中国赛宝实验室 工业和信息化部电子第五研究所 工业和信息化部电子第五研究所 （中国赛宝实验室） 目录 应 用 安 全 性 评 估 商 用 密 码 密评简介 1 2 政策法规 3 密评内容 4 密评实施 5 机构简介 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.1 密码释 义 《密码法》第二条给出密码定义： 密码是指采用特定变换的方法对信息等进行加密保护、 《密码法》第八条： 商用密码用于保护不属于国家秘密的信息。 公民、法人和其他组织可以依法使用商用密码保护网络 与信息安全。 《中华人民共和国密码法》 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.2 密评释 义 商用密码应用安全性评估（简称“密评” ) ，指在采用商用密码技术、产品和服务 集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。 合规性 指密码算法、密码协议、密钥管 指密码算法、密码协议、密钥管 理、密码产品和服务使用合规。 使用符合国家密码法规和标准规 定的商用密码算法，使用经检测 认证合格的商用密码产品或服务。 正确性 指密码算法、密码协议、密钥管理、密 码产品和服务使用正确。即釆用的密码 算法、协议和密钥管理机制按照相应的 密码国家和行业标准进行正确的设计和 实现；密码保障系统建设或改造过程中 密码产品和服务的部署和应用正确。

天融信密评培训 安全接入产品线  第二章 密评建设方案  第一章 密评政策解读 第一章 密评政策解读 可信网络 安全世界 密评是什么？评估对象？评估的是什么？ 合规性 -- 技术 + 产品 + 服务 使用的密码算法、密码协议、密钥管理符合国家法律法规和标准规定，密码 产品或服务经过国家密码管理局核准和认证机构认证合格。 密码算法、密码协议、密钥管理、密码产品或服务使用正确，即按密码相关的 求，解决信息系统面临的安全问题。 有效性 -- 结合业务 中华人民共和国 网络安全法 含 草 案 说 明 中华人民共和国 密码法 含 草 案 说 明 2020 年 1 月 1 日 2017 年 6 月 1 日 中华人民共和国 国家标准 GB/T 39786-2021 《信息安全技术 信息系统 密码应用基本要求》 2021 年 10 月 1 日 “ 密评”全称：商用密码应用安全性评估 对采用商 10.7 2014.2.4 国务院办公厅印发 金融领域密码应用 指导意见 2017.6.1 《中华人民共和国网 络安全法》正式实施 2019.9 网络安全等级保护 2.0 标准正式发布， 密码技术成为等保重 要组成分之一 2020.1.1 《中华人民共和国 密码法》正式实施 2021.3.9 2015 2019.10.26 2018.2.8 国务院发布第 273 号令，施行《商用

密评工作流程指南 01 密评工作开展原则和依据 商用密码应用安全性评估（简称“密评”），是指对采用商用密码技术、产品和服务集成建设的 网络和信息系统密码应用的合规性、正确性、有效性进行评估。 参与方： 测评机构：为责任单位提供密码测评服务 被测单位：责任单位 参与单位：协助被测单位顺利通过密评（包括测评协助商， 系统集成商， 产品供应 商） 责任单位应当制定商用 《网络安全等级保护条例（征求意见稿）》 《关键信息基础设施安全保护条例（征求意见稿）》 《国密局关于加强政务密评的函》（国密局函 119 号） 《政务信息系统密码应用与安全性评估工作指 南》 《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护 制度的指导意见》（公网安〔 2020 〕 1960 号） 密评与等保的衔接 （所有三级以上系统和关键 基础设施落实密码应用的 “ 三同步一评估” 用安全性评估 密评的法律依据 （要用密码、要做密码 安全性评估） 《中华人民共和国密码法》 《中华人民共和国网络安全 法》 《国家政务信息化项目建设管理办法》（国办发〔 2019 〕 57 号） 密评的法律、法规、政策依据 《商用密码应用安全性评估管理办法（试行）》（ 2017 内部印发） 《国家政务信息化项目建设管理办法（国办发〔 2019 〕 57 号）》 密评的行政法规 （政务信息系统落实密码

