首页
学习
活动
专区
圈层
工具
发布
技术百科首页 >商用密码 >商用密码的安全性如何评估?

商用密码的安全性如何评估?

词条归属:商用密码

1. 商用密码应用安全性评估(密评)的定义

商用密码应用安全性评估(简称"密评")是指在采用商用密码技术、产品和服务集成建设的网络和信息系统(简称"信息系统")中,对其密码应用的合规性、正确性和有效性等进行评估的活动。密评工作的责任主体是涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位。

2. 密评的评估对象

密评对象包括基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。根据《密码法》第二十七条的规定,关键信息基础设施必须依法使用商用密码进行保护并开展商用密码应用安全性评估。

3. 密评的主要依据标准

密评工作主要依据以下国家标准:GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》规定了信息系统从第一级到第四级的密码应用基本要求,是密评最重要的技术标准;GB/T 37092-2018《信息安全技术 密码模块安全要求》规定了密码模块的安全要求。密评实施过程中还参考GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》等行业标准。

4. 密评的评估量化规则

密评采取打分制,通过标准为:总分要求为应用技术要求70分+安全管理要求30分,总分不低于60分;高风险项要求为无高风险项(依据《信息系统密码应用高风险判定指引》);单项要求为各项测评指标需达到基本合规要求。密评贯穿关键信息基础设施的全生命周期:规划阶段对应用方案评估,运行前进行投入运行评估,运行后每年至少开展一次定期评估。

5. 密评的评估内容维度

密评主要从以下维度开展评估:总体要求评估,包括密码应用总体架构设计的合理性;物理和环境安全评估,包括机房记录完整性保护等;网络和通信安全评估,包括身份可信、机密性、完整性等;设备和计算安全评估,包括运维认证、远程通道、日志防篡改等;应用和数据安全评估,包括认证、传输存储加密、不可否认等;密钥管理安全评估,包括生成至销毁的全生命周期管理;安全管理体系评估,包括制度、人员、应急管理。

6. 未按规定开展密评的法律责任

根据《密码法》的相关规定,未按规定开展密评的法律后果包括:责令改正,由密码管理部门责令改正,给予警告;罚款,拒不改正或情节严重的,对运营者处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款;停业整顿,可责令停业整顿;信用惩戒,纳入信用记录,实施联合惩戒。

7. 密评与数据安全评估的制度关联

2026年8月20日起施行的《网络数据安全风险评估办法》首次在部门规章层面将密评与重要数据安全评估作出关联要求。该办法第二十三条规定:涉及重要数据加密等技术措施的,应当按照国家密码相关法律法规要求开展商用密码应用安全性评估。这意味着重要数据处理者在开展年度数据安全风险评估时,若采用加密技术保护重要数据,需同步开展密评工作。

相关文章
汽车 TARA 威胁分析与商用密码应用评估方案解析
汽车 TARA 威胁分析与商用密码应用评估方案解析 摘要:TARA(Threat Analysis and Risk Assessment)是 ISO 21434 定义的核心风险分析方法,而商用密码应用评估(密评)是国内合规的必经之路。本文将两者结合,从密码技术支撑 TARA 的角度,分析汽车行业...
安当加密-焱垚
2026-06-29
1050
如何评估YashanDB的数据库安全性
在当前信息化时代,数据库安全性已成为保障企业数据资产完整和业务连续性的核心要素。如何科学、全面地评估数据库系统的安全性能,成为数据库选型和运维的重要环节。YashanDB作为一款具备自主研发能力的企业级数据库产品,其安全体系设计严谨,涵盖了用户管理、身份认证、访问控制、数据加密、审计以及反入侵等多个方面。本文将基于YashanDB的体系架构和安全特性,深入剖析其安全性能,以指导用户进行科学评估。
数据库砖家
2025-10-04
2340
评估云的安全性
云安全既是一场短跑也是一场马拉松。这场短跑需要安全团队迅速采取正确的防御措施,以在短期内解决零日攻击 (zero-day attacks) 和持续性的威胁。同时,它也是一场马拉松比赛,需要对一个组织的安全状态进行频繁的检查和长期的提升,以应对不断更新和演化的威胁和行业规范。
Techeek
2018-01-10
1.7K0
技巧:如何提升Oracle用户密码的安全性
环境:Oracle 11.2.0.4 客户需求:主要背景是数据库中有很多业务用户名,且由于部分用户缺乏安全意识,甚至直接将自己的密码设置为和用户名一样,目前客户期望密码设置不要过于简单,最起码别和用户名一致或相似就好。 1.官方解决方案 2.删减版解决方案 3.测试验证方案 4.用户最近一次的登录时间 1.官方解决方案 实际上Oracle提供有一个非常好用的安全校验函数,来提升用户密码的复杂性。这个在之前的文章《Oracle 11g 安全加固》中的“1.8.数据库密码安全性校验函数”章节就已经有了确切的解
Alfred Zhao
2018-05-11
9650
高分通过!TCE高分通过密码应用安全性评估(3级)
仅90余天,借助腾讯安全云鼎实验室的商用密码合规解决方案,腾讯专有云企业版Tencent Cloud Enterprise(Tencent TCE)于2021年11月高分通过第三方密评机构的密码应用安全性评估(3级标准)。
腾讯云天御
2022-01-18
3K0
点击加载更多
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
领券