随着企业加速步入数字化转型的轨道，商用密码应用的安全性评估（密评）已成为众多企业不可或缺的一环。这一评估工作严格遵循既定的法律法规和标准化要求，全面而深入地检查、剖析并验证企业及其信息系统所采用的商用密码技术、产品及服务在合规性、应用精确性和实际效能方面的表现。

密评是对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。其目的是“以评促用”，促进密码应用的合规性、正确性、有效性。

中国自主研发的商用密码算法体系被称为国密算法，以下是一些常用的国密算法：

我国网络整体的安全防护屏障较为薄弱，大量数据没有得到有效的密码技术保护，存在严重的安全隐患。2018年商用密码应用安全性评估联合委员会对1万余个等保三级及以上的信息系统进行普查，结果显示，未使用密码进行安全防护的信息系统占比高达 75.23%。多数企业不知道密码技术需要在哪里用、用什么、怎么用，这一数据揭示了我国网络安全防护的严峻形势。因此，进行密评是迫切需要的，以加强网络数据的保护，提升安全防护能力。

密码使用不规范也是当前网络安全领域的一大问题。在信息化建设的快车道上，安全保护往往被边缘化，导致密码应用存在不合规、不正确的情况，特别是在密钥管理和密码系统运维环节，风险隐患尤为突出。根据2018年商用密码应用安全性评估联合委员会对118个大部分已使用密码技术的重要系统进行抽查，发现85%的系统不符合密码应用要求。这再次强调了密评的必要性，以引导密码使用的规范化，确保信息系统的合规安全。

许多系统仍在沿用过时的密码算法，如MD5、SHA-1和RSA-1024等，这些算法的安全防线已难以抵御现代攻击手段，为信息系统安全埋下重大隐患。密评的开展能够及时识别并替换这些低安全性的密码算法，为系统安全升级保驾护航。

国家通过多项法律法规明确规定，等保三级及以上信息系统以及关键信息基础设施均须实施严格的密码保护措施，以确保其安全稳健运行。这些法律法规不仅强调了密码保护的重要性，还详细规定了密码应用的范围、要求以及评估机制，旨在构建一个全方位、多层次的网络安全防护体系。以下列举部分法律法规条款：

• 电信网、广播电视网、互联网等基础信息网络；

•  能源、教育、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统；

• 石油石化、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统电力系统、石油天然气、油气管道等重要信息系统和重要工业控系统；

• 党政机关和使用财政资金的事业单位、团体组织使用的面向社会服务的信息系统；

• 基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统。

密评三同步的流程涵盖了信息系统的规划、建设和运行三个阶段，旨在确保系统在全生命周期内都具备足够的安全防护能力。

在信息系统规划阶段，信息系统责任单位需要全面考虑系统现状与密码应用需求，并据此编制密码应用方案。这一方案需要经过专家或委托的密评机构进行评估与审定，确保方案的科学性和安全性。审定后的密码应用方案将成为信息系统建设、验收和评估等工作的重要依据。

进入信息系统建设阶段，责任单位需严格按照已审定的密码应用方案来进行系统设计与实施。在此阶段，还需组织进行密码安全性评估，确保系统在投入运行前已经具备足够的安全防护能力。

在信息系统运行阶段，责任单位需要明确密码应用的运行管理和运行控制的机构、人员及管理制度，确保系统能够持续安全运行。同时，还需制定应急预案及处置措施，以应对可能出现的安全风险。此外，按照密码应用方案中的安全管理要求执行，并定期开展密码应用安全性评估，确保系统能够及时发现并修复潜在的安全漏洞。

依据国标《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》，从应用技术要求（物理和环境、网络和通信、设备和计算、应用和数据）和安全管理（管理制度、人员管理、建设运行、应急处置）等方面开展评估。在密评中，采用应用技术要求70分+安全管理要求30分的模式。通过密评=60分以上+无高风险项。以下列举各项指标要求的权重和分值：

• ‌测评准备阶段‌：收集被测系统的相关资料信息，全面掌握被测系统密码使用的详细情况

• ‌方案编制阶段‌：确定测评对象、测评边界、测评指标等内容，并依据技术标准、规范编制测评方案和结果记录表格

• ‌现场测评阶段‌：严格执行测评方案中的内容和要求，规范、准确、完整地填写测评结果记录，客观、真实、科学地反映出系统的密码安全防护状况

• ‌报告编制阶段‌：根据测评结果编制密评报告，详细记录测评过程和发现的问题，提出改进建议

• 密评结果上报：评测报告一般一式4份，1份提交国家密码管理局、1份提交被评测单位所属省部密码管理部门、1份提交委托单位、1份由评测机构留存‌

在信息系统的全生命周期中，密码产品贯穿始终，从物理环境的安全防护到设备计算环境的加固，再到网络通信的加密传输，最终到应用数据的完整性保护，密码技术无处不在，为数据安全构筑起坚实的防线。它们不仅确保了数据的机密性、完整性和可用性，还为信息系统的安全运行提供了全方位的保障。接下来，我们将从物理和环境安全、设备和计算安全、网络和通信安全以及应用和数据安全四个方面，详细解析密码产品在各个环节中的关键作用。

①身份鉴别：机房部署电子门禁系统，实现基于国密算法对进入机房的人员进行身份鉴别的功能。

②数据完整性：通过调用服务器密码机对门禁数据和视频数据进行完整性保护。

①身份鉴别：网络边界部署国密SSL/IPSEC VPN网关，终端部署国密浏览器或者VPN客户端，采用数字证书认证技术，保证通信双方身份的真实性。

②通信数据完整性和机密性：终端与服务端之间采用国密SSL通道实现传输的机密性和完整性保护。服务端与第三方机构之间，采用国密IPSEC实现数据传输的机密性和完整性保护。

③访问控制完整性：网络边界部署国密SSL/IPSEC VPN网关对自身网络边界访问控制信息进行完整性保护。

①身份鉴别：对于远程运维人员通过堡垒机调用前置部署的SSL VPN安全网关，采用SM2数字证书方式实现身份鉴别。

②远程管理通道安全：远程管理通道安全性复用网络层运维侧安全网关能力。

③关键日志、可执行程序等信息的完整性和真实性：部署服务器密码机，提供数字签名验签、MAC等密码服务接口实现改造。

①身份鉴别：依托USBKey或协同签名组件配合签名验签服务器进行应用层人员身份鉴别。

②数据传输机密性和完整性：采用SM4对称加密、SM3-MAC对关键源发数据做加密和完整性保护，保证数据传输的机密性和完整性。

③数据存储机密性和完整性：上层应用对接服务器密码机，采用SM4对称加密和SM3-MAC技术，对关键数据进行加密并计算MAC值后，存储在数据库或磁盘中。

④不可否认：通过调用时间戳服务器、签名验签服务器(必选)，对于系统间的交互，利用数字签名等技术保障交互过程中的不可否认性。