密评梳理 0 1 密码知识 0 2 0 3 密评介绍 密评工作 密码简介 • 密码技术基础 0 1 • 密码分类 • 密码算法 密码技术基础 什么是密码？ ● 计算机开机“密码” ● 电子邮箱登录“密码” ● 银行卡支付“密码” ● 微信登录“密码” 口令≠ 密码 □ 密码是指使用特定变换对数据等信息进行加密保护或者 安全认证的物项和技术。 密码法 《中华人民共和国密码法》 《中华人民共和国密码法》 2020 年 1 月 1 日起 正 式实施。是为了规范密码应用和管理，促进 密码 事业发展，保障网络与信息安全，维护国 家安全 和社会公共利益，保护公民、法人和其 他组织的 合法权益，制定的法律。《密码法》 是中国密码 领域的综合性、基础性法律。 密码的分类 属于国家秘密。用于保护国家秘密 信息。 核心密码保护信息的最高秘级为绝 密级；普通密码保护信息的最高秘 认。 0 2 密评介绍 • 密评对象 • 两者关 系 • 基本概念 • 法律依据 密评工作关注要点  1. 五个等级：由低到高分为一到五级， 三 级最为常见  2. 主管单位：国家密码管理部门负责监督、 检 查、指导。（密评报告需双备案）  3. 监管力度：三级系统至少每年测评一 次 基本概念 关注要点 商用密码应用安全性评估（以下简称 “密评”）是指对采用商用密码技术、产品

等保测评密评对照 关于“等保”与“密评”在法律、标准、流程以及测评实施等方面的具体差异与内在 联系，一直是客户领导关注的焦点。他们希望了解这两项制度在维护网络安全 方面各自的作用与互补性，以确保信息系统的政策合规性，并在网络安全上得 到全面、高效的保障。 “等保”即网络安全等级保护，旨在通过不同安全等级的管理和技术措施，确保 信息系统的安全稳定运行。我国于 2017 年颁布的《网络安全法》中第二十一 加 全面和深入地保障了网络安全。 ”密评“即商用密码应用安全性评估，是对网络信息系统中所使用的商用密码产 品和应用进行的安全性评估。《密码法》于 2020 年开始实施，其中第二十七 条要求关键信息基础设施的运营者需依法使用商用密码进行保护，并自行或委 托专业机构开展安全性评估，确保与其他安全检测评估制度相衔接，避免重复 工作。 ”等保“和”密评“共同构成了我国网络安全防御体系的重要组成部分，两者相互补 信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到 相应的标准和要求。 ”密评“则聚焦于使用了商用密码的产品、系统和服务，对其密码算法选择、密 码协议设计、密钥管理以及密码模块的安全性等方面进行全面而深入的合规性、 正确性和有效性评估。 以下内容将从国家相应的法律法规、测评标准、测评流程以及测评实施等方面 对”等保“和”密评“的具体差异与内在联系进行简单的探讨。 01.国家法律法规角度对比

重要行业密码应用及密评政策 重要行业密码应用及密评政策 近年来，信息化、网络化、数字化程度不断加深，密码技术已经渗透到了社会生产 生活各个方面，重要网络和信息系统、关键信息基础设施、数字化平台都离不开密 码的保护。我国已在多部法律法规中明确规定了密码应用的要求，包括《密码法》 《网络安全法》《商用密码管理条例(修订草案征求意见稿)》《关键信息基础设施 安全保护条例》《网络安全等级保护条例（征求意见稿）》等。 息技术与交通运输融合创新应用，推动交通运输领域商用密码创新应用，加快发展 交通运输新型基础设施。 能源 “十四五”现代能源体系规划 【发布日期】2022 年 1 月 29 日 【发布单位】国家能源局 网络安全管控。加快推进电力监控系统安全防护体系完善工程、电力信息系统密码 基础设施建设工程、北斗时空基础设施应用及智能化运营体系工程建设，开展北斗 时频网建设，推进重点企业电力北斗综合服务平台建设和终端应用试点。建成电力 月 12 日 【发布单位】国家能源局 摘要：电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全 等级保护测评、关键信息基础设施安全检测和风险评估、商用密码应用安全性评估 和网络安全审查等工作，未达到要求的应当及时进行整改。 电力行业网络安全等级保护管理办法（修订征求意见稿） 【发布日期】2022 年 4 月 16 日 【发布单位】国家能源局 摘要：电力监控系统网络安全等级保护

