首页 > 新闻动态> 深圳网安检测公司受邀参加“深圳商用密码企业产品展示”活动
深圳网安检测公司受邀参加“深圳商用密码企业产品展示”活动
2025-11-06

11月2日,2025年广东省密码技术行业(密码技术应用员)职业技能竞赛同期“深圳商用密码企业产品展示”活动,在哈尔滨工业大学(深圳)举办。本次活动由广东省密码管理局主办,深圳市密码管理局、深圳市人力资源和社会保障局、哈尔滨工业大学(深圳)承办,深圳市商用密码行业协会、深圳市职工教育和职业培训协会、深圳市网安计算机网络安全培训中心协办。

深圳网安检测公司受邀参加此次活动,同时网安检测公司商用密码应用安全性评估总工程师、深圳市商用密码行业协会专家委员会专家薛涛,作为授课专家为参赛学员开展统一培训;网安检测公司商用密码应用安全性评估总工程师邓诗智和洪跃腾,受邀担任本次竞赛决赛的裁判。活动现场,国家密码局、广东省密码局及各地市密码局相关领导莅临公司展位指导,提到我司是首批经国家密码管理局资质认定的商用密码检测机构,在商用密码领域的专业实践、积累的服务经验,以及作为民营机构为行业发展注入的活力给予了积极评价。


一、商用密码应用安全性评估(密评)核心概述

(一)密码的定义、功能和分类

根据《中华人民共和国密码法》(以下简称“密码法”)相关规定,密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务,是保障网络与信息安全的核心手段。其核心功能集中在两大维度:一是加密保护,通过特定技术手段将原始信息转化为不可直接识别的密文,防止信息在传输、存储过程中被非法窃取;二是安全认证,验证信息发送方身份的真实性、信息内容的完整性,确保信息来源可靠、未被篡改。​

从应用场景与保护对象来看,密码主要分为三大类别:核心密码与普通密码,二者均用于保护国家秘密信息,核心应用于中央机关、军队、央行、政务内网等涉及国家核心利益的关键领域,实行严格的统一管理与使用规范;商用密码则用于保护不属于国家秘密的信息,广泛应用于金融、通信、能源、交通、公共服务、政务服务等民生与经济领域,是保障社会信息安全、推动数字经济健康发展的重要支撑。

(二)密评的定义与核心依据

商用密码应用安全性评估(简称“密评”),是指专业机构对采用商用密码技术、产品和服务集成建设的网络和信息系统,从密码应用的合规性、正确性、有效性三个维度开展的全面评估。其中,“合规性”指密码应用是否符合国家法律法规、国家标准与行业规范要求;“正确性”指密码技术、产品的选型与部署是否与系统安全需求相匹配,能否实现预期的安全功能;“有效性”指密码应用在实际运行中能否有效抵御安全风险,保障系统与数据安全。​

密评工作主要覆盖信息系统的两大关键阶段:一是规划阶段的方案评估,即在系统建设前,对密码应用方案的合理性、可行性进行评估,从源头把控密码应用安全;二是建设、运行阶段的系统评估,即在系统建成上线或运行过程中,对密码应用的实际效果、合规性进行全面检测与验证。​

密评工作的核心标准依据为国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,该标准明确了不同安全保护等级信息系统的密码应用要求,为密评工作提供了统一、规范的技术指引,是保障密评结果科学性、权威性的重要基础。


二、开展商用密码应用安全性评估的必要性

(一)国家战略层面:筑牢网络空间安全屏障

从国家战略视角来看,密评并非可选项,而是保障国家安全与经济社会稳定的刚性要求。首先,在法治层面,密评是筑牢国家网络空间“法治防火墙”的关键环节,通过合规评估推动各行业落实密码安全责任,将密码应用纳入法治化管理轨道,确保网络与信息系统安全建设有法可依、有章可循。​

其次,在安全价值层面,密评是守护国家与经济社会运行“生命线”的重要手段。当前,金融、通信、能源、交通等行业的网络系统已成为经济社会运行的“神经中枢”,一旦发生密码安全漏洞,可能导致数据泄露、系统瘫痪,进而影响国家安全、地区稳定与国计民生。通过密评可提前发现并修复密码应用风险,避免安全事故发生。

