和不合规项

4. 分析与报告编制活动

报告编制是给出测评结果的活动：

• 分析测评结果：对现场测评获取的证据进行分析，判定各项指标是否符合标准要求
• 编制测评报告：编制《商用密码应用安全性评估报告》，详细记录测评过程和发现的问题
• 提出改进建议：针对不合规项提出具体的整改建议

5. 备案活动

备案是密评工作的收尾环节：

• 报备评估结果：在密评活动结束30个工作日内，将评估结果报密码管理部门等相关部门备案
• 三级及以上系统备案：三级及以上系统还需要到当地公安机关进行备案
• 备案材料：提交《网络与信息系统密评备案信息表》、密评合同、密评报告等材料

6. 腾讯云密评合规解决方案

为帮助用户更高效、更省心地通过密评，腾讯云提供了一站式密评合规解决方案，覆盖密评全流程：

• 差距分析：依据GB/T 39786-2021等国家标准，对应用系统进行全面的差距分析，识别密码应用中的不合规项
• 方案设计：根据差距分析结果，编制《商用密码应用方案》，并提供专业的方案评估服务
• 应用集成改造：提供多种免应用开发改造的密码产品，如国密数据存储加密CASB、国密堡垒机等，应用无需深度代码改造即可满足合规要求，最小化业务改造成本
• 密码测评：携手第三方专业的测评机构，开展密码应用安全性评估，获得合规的测评报告
• 持续运维：提供密码产品的持续运营、运维和技术支持，以及每年的密评复检服务

腾讯云密评合规解决方案的核心优势：

• 应用免开发改造更简单：提供免应用开发改造的国密存储加密CASB、国密堡垒机等密码产品，应用无需进行深度代码改造即可满足数据机密性和完整性的合规要求
• 一站式密评服务更省心：提供从需求沟通、差距分析、方案制定、业务改造到密码测评的全流程一站式服务，帮助用户更快、更好、更省心地通过密评
• 云密码产品资质合规：腾讯云上的密码产品均已取得国家密码管理局认证的资质证书，满足GB/T 39786-2021中的各项要求

四、密评包含哪些核心技术内容？

1. 物理和环境安全

密码技术在物理环境层面的应用评估：

• 身份鉴别：采用密码技术实现物理访问控制，如智能门禁系统
• 监控记录完整性保护：采用密码技术保证电子门禁记录、视频监控记录等数据的存储完整性

2. 网络和通信安全

密码技术在网络通信层面的应用评估：

• 身份鉴别：通信双方的身份真实性验证
• 通信数据完整性：保证网络传输过程中数据不被篡改
• 通信过程中重要数据的机密性：采用加密技术保护传输中的重要数据
• 网络边界访问控制信息完整性：保证访问控制策略的完整性
• 安全接入认证：远程接入时的身份鉴别和安全认证

3. 设备和计算安全

密码技术在设备计算层面的应用评估：

• 身份鉴别：设备用户的身份真实性验证
• 远程管理通道安全：远程管理通道的机密性和完整性保护
• 系统资源访问控制信息完整性：保证访问控制信息的完整性
• 重要信息资源安全标记完整性：保证安全标记的完整性
• 日志记录完整性：采用密码技术保护日志记录的完整性
• 重要可执行程序完整性：保证重要程序的完整性，防止恶意代码植入
• 重要可执行程序来源真实性：验证程序的来源可信

4. 应用和数据安全

密码技术在应用数据层面的应用评估：

• 身份鉴别：应用系统用户的身份真实性验证
• 访问控制信息完整性：保证访问控制策略的完整性
• 重要信息资源安全标记完整性：保证安全标记的完整性
• 重要数据传输机密性：采用加密技术保护传输中的重要数据
• 重要数据存储机密性：采用加密技术保护存储中的重要数据
• 重要数据存储完整性：采用密码技术保证存储数据的完整性
• 不可否认性：采用数字签名等技术实现行为的抗抵赖