密评备案信息表 备案日期 备案编号 密评类型 根据有关法人证书或文件上所载信息填写。 根据有关法人证书或文件上所载信息填写。 填写本次密评备案归属的省级密码管理部门，从提供选项中选择即可。 姓 名 联系电话 手机号或者座机号。 电子邮件 责任部门 填写规范全称。 姓 名 联系电话 电子邮件 功能描述 系统分类 服务对象 即备案回执出具日期，经密码管理部门反馈后 日，格式YYYYMMDD，例如20250701八位 数字。收到备案回执前可填填表日期。 提供选项供选择，包括：系统、方案。 注明：若为系统密评，则所有选项均需填写；若为初次方案密评，部分尚未确定内容的选项可不填写。 责任单位（网络运营 者）名称 填写规范全称，应与密评报告信息页所载的运营者名称保持一致，若运营者为企业或事业单位，采用其 法人证书上所载名称，若运营者为机关单位，采用机构编制文件上所载名称。（加盖公章） 江苏省南京市密码管理局”、“广东省深圳市南山区密码 管理局”。如不涉及委托，仅由本级行使，填写和前一项相同的“某省（区、市）密码管理局”。密码管理 局前不加“国家”两字。 责任单位 负责人 职务/职称 责任部门 联系人 职务/职称 手机号（必填）、座机号 （选填）。 网络与信息 系统名称 若该系统进行了等保定级备案，以备案系统名称为准；若未定级备案，以密评报告上所载的系统名称为

分保、等保、关保、密评 之间联系与区别 02 相关的法律法规依据 06 密评工作简介 01 什么是“ 3 保 1 评” 05 关保工作简介 03 分保工作简介 07 3 保 1 评联系与区 别 04 等保工作简介 H CONTENTS 01 PART ONE 什么是“ 3 保 1 评 ” 日日日日母 涉密信息系统分级保护 指涉密信息系统的建设使用单位根据分级保护管理 级保护制度的基础上，实行重点保护 商用密码应用安全评估 是指对采用商用密码技术、产品和服务集成建设的 网络和信息系统密码应用的合规性、正确性、有效 性进行评估。 分保 等保 关保 密评 什么是“ 3 保 1 评” 网络安全领域 3 保 1 评 ◎ 02 PART.TWO 相关的法律法规依据 日 日母母 《国家保密法》 (2010 年 ) 第二十三条存储、处理国家秘密的计算机信息系统 理、传输国家秘密的最高密级分为绝密级、 机密级和秘密级。 《关于加强信息安全保障工作中保密管理的若干意见》 ( 中保委发 [2004]7 号 ) 《涉及国家秘密的信息系统分级保护管理办法》 ( 国保发 [2005]16 号 ) 相关的法律法规依据 分保 涉密信息系统分级保护 《中华人民共和国计算机信息系统安全保护条例》 ( 国务院 147 号令， 1994 年 ) 《国家信息化领导小组关于加强信息安全保障工作的意见》

密评备案信息表 备案日期 备案编号 密评类型 根据有关法人证书或文件上所载信息填写。 根据有关法人证书或文件上所载信息填写。 填写本次密评备案归属的省级密码管理部门，从提供选项中选择即可。 姓 名 联系电话 手机号或者座机号。 电子邮件 责任部门 填写规范全称。 姓 名 联系电话 电子邮件 功能描述 系统分类 服务对象 即备案回执出具日期，经密码管理部门反馈后 日，格式YYYYMMDD，例如20250701八位 数字。收到备案回执前可填填表日期。 提供选项供选择，包括：系统、方案。 注明：若为系统密评，则所有选项均需填写；若为初次方案密评，部分尚未确定内容的选项可不填写 责任单位（网络运营 者）名称 填写规范全称，应与密评报告信息页所载的运营者名称保持一致，若运营者为企业或事业单位，采用其 法人证书上所载名称，若运营者为机关单位，采用机构编制文件上所载名称。（加盖公章） “江苏省南京市密码管理局”、“广东省深圳市南山区密码 管理局”。如不涉及委托，仅由本级行使，填写和前一项相同的“某省（区、市）密码管理局”。密码管理 局前不加“国家”两字。 责任单位 负责人 职务/职称 责任部门 联系人 职务/职称 手机号（必填）、座机号 （选填）。 网络与信息 系统名称 若该系统进行了等保定级备案，以备案系统名称为准；若未定级备案，以密评报告上所载的系统名称为