日常生活中的移动支付、数字政务、远程医疗，都依赖一层看不见的“防护罩”——商用密码

当我们通过手机银行转账、在政务平台办理业务，甚至使用通讯软件聊天时，这些敏感信息的安全传递都离不开商用密码技术的保护。而为了确保这层保护足够坚固，就产生了一项重要工作——商用密码应用安全性评估（简称“密评”）。

01 密码是什么？从传统锁具到数字防护

平时我们说到“密码”时，大多想到是手机解锁密码或是银行卡支付密码。但在信息安全领域，密码的含义远不止于此。

因此需要引入一个新的概念：商用密码，商用密码是采用特定变换方法，对不属于国家秘密信息等进行加密保护、安全认证的技术、产品和服务，是数字世界的“锁具”和“签名”，用于保护信息的机密性和完整性以及身份的真实性。与传统密码不同，它涵盖加密算法和技术体系，如我国的SM2、SM3、SM4等国密算法构建多层次安全防护体系。

密码技术应用范围广泛，典型场景如下：

基础通信网络：电信网络、互联网基础设施等，需密码技术保障通信安全；

金融服务系统：网上银行、移动支付等，依赖密码技术保护交易与资金安全；

政务服务平台：政府政务服务系统需用密码技术保护公民隐私与政府敏感信息；

关键工业控制系统：能源、电力、交通等关键基础设施控制系统，可用密码技术防止恶意攻击造成重大损失；

企业核心数据：商业秘密、客户信息、经营数据等，需要适当级别的密码保护。

总之，需要保密、防范篡改、保证真实性的信息都依赖密码技术保护。随着数字化普及，密码技术应用范围不断扩大。

02 密评是什么？为密码防护做“体检”

如果把密码系统比作一座建筑的防盗设施，那么密评就是对这套设施进行全面“体检”和“验收”的过程。简单来说，商用密码应用安全性评估是指按照有关法律法规和标准规范，对使用了商业密码的系统进行评估，从而确保其密码应用的合规性、正确性、有效性。

03 密评的重要性

密评工作之所以被提升到国家法规层面，是因为具有多重重要意义：

法律价值：履行法定责任义务

《中华人民共和国密码法》《商用密码管理条例》等法律法规明确了密评工作的法定地位。重要网络与信息系统的运营者依法开展密评，是履行法律义务的具体体现。对于关键基础信息设施未按照要求使用商用密码或开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；对于拒不改正或者导致危害网络安全等后果的，对单位处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

安全价值：筑起数字安全防线

密评通过系统性检测验证，能够及时发现密码应用中的安全隐患和薄弱环节，防止因密码配置不当、算法使用不合规等问题导致安全事件的发生。密评是保障网络与信息系统安全运行的重要技术手段。

04 哪些情况必须开展密评？

虽然密码技术应用广泛，但是并非所有系统都需强制密评。根据国家规定，以下几类网络与信息系统必须开展商用密码应用安全性评估：

​ 法律强制要求类：关键信息基础设施（一旦遭到破坏或数据泄露，可能严重危害国家安全、国计民生或公共利益的重要网络与信息系统）必须依法开展密评。

​ 特定系统类型：包括基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统。

​ 较高安全等级系统：按国家网络安全等级保护制度，三级及以上信息系统须定期开展密评。

​ 特殊阶段要求：政务信息化项目立项阶段需提交密码应用方案，建成后半年内验收时须有密码应用安全性评估报告。

05 密评通关秘籍

1.选择合适的密评机构:密评机构应具备国家密码管理部门认证的资质，具有丰富的密评经验和专业的技术团队，能够确保密评工作的质量和可靠性。

2.加强沟通协调:在密评过程中，信息系统责任单位与密评机构之间应保持密切的沟通和协调，及时解决测评过程中出现的问题，确保测评工作的顺利进行。

3.注重整改落实:对于测评过程中发现的问题，信息系统责任单位应高度重视，积极落实整改措施，确保问题得到及时解决，提升信息系统的安全性。

4.持续关注安全动态:信息系统安全是动态过程，责任单位应持续关注安全动态，及时了解国家政策法规与技术标准变化，不断优化完善密码应用方案，确保系统安全合规。

随着技术发展，密码技术融入生活各方面。就像每家都会安装门锁保证安全，重要信息系统同样需要密码技术保护数据安全。密评则是定期检查“数字锁具”安全性能的“工具”，确保其保持最佳状态。未来，云计算、物联网、人工智能等新技术普及，密码技术应用空间更广阔，密评工作也将发展创新，为数字中国建设提供安全基石。

中科星云，密码安全可信之路的坚定守护者！