5. 密钥管理

密钥全生命周期管理的评估：

• 密钥生成：密钥生成的随机性、合规性
• 密钥存储：密钥存储的安全性，防止非法访问
• 密钥分发：密钥分发过程的机密性、完整性、真实性保护
• 密钥使用：密钥使用的正确性和安全性
• 密钥备份与恢复：密钥备份恢复机制的安全性
• 密钥归档：归档密钥的安全管理
• 密钥销毁：密钥销毁的彻底性，保证无法恢复

在密钥管理实践中，可借助专业的密钥管理服务提升合规性和安全性。

6. 安全管理

密码安全管理制度的评估：

• 管理制度：密码安全管理制度的建立和发布
• 人员管理：关键岗位人员的设立、背景调查、技能考核及定期培训
• 建设运行：密码保障系统的建设、运行和维护管理
• 应急处置：密码应用安全事件的应急处置预案和演练

五、密评的评估标准是什么？

1. 国家标准

密评工作主要依据以下国家标准：

• GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》：规定了信息系统从第一级到第四级的密码应用基本要求，是密评最重要的技术标准
• GB/T 37092-2018《信息安全技术 密码模块安全要求》：规定了密码模块的安全要求

2. 行业标准

密评实施过程中参考的密码行业标准：

• GM/T 0115-2021《信息系统密码应用测评要求》：对GB/T 39786-2021的细化和补充，规定了信息系统不同等级密码应用的测评要求
• GM/T 0116-2021《信息系统密码应用测评过程指南》：规定了密评的实施过程
• GM/T 0054-2018《信息系统密码应用基本要求》：等保测评中密码应用的部分参考标准
• GM/T 0133-2024《关键信息基础设施密码应用要求》：2024年12月27日发布，2025年7月1日起实施，专门针对关键信息基础设施的密码应用要求

3. 评估量化规则

密评采取打分制，通过标准为：

• 总分要求：应用技术要求70分 + 安全管理要求30分，总分不低于60分
• 高风险项要求：无高风险项（依据《信息系统密码应用高风险判定指引》）
• 单项要求：各项测评指标需达到基本合规要求

4. 法律法规依据

密评的法律法规依据包括：

• 《中华人民共和国密码法》：2020年1月施行，第二十七条规定了密评的法律要求
• 《商用密码管理条例》：2023年修订，国务院令第760号
• 《关键信息基础设施安全保护条例》：国务院令第745号
• 《关键信息基础设施商用密码使用管理规定》：2025年6月11日发布，2025年8月1日起施行，国家密码管理局、国家互联网信息办公室、公安部令第5号

六、哪些系统必须通过密评？

1. 法律法规明确要求的系统

根据《密码法》《商用密码管理条例》等法律法规，以下系统必须通过密评：

• 关键信息基础设施：依据《关键信息基础设施安全保护条例》认定的关键信息基础设施
• 等保三级及以上系统：网络安全等级保护第三级及以上信息系统
• 政务信息化系统：国家政务信息化项目，依据《国家政务信息化项目建设管理办法》

2. 行业强制要求

各行业对密评的强制要求：

• 金融行业：银行、证券、保险等金融机构的核心业务系统
• 电信行业：基础电信网络和重要信息系统
• 能源行业：电力系统、石油天然气、油气管道等重要工业控制系统
• 交通行业：铁路、民航、公路、水运等重要交通信息系统
• 水利行业：水利枢纽、城市设施等重要水利控制系统
• 公共服务：涉及国计民生的基础信息资源的重要信息系统

3. 评估周期要求

不同类型的系统有不同的评估周期要求：

• 关键信息基础设施：每年至少开展一次密评
• 等保三级及以上系统：每年至少开展一次密评
• 新建系统：投入运行前必须通过密评
• 改造系统：密码应用改造完成后需重新进行密评

4. 法律责任

未按规定开展密评的法律后果：

• 责令改正：由密码管理部门责令改正，给予警告
• 罚款：拒不改正或情节严重的，对运营者处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款
• 停业整顿：可责令停业整顿
• 信用惩戒：纳入信用记录，实施联合惩戒