最后,在技术战略层面,密评是打造自主可控“技术护城河”的重要驱动。国家大力推动密评工作,深层次考量在于拉动我国自主密码技术体系的发展与验证——通过密评实践,可检验自主密码产品的性能与安全性,推动国产密码技术在各行业的规模化应用,减少对国外密码技术的依赖,保障国家信息安全自主可控。

(二)技术安全层面:满足网络与数据安全核心需求

密码作为保障网络空间和信息化安全的核心技术,其应用效果直接决定系统安全防护能力。从技术安全需求来看,密码应用需满足四大核心目标:一是机密性,确保敏感数据在传输、存储过程中不被非法窃取;二是完整性,防止数据在传输、处理过程中被篡改;三是真实性,验证用户身份、设备身份与信息来源的可靠性;四是不可抵赖性,确保信息发送方无法否认已发送的信息,为后续责任追溯提供依据。​

具体到实际应用场景,密评需针对性满足多维度安全需求:包括数据的机密性保护(如金融交易数据、个人敏感信息加密)、数据访问与权限控制(如基于密码技术的身份认证与权限管理)、数据完整性保护(如关键业务数据的哈希校验)、身份鉴别与访问控制(如多因素认证、USBKey认证)、不可否认性保障(如电子签名、时间戳技术应用)等,通过全面评估确保密码技术真正落地生效,填补安全防护漏洞。

(三)合规管理层面:响应法律法规与政策要求

开展密评是各行业落实法律法规与政策要求的必然选择,多项国家与地方层面的规定明确了密评的强制性与必要性:​

1.《中华人民共和国密码法》第二十七条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估;第三十七条进一步明确了未开展密评的法律责任。​

2.《商用密码应用安全性评估管理办法》第八条、第九条规定,关键信息基础设施运营者应当在关键信息基础设施建成运行后30日内,自行或者委托商用密码检测机构开展密评,并将评估结果报所在地设区的市级以上密码管理部门备案;法律法规另有规定的,从其规定。​

3.中华人民共和国公安部公网安〔2020〕1960号文件《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第二条第六款明确要求“落实密码安全防护要求”,将密评作为网络安全等级保护与关键信息基础设施安全保护的重要配套措施。

4.深圳市密码管理局发布的深密码协调组〔2022〕1号文件《关于规范商用密码应用安全性评估结果备案工作的通知》,进一步细化了深圳市范围内密评结果备案的流程与要求,推动区域密评工作规范化开展。


三、商用密码应用安全性评估的流程与步骤

(一)规划阶段:方案评估

方案评估是在信息系统建设规划阶段,对密码应用方案的合理性、合规性进行全面审查,为系统后续建设提供科学指引,主要包括以下环节:


1.评估背景

评估团队需全面收集系统相关信息,包括:系统建设规划目标、建设内容与周期;国家及地方关于商用密码应用的法律法规、标准规范要求;与系统规划相关的前期调研、可行性分析等资料,明确项目实施的必要性;系统基本情况(如网络拓扑结构、承载的核心业务、软硬件设备构成)、现有管理制度等。在此基础上,结合系统安全风险控制需求与GB/T39786-2021《信息安全技术信息系统密码应用基本要求》中对应安全保护等级的密码应用要求,分析系统的密码应用需求,对于不适用的标准条款,需详细说明原因并提出替代性安全措施。

2.评估核心内容

方案评估需围绕密码应用技术框架、设备选型、管理措施与实施保障展开:​

(1)技术框架:结合方案设计原则与密码应用需求,明确密码应用技术框架的核心架构,详细描述加密、认证、密钥管理等关键环节的技术实现方式;​

(2)设备选型:提出密码设备选型原则(如符合国家密码管理局认证、适配系统需求),列出软硬件设备清单,绘制密码设备部署示意图并说明部署逻辑;​

(3)合规性分析:对照标准要求,分析密码应用方案对系统安全需求的满足情况,验证方案合规性;​

(4)管理措施:梳理系统拟采取的密码安全管理措施,包括人员管理(如密码管理人员资质、职责分工)、制度建设(如密钥管理制度、密码设备运维制度)、应急处置(如密码设备故障应急预案)等;​

