商用密碼應(yīng)用的安全性評(píng)估，簡(jiǎn)稱“密評(píng)”，是指按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進(jìn)行檢測(cè)分析和評(píng)估驗(yàn)證的活動(dòng)。

一、商用密碼應(yīng)用的安全性評(píng)估的法律依據(jù)

1、《中華人民共和國(guó)密碼法》第二十七條：法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。

2、《商用密碼管理?xiàng)l例》為商用密碼的管理提供了基本框架，包括商用密碼的科研、生產(chǎn)、銷售、使用、檢測(cè)認(rèn)證、進(jìn)出口以及國(guó)際交流與合作等各個(gè)環(huán)節(jié)，是開(kāi)展商用密碼應(yīng)用安全性評(píng)估的重要法律依據(jù)。

二、商用密碼應(yīng)用的安全性評(píng)估內(nèi)容

1、合規(guī)性評(píng)估：

判定信息系統(tǒng)使用的密碼算法、密碼協(xié)議、密鑰管理是否符合法律法規(guī)的規(guī)定和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求。

檢查使用的密碼產(chǎn)品和密碼服務(wù)是否經(jīng)過(guò)國(guó)家密碼管理部門核準(zhǔn)或由具備資格的機(jī)構(gòu)認(rèn)證合格。

2、正確性評(píng)估：

判定密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)使用是否正確。

評(píng)估系統(tǒng)中采用的標(biāo)準(zhǔn)密碼算法、協(xié)議和密鑰管理機(jī)制是否按照相應(yīng)的密碼國(guó)家和行業(yè)標(biāo)準(zhǔn)進(jìn)行正確的設(shè)計(jì)和實(shí)現(xiàn)。

評(píng)估自定義密碼協(xié)議、密鑰管理機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)是否正確，安全性是否滿足要求。

檢查密碼保障系統(tǒng)建設(shè)或改造過(guò)程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用是否正確。

3、有效性評(píng)估：

判定信息系統(tǒng)中實(shí)現(xiàn)的密碼保障系統(tǒng)是否在信息系統(tǒng)運(yùn)行過(guò)程中發(fā)揮了實(shí)際效用。

評(píng)估密碼保障系統(tǒng)是否滿足了信息系統(tǒng)的安全需求，是否切實(shí)解決了信息系統(tǒng)面臨的安全問(wèn)題。

三、商用密碼應(yīng)用的安全性評(píng)估方法

密評(píng)過(guò)程中，評(píng)估團(tuán)隊(duì)會(huì)綜合運(yùn)用多種評(píng)估方法和技術(shù)，包括但不限于：

1、文檔審查：對(duì)信息系統(tǒng)的相關(guān)文檔進(jìn)行審查，了解系統(tǒng)架構(gòu)、商用密碼應(yīng)用情況等。

2、現(xiàn)場(chǎng)檢查：對(duì)信息系統(tǒng)進(jìn)行實(shí)地檢查，查看設(shè)備配置、安全措施落實(shí)情況等。

3、技術(shù)測(cè)試：采用專業(yè)的測(cè)試工具和技術(shù)手段，對(duì)商用密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行測(cè)試驗(yàn)證。

4、風(fēng)險(xiǎn)評(píng)估：結(jié)合信息系統(tǒng)的重要性和面臨的威脅，評(píng)估商用密碼應(yīng)用可能帶來(lái)的安全風(fēng)險(xiǎn)。

四、商用密碼應(yīng)用的安全性評(píng)估周期

在實(shí)際評(píng)估工作中，評(píng)估周期可能會(huì)根據(jù)評(píng)估對(duì)象的實(shí)際情況和評(píng)估機(jī)構(gòu)的建議進(jìn)行調(diào)整。例如，對(duì)于復(fù)雜度高、安全風(fēng)險(xiǎn)大的信息系統(tǒng)，可能需要縮短評(píng)估周期；而對(duì)于相對(duì)簡(jiǎn)單、安全風(fēng)險(xiǎn)較小的信息系統(tǒng)，則可以適當(dāng)延長(zhǎng)評(píng)估周期。

因此，商用密碼應(yīng)用的安全性評(píng)估周期應(yīng)根據(jù)實(shí)際情況靈活確定，但通常建議每年至少評(píng)估一次以確保信息系統(tǒng)的安全性和合規(guī)性。

商用密碼應(yīng)用的安全性評(píng)估方法是一個(gè)復(fù)雜而系統(tǒng)的過(guò)程，需要評(píng)估團(tuán)隊(duì)具備專業(yè)的知識(shí)和技能，遵循科學(xué)的評(píng)估原則和方法，確保評(píng)估結(jié)果的準(zhǔn)確性和可靠性。