商用密碼應(yīng)用的安全性評估，簡稱“密評”，是指按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，對網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進(jìn)行檢測分析和評估驗證的活動。

一、商用密碼應(yīng)用的安全性評估的法律依據(jù)

1、《中華人民共和國密碼法》第二十七條：法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。

2、《商用密碼管理條例》為商用密碼的管理提供了基本框架，包括商用密碼的科研、生產(chǎn)、銷售、使用、檢測認(rèn)證、進(jìn)出口以及國際交流與合作等各個環(huán)節(jié)，是開展商用密碼應(yīng)用安全性評估的重要法律依據(jù)。

二、商用密碼應(yīng)用的安全性評估內(nèi)容

1、合規(guī)性評估：

判定信息系統(tǒng)使用的密碼算法、密碼協(xié)議、密鑰管理是否符合法律法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求。

檢查使用的密碼產(chǎn)品和密碼服務(wù)是否經(jīng)過國家密碼管理部門核準(zhǔn)或由具備資格的機(jī)構(gòu)認(rèn)證合格。

2、正確性評估：

判定密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)使用是否正確。

評估系統(tǒng)中采用的標(biāo)準(zhǔn)密碼算法、協(xié)議和密鑰管理機(jī)制是否按照相應(yīng)的密碼國家和行業(yè)標(biāo)準(zhǔn)進(jìn)行正確的設(shè)計和實現(xiàn)。

評估自定義密碼協(xié)議、密鑰管理機(jī)制的設(shè)計和實現(xiàn)是否正確，安全性是否滿足要求。

檢查密碼保障系統(tǒng)建設(shè)或改造過程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用是否正確。

3、有效性評估：

判定信息系統(tǒng)中實現(xiàn)的密碼保障系統(tǒng)是否在信息系統(tǒng)運行過程中發(fā)揮了實際效用。

評估密碼保障系統(tǒng)是否滿足了信息系統(tǒng)的安全需求，是否切實解決了信息系統(tǒng)面臨的安全問題。

三、商用密碼應(yīng)用的安全性評估方法

密評過程中，評估團(tuán)隊會綜合運用多種評估方法和技術(shù)，包括但不限于：

1、文檔審查：對信息系統(tǒng)的相關(guān)文檔進(jìn)行審查，了解系統(tǒng)架構(gòu)、商用密碼應(yīng)用情況等。

2、現(xiàn)場檢查：對信息系統(tǒng)進(jìn)行實地檢查，查看設(shè)備配置、安全措施落實情況等。

3、技術(shù)測試：采用專業(yè)的測試工具和技術(shù)手段，對商用密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行測試驗證。

4、風(fēng)險評估：結(jié)合信息系統(tǒng)的重要性和面臨的威脅，評估商用密碼應(yīng)用可能帶來的安全風(fēng)險。

四、商用密碼應(yīng)用的安全性評估周期

在實際評估工作中，評估周期可能會根據(jù)評估對象的實際情況和評估機(jī)構(gòu)的建議進(jìn)行調(diào)整。例如，對于復(fù)雜度高、安全風(fēng)險大的信息系統(tǒng)，可能需要縮短評估周期；而對于相對簡單、安全風(fēng)險較小的信息系統(tǒng)，則可以適當(dāng)延長評估周期。

因此，商用密碼應(yīng)用的安全性評估周期應(yīng)根據(jù)實際情況靈活確定，但通常建議每年至少評估一次以確保信息系統(tǒng)的安全性和合規(guī)性。

商用密碼應(yīng)用的安全性評估方法是一個復(fù)雜而系統(tǒng)的過程，需要評估團(tuán)隊具備專業(yè)的知識和技能，遵循科學(xué)的評估原則和方法，確保評估結(jié)果的準(zhǔn)確性和可靠性。