(5)实施保障:明确项目实施内容、重难点问题及风险应对措施,制定实施路线图、进度计划、保障措施与经费概算,确保方案可落地执行。

3.评估条款适用规则

方案评估需严格遵循标准条款的适用原则,确保评估范围清晰、结果准确:​

(1)对于标准中“可”的条款:由信息系统责任单位根据自身需求,自行决定是否纳入标准符合性测评范围;​

(2)对于标准中“宜”的条款:密评人员需结合信息系统的密码应用方案与方案评审意见,综合判断是否纳入测评范围;若系统未制定通过评估的密码应用方案,或方案未明确说明,则“宜”的条款默认纳入测评范围;​

(3)对于标准中“应”的条款:若根据方案与评审意见,判定系统确无与某项测评指标相关的密码应用需求,则该指标判定为“不适用”,其余“应”的条款均需纳入测评范围。

4.评估核心要点​

方案评估需聚焦四大核心要点:一是内容完整性,审查方案是否覆盖密码应用技术、管理、实施保障等全环节,信息是否完整;二是业务适配性,判断密码应用方案是否与系统核心业务场景深度结合,能否满足业务安全需求;三是标准合规性,验证方案设计是否符合GB/T39786-2021等标准要求,不适用指标的说明是否充分合理;四是实施可行性,评估实施保障方案是否目标明晰、科学合理,配套措施是否完备,能否支撑方案落地。

(二)建设、运行阶段:系统评估


1.评估准备阶段​

准备工作是确保评估顺利开展的基础,主要包括:填写商用密码测评调研表,全面收集系统基本信息、密码应用情况;准备评估项目涉及的联系人清单(如系统运维人员、安全管理人员),明确沟通机制;与被测单位签署测评授权书,规范评估权限与责任;提前收集被测单位已制定的密码安全管理制度、运维记录等资料,为现场评估奠定基础。

2.现场评估阶段​

现场评估是系统评估的核心环节,评估团队需根据前期制定的《测评方案》,通过技术检测、文档审查、人员访谈等方式,收集充分的证据,验证密码应用的实际效果。技术检测包括对密码设备性能、加密算法有效性、密钥管理安全性等的测试;文档审查重点核查密码安全管理制度的完整性与执行情况;人员访谈则针对密码管理人员、运维人员的专业能力与操作规范性开展调研,确保评估结果全面、真实。


3.整改反馈阶段​

若现场评估发现密码应用存在漏洞或不合规问题,被测单位需在规定时间内开展短期整改,如补充完善密码安全管理制度、修改密码设备配置、优化密钥管理流程等。整改完成后,评估团队需对整改情况进行复核,验证问题是否已解决,确保密码应用达到标准要求。

4.分析与编制报告阶段​

评估团队需对现场评估收集的证据与整改复核结果进行全面分析:一是分析单项评估记录,验证各测评指标的达标情况;二是开展风险分析,识别单项风险、关联合成风险(如多个漏洞叠加导致的安全风险)与整体风险;三是根据分析结果编撰《商用密码应用安全性评估报告》,明确评估结论、存在的问题及改进建议,为被测单位优化密码应用提供指引。

(1)单项评估标准

单项评估需对照GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,对每个测评指标进行合规性判定,分为“符合”“基本符合”“不符合”三个等级,具体判定标准根据指标性质(如技术指标、管理指标)细化制定,确保评估结果客观、准确。