七、密评中常见的密码算法有哪些？

1. 国密算法体系

密评中必须使用国家密码管理局批准的国密算法：

• SM2椭圆曲线公钥密码算法：用于数字签名、密钥交换、公钥加密，替代RSA、DSA等国际算法
• SM3密码杂凑算法：用于数据完整性校验、数字签名等场景，替代MD5、SHA-1等国际算法
• SM4分组密码算法：用于数据加密，替代DES、3DES、AES等国际算法
• SM9标识密码算法：基于身份的密码算法，适用于物联网、移动互联网等场景

2. 国密算法应用场景

不同国密算法在密评中的具体应用：

• SM2应用场景：数字证书、代码签名、文档签名、密钥交换
• SM3应用场景：密码应用安全性评估、数据完整性校验、数字签名中的哈希计算
• SM4应用场景：数据传输加密、数据存储加密、数据库字段加密
• SM9应用场景：移动互联网身份认证、物联网设备认证

3. 合规算法要求

密评中对算法合规性的要求：

• 禁止使用不合规算法：不得使用MD5、SHA-1、DES、RSA-1024等已被破解或安全性不足的算法
• 强制使用国密算法：关键信息基础设施和重要数据处理系统必须采用国密算法
• 算法实现正确性：密码算法的实现必须符合国家标准，不得使用自研算法或改编算法

4. 国际算法过渡

对于已使用国际算法的系统：

• 逐步迁移：制定国密算法迁移计划，逐步替换国际算法
• 双算法支持：过渡期间可同时支持国密算法和国际算法
• 优先级：新系统应当优先采用国密算法，存量系统应制定国密算法改造计划，按计划完成迁移

八、密评中的密钥管理评估要点是什么？

1. 密钥生成评估

密钥生成环节的评估要点：

• 随机数生成器合规性：密钥生成使用的随机数发生器是否为经国家密码管理部门核准的
• 密钥生成环境：密钥是否在符合GB/T 37092的密码产品中产生，是否在密码模块内部产生
• 密钥随机性：确认密钥的随机性，具备检查和剔除弱密钥的能力
• 密钥关联信息：核实密钥种类、长度、拥有者、使用起始时间、使用终止时间等信息的准确性

2. 密钥存储评估

密钥存储环节的评估要点：

• 存储安全性：密钥（除公钥）是否以密文形式存储，是否位于受保护的安全区
• 存储环境：密钥加密密钥是否存储在符合GM/T 0028的二级以上密码模块中
• 访问控制：是否采取严格的安全防护措施防止密钥被非法获取
• 明文禁止：不得以明文方式出现在密码模块之外

3. 密钥分发评估

密钥分发环节的评估要点：

• 分发方式：了解系统内部采用何种密钥分发方式（离线分发、在线分发、混合分发）
• 安全措施：密钥传递过程中是否使用了密码技术对密钥进行处理，保护其机密性、完整性与真实性
• 抗攻击能力：是否能够抗截取、假冒、篡改、重放等攻击
• 身份鉴别：是否对分发者和接收者身份进行鉴别

4. 密钥使用评估

密钥使用环节的评估要点：

• 密钥用途：密钥是否明确用途，并按用途正确使用
• 密钥分离：加密与签名密钥是否严格分离
• 公钥验证：在使用公钥之前是否对其进行了验证
• 泄露处理：密钥泄露时，是否停止使用并启动相应的应急处理和响应措施
• 密钥轮换：是否按照密钥更换周期要求更换密钥

5. 密钥备份与恢复评估

密钥备份恢复环节的评估要点：

• 备份策略：是否制定明确的密钥备份策略
• 备份机制：是否采用安全可靠的密钥备份恢复机制
• 审计记录：密钥备份或恢复是否进行记录，并生成审计信息
• 安全措施：备份存储介质是否认证合格，是否采取安全保护措施

6. 密钥销毁评估

密钥销毁环节的评估要点：

• 销毁机制：是否具有在紧急情况下销毁密钥的措施
• 销毁策略：是否具有普通介质存储密钥的销毁机制
• 专用设备密钥销毁：是否具有专用设备存储密钥的销毁机制
• 不可恢复性：确保销毁后无法恢复

