一、密评是什么？

密评，全称商用密码应用安全性评估或者商用密码应用安全评估，是对采用商用密码技术、产品和服务集成建设的网络和信息系统中，其密码应用的合规性、正确性和有效性进行评估的活动。简单来说，密评就是评估网络和信息系统是否按要求应用了符合国密标准的密码技术。

二、为什么要做密评？

1. 法规要求：国家法规要求，涉及关键信息基础设施和重要信息系统的领域，法律法规明确规定必须进行密码应用安全性评估。在《中华人民共和国密码法》、《商用密码应用安全性评估管理办法(试行)》、《国家政务信息化项目建设管理办法》针对重要的信息系统在设计、建设和运行过程中需要进行密评。

2. 安全保障：密码是保障信息安全的重要手段之一。通过密评，可以检查密码在实际应用中的合规性、正确性和有效性，发现并纠正潜在的安全隐患和风险，提高信息系统的安全防护能力，保护敏感信息不被非法获取、篡改或泄露。

3. 管理规范：密评有助于规范密码的使用和管理，确保密码策略、规程和措施得到有效的执行和监督，防止密码滥用、误用和泄露等问题的发生。

4. 业务连续性：对于关键信息基础设施和重要信息系统来说，任何安全事件都可能导致严重的业务中断和经济损失。通过密评，可以提前发现并解决密码应用中存在的问题，减少安全事件发生的概率和影响程度，保障业务的连续性和稳定性。

三、密评的对象是谁？

密评的对象主要是那些采用商用密码技术、产品和服务集成建设的网络和信息系统，具体包括以下几类：

1. 基础信息网络：如电信网络、广播电视网、互联网等。

2. 涉及国计民生和基础信息资源的重要信息系统：如能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等领域的信息系统。

3. 重要工业控制系统：如核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统的网络和信息系统。

4. 面向社会服务的政务信息系统：包括党政机关、使用财政性资金的事业单位和团体组织使用的，面向社会提供服务的信息系统。

5. 商用密码应用的其他领域：除了上述特定领域外，任何在设计、建设和运行过程中使用了商用密码技术、产品和服务的信息系统都可能成为密评的对象。

总的来说，如果一个网络或信息系统在处理、存储、传输敏感信息时采用了商用密码技术，并且其安全性和稳定性对国家安全、社会稳定、公民权益或者企业运营具有重要影响，那么这个网络或信息系统就可能需要进行密评。具体的评估对象可能会根据国家和行业的相关政策法规以及系统的实际安全需求进行确定。

四、密评有什么要求？

1. 合规性要求：

◆ 符合法律法规：信息系统使用的密码算法、密码产品和服务应符合国家的密码法律法规，如《中华人民共和国密码法》等相关规定。

◆ 符合标准规范：密码应用应遵循相关的国家标准、行业标准和技术指南，例如GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等。

2. 技术要求：

◆ 物理和环境安全：保护密码设备和设施的物理安全，确保运行环境的安全性。

◆ 网络和通信安全：采用安全的网络架构和通信协议，保证数据在传输过程中的保密性和完整性。

◆ 设备和计算安全：密码设备和计算资源的安全管理，包括设备的身份认证、访问控制和安全更新等。

◆ 应用和数据安全：密码在具体应用中的实施和数据保护措施，包括加密算法的选择、密钥管理、数据备份和恢复等。

3. 管理要求：

◆ 管理制度：建立和完善密码应用的管理制度和流程，明确职责分工和操作规范。

◆ 人员管理：对涉及密码应用的人员进行培训和资质管理，确保其具备必要的密码知识和技能。

◆ 建设运行：在系统建设、运维和升级过程中，遵循密码应用的最佳实践和风险管理原则。

◆ 应急处置：制定应急预案和响应机制，以便在发生密码安全事件时能够及时、有效地进行处置。

4. 量化评估规则：

◆ 密评通常采用评分制，其中技术要求占70分，管理要求占30分。通过密评需要达到60分以上且无高风险项。

5. 高风险判定指引：

◆ 在评估过程中，如果发现存在高风险项，如严重违反密码法规或标准、关键安全控制缺失等，可能直接导致评估不通过。

6. 密码算法和密码技术要求：

◆ 使用的密码算法应符合法律、法规的规定和密码相关标准、行业标准的有关要求，重点关注密码算法的合规性。

◆ 密码技术应遵循密码相关国家标准和行业标准，保证自身的安全性、可靠性和与信息系统的互联互通性。

五、密评的流程主要有哪些环节？

密评旨在通过系统化的方法，全面、深入地评估信息系统中密码应用的安全性，为提高密码使用的合规性和安全性提供科学依据和指导。密评流程主要有以下环节：

1. 项目启动与准备：

◆ 确定评估对象和范围：根据法规要求和信息系统的重要性，确定需要进行密评的具体系统和网络。

◆ 制定评估计划：编制详细的评估计划，包括时间表、人员分工、资源需求等。

◆ 提供基础资料：被评估单位提供相关的基本资料，如管理架构、技术体系、运行情况、各种密码安全管理制度及相关管理记录等。

2. 密码应用方案评估：

◆ 审查密码应用设计方案：根据系统的定级情况，审查密码应用设计方案是否满足密码使用要求或规定。

◆ 评估密码防护措施：检查系统中的密码防护措施是否足够，是否能够有效防止密码攻击和泄露。

3. 测评准备：

◆ 编制项目计划书：被测评单位编制详细的项目计划书，描述评估的目标、方法和预期结果。

◆ 提供测评所需资料：填写系统调查表，提供被测系统的基本信息、行业特征、密码管理策略、网络及设备部署情况等。

◆ 准备测评工具：准备相关的测评工具，如漏扫工具、性能测试工具、协议分析工具等。

4. 现场测评：

◆ 实施现场评估：按照评估计划和方案，对信息系统进行现场的密码应用安全性评估。

◆ 执行测试用例：执行预定的测试用例，检查密码在实际应用中的合规性、正确性和有效性。

5. 分析和报告编制：

◆ 数据分析：对现场测评收集的数据进行分析，识别密码应用中的问题和风险。

◆ 编制评估报告：根据分析结果，编制详细的密码应用安全性评估报告，包括评估结论、发现的问题、建议的改进措施等。

6. 反馈与整改：

◆ 反馈评估结果：向被评估单位反馈评估结果，包括存在的问题和建议的整改措施。

◆ 整改实施：被评估单位根据评估报告进行整改，解决发现的问题和风险。

◆ 整改验证：评估机构对整改情况进行验证，确认问题是否得到有效解决。

7. 复评与持续监控：

◆ 定期复评：对于重要的信息系统，可能需要定期进行密码应用安全性复评，以确保系统的持续安全。

◆ 持续监控：建立密码应用安全的持续监控机制，及时发现并处理新的安全威胁和风险。