(2)系统评估结论

系统评估结论根据整体量化评估结果与风险分析情况确定,分为三个等级:​

a 符合:整体量化评估结果为100分,无任何不符合项,密码应用完全满足标准要求;​

b 基本符合:整体量化评估结果低于100分但不低于60分,且风险分析无“高风险”项,密码应用基本满足标准要求,需针对存在的问题进一步优化;​

c 不符合:整体量化评估结果低于60分,或风险分析存在“高风险”项,密码应用无法满足安全需求,需全面整改后重新评估。

(3)高风险认定标准

根据中国密码学会密评联委会颁发的《信息系统密码应用高风险判定指引》,以下情况属于“高风险”,直接影响评估结论:​

a 采用存在安全问题或安全强度不足的密码算法对重要数据进行保护(如MD5、DES、SHA-1、RSA(不足2048比特)等);​

b 采用安全性未知的密码算法(如自行设计的密码算法、经认证的密码产品中未经安全性论证的密码算法);​

c 采用存在缺陷或有安全问题警示的密码技术(如SSH1.0、SSL2.0、SSL3.0、TLS1.0等);​

d 采用自实现且未提供安全性证据的密码产品;​

e 采用存在高危安全漏洞的密码产品(如存在Heartbleed漏洞的OpenSSL产品);​

f 选用的密码服务提供商不具有相关资质;​

g 未建立任何与密码应用安全管理活动相关的管理制度,或相关管理制度不适用于当前被测信息系统;​

h 新建信息系统在规划阶段未制定密码应用方案,或密码应用方案未通过评审。

5.备案阶段​根据《商用密码应用安全性评估管理办法》要求,被测单位需在评估报告出具后30个工作日内,将评估结果(包括《商用密码应用安全性评估报告》)报送所在地设区的市级以上密码管理部门备案,完成合规闭环管理。


四、深圳市网安计算机安全检测技术有限公司密评服务核心优势

作为首批经国家密码管理局资质认定的商用密码检测机构,深圳网安检测公司凭借行业引领地位、标准制定参与度、丰富实践经验与专业团队支撑,为各行业提供高质量的密评服务,核心优势体现在以下四大维度:

(一)行业引领:资质权威,服务范围广泛

深圳网安检测在商用密码检测领域始终保持领先地位:2018年,被国家密码管理局列入首批商用密码应用安全性测评试点机构,成为行业内较早开展密评服务的专业机构;2020年,在国家密码管理局颁布的40号公告中,成为深圳区域唯一可面向全国开展“商用密码应用安全性评估”的单位,服务范围覆盖全国各省市;2021年,在国家密码管理局颁布的42号公告中,进一步成为深圳区域唯一可同时面向全国开展“等级保护测评”与“商用密码应用安全性评估”服务的单位,实现“等保+密评”一体化服务能力,为客户提供更高效、便捷的安全评估解决方案。

(二)标准制定:参与国标与行标编制,技术基础扎实

公司深度参与商用密码领域国家标准与行业标准的编制工作,为密评行业规范化发展贡献力量:参与编制国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,该标准成为密评工作的核心技术依据;同时,参与编制行业标准GM/T0115-2021《信息系统密码应用测评要求》、GM/T0116-2021《信息系统密码应用测评过程指南》,进一步细化密评流程与技术要求。通过参与标准制定,公司能够精准把握行业技术趋势与合规要求,为客户提供更贴合标准的密评服务。

(三)经验丰富:覆盖多领域,项目实践扎实

公司凭借专业实力,先后参与国家密码管理局及广东省、海南省、广西壮族自治区、深圳市等省级密码管理部门组织的金融和重要领域密码应用专项检查工作,积累了丰富的政府级项目经验。截至目前,公司已受委托承担近200个信息系统的商用密码应用安全性评估专项检查工作,服务领域覆盖金融(如银行、证券、保险)、公共通信与信息服务(如电信运营商、互联网企业)、能源(如电力、石油)、交通(如铁路、航空)、水利、公共服务(如教育、医疗)、政务、国防科技等关键行业,能够针对不同行业的业务特性与安全需求,提供定制化的密评解决方案。

(四)专业团队:复合型人才汇聚,服务能力全面

深圳网安检测汇集了一批具备网络安全、密码技术、合规管理等多领域知识的复合型人才,项目实施团队成员均持有商用密码检测相关资质证书,具备扎实的技术功底与丰富的实操经验。团队核心优势在于能够将商用密码应用安全性评估与网络安全等级保护测评及其他合规评估(如数据安全评估)融合实施,避免重复评估,为客户节省时间与成本;同时,团队能够根据客户需求提供技术咨询、整改指导等增值服务,帮助客户全面提升密码应用安全水平。