九、密评中的安全审计评估要求是什么？

1. 审计日志完整性保护

密评中对审计日志的密码应用要求：

• 日志记录完整性：采用密码技术（如SM3哈希算法）保证日志记录的完整性，防止篡改
• 日志存储完整性：采用密码技术保护日志存储的完整性
• 日志传输完整性：远程传输日志时，采用密码技术保证传输过程中的完整性

2. 密码操作审计

密评中需要重点审计的密码操作：

• 密钥操作审计：密钥生成、存储、分发、使用、备份、恢复、销毁等操作需全程审计
• 密码设备操作审计：密码机、HSM等密码设备的操作需记录审计日志
• 密码服务审计：CA证书签发、密钥管理服务调用等操作需记录审计日志
• 异常操作审计：密码应用异常、密钥使用异常等操作需记录告警日志

3. 审计日志管理要求

密评中对审计日志管理的要求：

• 日志留存期限：审计日志留存期限符合法律法规要求，通常不少于6个月
• 日志访问控制：只有授权人员才能访问审计日志，防止日志被篡改或删除
• 日志可追溯性：所有密码操作可追溯，包括操作主体、操作时间、操作内容、操作结果
• 日志备份：审计日志需进行备份，防止日志丢失

4. 合规性检查

密评中对安全审计的合规性检查：

• 审计策略合规性：审计策略是否符合GB/T 39786-2021的要求
• 审计内容完整性：审计内容是否覆盖所有关键的密码应用操作
• 审计日志安全性：审计日志本身是否采用了密码技术进行保护
• 审计分析报告：是否定期生成审计分析报告，发现安全隐患

十、密评对国密算法有什么要求？

1. 强制使用国密算法的场景

密评中强制使用国密算法的系统范围：

• 关键信息基础设施：所有被认定为关键信息基础设施的系统，必须使用国密算法
• 等保三级及以上系统：涉及商用密码的等保三级及以上系统，必须使用国密算法
• 政务信息系统：使用财政性资金建设的信息系统，必须使用国密算法
• 金融行业系统：银行、证券、保险等金融机构的核心业务系统，必须使用国密算法

2. 国密算法具体应用要求

密评中对国密算法应用的具体要求：

• SM2算法应用：数字签名、密钥交换、公钥加密等场景必须使用SM2算法，SM2密钥长度必须为256位
• SM3算法应用：数据完整性校验、数字签名中的哈希计算等场景必须使用SM3算法
• SM4算法应用：数据传输加密、数据存储加密等场景必须使用SM4算法，支持ECB、CBC、GCM等模式
• 国密SSL协议：HTTPS通信必须使用国密SSL协议（TLCP协议，GB/T 38636-2020），支持ECC-SM2-SM4-CBC-SM3或ECDHE-SM2-SM4-GCM-SM3等密码套件

在国密算法应用实践中，可采用通过国密认证的密码产品和服务，如支持SM2/SM3/SM4算法的密码模块、国密SSL证书服务、云加密服务等，以提升合规性和实施效率。

3. 禁止使用的算法

密评中明确禁止使用的算法：

• 哈希算法：禁止使用MD5、SHA-1等安全性不足的哈希算法
• 对称加密算法：禁止使用DES、3DES、RC4等安全性不足的对称加密算法
• 非对称加密算法：禁止使用RSA-1024等密钥长度不足的算法
• 自研算法：禁止使用未经国家密码管理局批准的自研算法或改编算法

4. 国密算法合规性验证

密评中国密算法合规性的验证方法：

• 算法实现正确性验证：验证国密算法的实现是否符合GM/T 0002-GM/T 0006系列国家标准
• 密码模块安全性验证：验证密码模块是否通过国家密码管理局的检测认证，是否符合GM/T 0028《密码模块安全技术要求》
• 密码产品合规性验证：验证使用的密码产品是否具有国家密码管理局颁发的商用密码产品认证证书
• 密码服务合规性验证：验证使用的密码服务是否符合国家密码管理要求

十一、密评的实施周期需要多久？

1. 新建系统密评周期

新建信息系统的密评实施周期：

• 规划阶段：编写密码应用方案，委托测评机构对方案进行评估，周期约1-2个月
• 建设阶段：根据通过评估的密码应用方案进行系统建设，周期视系统规模而定，通常3-6个月
• 评估阶段：系统建设完成后，开展商用密码应用安全性评估，周期约1-2个月
• 整改阶段：针对评估中发现的不合规项进行整改，整改完成后重新评估，周期视整改工作量而定
• 总体周期：新建系统从规划到通过密评，总体周期通常6-12个月

2. 存量系统密评周期

已投入运行系统的首次密评周期：

• 现状分析：分析系统现有密码应用情况，识别不合规项，周期约1个月
• 改造方案设计：编制密码应用改造方案，委托测评机构对方案进行评估，周期约1-2个月
• 改造实施：根据改造方案进行系统改造，周期视改造工作量而定，通常3-6个月
• 评估阶段：改造完成后开展密评，周期约1-2个月
• 总体周期：存量系统从启动改造到通过密评，总体周期通常6-12个月

3. 定期密评周期

系统通过密评后的定期评估周期：

• 评估频率：关键信息基础设施、等保三级及以上系统，每年至少开展一次密评
• 评估内容：定期评估主要关注密码应用的变化情况、密钥管理情况、安全管理制度执行情况等
• 评估周期：定期密评的实施周期通常1-2个月
• 整改要求：定期评估中发现的不合规项，需在下次评估前完成整改

4. 影响周期的因素

影响密评实施周期的主要因素：

• 系统规模：系统规模越大，密码应用越复杂，评估周期越长
• 合规基础：系统原有密码应用合规性越好，整改工作量越小，周期越短
• 密码产品选型：选用的密码产品是否通过国密认证，是否成熟稳定，影响实施周期
• 人员配备：是否配备专业的密码技术人员，影响方案设计和改造实施周期
• 测评机构排期：测评机构的工作排期也会影响密评周期

十二、密评对企业有什么实际价值？

1. 合规价值

密评帮助企业满足国家法律法规要求：

• 避免法律风险：通过密评可避免因未落实密码应用要求而面临的法律责任，包括罚款、停业整顿等
• 满足监管要求：满足金融、电信、能源等行业的监管 requirement，顺利通过监管检查
• 参与政府采购：通过密评是参与政府采购、承接政务信息化项目的前提条件
• 提升企业信誉：通过密评证明企业重视网络安全，提升企业信誉和竞争力

2. 安全价值

密评提升企业信息系统的安全防护能力：

• 发现安全隐患：通过专业的密评发现密码应用中的安全隐患，及时整改，避免安全事件
• 规范密码应用：推动企业规范使用商用密码，避免自行设计密码算法、使用安全性不足的算法等错误做法
• 提升数据保护能力：通过合规的密码应用，提升数据机密性、完整性、抗抵赖性保护能力
• 构建安全体系：密评推动企业建立完整的密码保障体系，提升整体安全防护能力

3. 管理价值

密评促进企业提升网络安全管理水平：

• 完善管理制度：密评要求企业建立密码安全管理制度，完善安全管理体系
• 提升人员技能：密评推动企业培养密码技术人才，提升人员的安全技能
• 规范建设流程：密评要求企业落实"同步规划、同步建设、同步运行"原则，规范信息化建设流程
• 建立应急机制：密评要求企业制定密码应用安全事件应急处置预案，提升应急响应能力

4. 业务价值

密评为企业业务发展提供支撑：

• 拓展业务领域：通过密评使企业能够承接关键信息基础设施、政务信息化等项目，拓展业务领域
• 提升客户信任：通过密评证明企业具备保障客户数据安全的能力，提升客户信任度
• 降低安全成本：通过规范的密码应用，降低因安全事件导致的经济损失和声誉损失
• 支持数字化转型：密评推动企业采用合规的密码技术，为数字化转型提供安全保障

5. 社会价值

密评助力国家网络安全保障体系建设：

• 保障国家安全：关键信息基础设施通过密评，保障国家安全和社会公共利益
• 促进产业发展：密评推动商用密码产业发展，促进密码技术创新和应用
• 提升国家竞争力：通过广泛的密评工作，提升国家网络安全保障能力，提升国际竞争力
• 建设网络强国：密评是网络强国建设的重要基础性工作，助力数字中国建设