2023商用密码应用安全性评估发展研究报告

2023 商用密码应用安全性评估 发展研究报告 中国密码学会商用密码应用安全性评估联合委员会 2023年8月 前言 当前，世界之变、时代之变、历史之变正以前所未有的方式展开，党的二十大报告为我们擘画了以中国式现代化推进中华民族伟大复兴的宏伟蓝图，开启了全面建成社会主义现代化强国、实现第二个百年奋斗目标的新征程。这举旗定向的政治宣言、引领复兴的行动纲领以专章论述“推进国家安全体系和能力现代化，坚决维护国家安全和社会稳定”，指出“必须坚定不移贯彻总体国家安全观，把维护国家安全贯穿党和国家工作各方面全过程，确保国家安全和社会稳定。” 网络安全是国家安全的重要组成部分，密码作为国之重器，是保障网络与数据安全的核心技术，是数字经济高质量发展的基础，是推进中国式现代化的重要支撑。商用密码应用安全性评估（以下简称密评），作为密码应用管理过程的重要组成部分和不可缺失的环节，是发挥密码作用的重要抓手。密评活动贯穿于密码应用管理整个生命周期，对维护网络和数据安全、赋能数字经济、护航中国式现代化发展具有重要意义。 我国高度重视密评工作，出台多项顶层战略规划和法律法规，要求在重点领域和关键环节开展密评，为密评工作提供了合规驱动力。各地区、各领域积极落实密评要求，加强密评政策引导，加速推动密码在金融、通信、公安、税务、社保、交通、卫生健康、能源、电子政务等领域中的应用。在国家密码管理局的指导下，密评工作机制不断健全，密评机构能力进一步增强，密评活动标准化工作持续推进，密评程序逐步完善，密评进入蓬勃发展时期。未来，密评将焕发出更强的生命力和活力，持续为保障数字经济安全、助力现代化强国建设发挥积极作用。 2023年7月1日，《商用密码管理条例》正式施行，标志着密评从试点建设迈向依法管理的新阶段。站在推进密评法制化建设的新起点，本报告总结了密评相关政策法规要求及密评体系建设进展，分析了密评行业发展情况，并对密评工作未来发展提出了建议，为密评相关工作者提供参考。 版权声明 本报告版权属于中国密码学会商用密码应用安全性评估联合委员会，并受法律保护。转载、摘编或以其他方式使用报告文字或观点的，均应注明“来源：中国密码学会商用密码应用安全性评估联合委员会”或“来源：密评联委会”。违反以上声明者，中国密码学会商用密码应用安全性评估联合委员会将保留追究其相关法律责任的权利。 2023 商用密码应用安全性评估 发展研究报告 本报告主要编写单位：中国工业互联网研究院（工业和信息化部密码应用研究中心）、深圳市网安计算机安全检测技术有限公司、北京炼石网络技术有限公司、江苏省信息安全测评中心、中国电子科技集团公司第十五研究所、工业和信息化部电子第五研究所、中国电子信息产业发展研究院、中国信息通信研究院 本报告主要编写人员：王聪、唐明环、查奇文、王伟忠、彭浩楠、杨宏志、孙少波、白小勇、钱晶、魏婷、张齐军、张腾标、衡帅、刘健、杨龙、韦永霜、张皓涵、王东阳、李佳曦 目录 引言1 1 密评相关政策法规要求2 1.1国家法律法规布局密评顶层设计2 1.2国家多项政策文件为密评实施提供指引3 1.3有关部门出台指导性及规范性文件落实密评要求4 1.4相关地区积极将密评要求纳入地方政策制度5 2 密评体系建设进展5 2.1密评工作机制6 2.2密评机构培育8 2.3密评系列标准9 2.4密评程序13 3 密评行业发展情况15 3.1密评试点机构规模布局日趋合理15 3.2密评人才供给能力持续提升17 3.3密评覆盖范围逐年扩大17 4 发展建议21 附录1：密评相关法规政策汇总22 1.1国家层面密码应用及密评相关法律法规22 1.2国家层面密码应用及密评相关政策文件24 1.3各部门密码应用及密评相关政策文件25 1.4各省（自治区、直辖市）及新疆生产建设兵团密码应用及密评相关政策文件29 附录2：密评相关标准与指导性文件列表48 附录3：密评大事记49 引言 在数字经济时代，密码作为国家重要战略资源，广泛应用于国民经济发展和社会生产生活的方方面面，涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域，是保障网络与信息安全的核心技术和基础支撑。在推动数字经济高质量发展、推进中国式现代的进程中，如何更好地规范商用密码应用和管理、发挥密码在保障网络安全中的核心支撑作用至关重要。商用密码应用安全性评估作为验证密码应用科学性的有效手段和方法，既是应对网络安全严峻形势的迫切需要，也是落实国家重要领域和关键行业网络安全防护责任的有效手段，更是全面贯彻落实《中华人民共和国密码法》（以下简称《密码法》）和 《商用密码管理条例》基本要求、推进商用密码法治建设的重要举措。 密码应用涉及密码算法、技术、产品、服务、密钥管理等多个方面。在当前密码应用实践中，由于密码专业技术人员保障不足，密码应用要求理解把握不到位，密码错用、误用情况经常发生。商用密码应用安全性评估依据科学全面的测评标准，由专业的技术人员采用专业的技术手段和测评工具，科学直观地对信息系统密码应用情况给出评价，发现信息系统密码应用存在的不规范、不安全、不正确等问题，给出专业、可行的意见建议，为网络运营者掌握系统密码应用情况并进一步开展密码应用改造提供支撑，有效规范密码应用，提升网络安全保障水平。 1 密评相关政策法规要求 商用密码应用安全性评估（以下简称密评）是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动1。密评是衡量与改进网络与信息系统密码保障水平的关键技术措施，对密码应用的助力推动和网络安全的兜底保障作用突出。我国立足国情将密评相关工作要求纳入顶层设计，出台法律法规、政策文件，推动密评体系不断完善，密评工作进入新发展阶段。 1.1国家法律法规布局密评顶层设计 我国充分适应新时代商用密码事业发展需要，坚持密评的立法、司法、执法和守法协同推进，通过法律法规明确密评的重要定位、评估范围、责任主体和评估要求等深刻内涵，推动密评在重要领域和关键环节加速推广普及，为数字经济高质量发展提供基础支撑。 表1密评相关法律法规要求 法律法规 主要要求 《密码法》 第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。第三十八条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。 《商用密码管理条例》（2023年7月1日施行） 前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。第四十一条网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级，确定商用密码的使用、管理和应用安全性评估要求，制定网络安全等级保护密码标准规范。第四十二条商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接，避免重复评估、测评。 1《商用密码应用安全性评估管理办法（征求意见稿）》，http://sca.gov.cn/sca/hdjl/2023-06/09/content_1061072.shtml 商用密码应用安全性评估 法律法规 主要要求 《关键信息基础设施安全保护条例》 第五十条关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定。 《网络安全等级保护条例（征求意见稿）》 第四十七条非涉密网络应当按照国家密码管理法律法规和标准的要求，使用密码技术、产品和服务。第三级以上网络应当采用密码保护，并使用国家密码管理部门认可的密码技术、产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后，方可上线运行，并在投入运行后，每年至少组织一次评估。密码应用安全性评估结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。 《密码法》明确关键信息基础设施运营者作为第一责任人，应使用商用密码对关键信息基础设施进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。 《商用密码管理条例》进一步细化了关键信息基础设施商用密码应用与安全性评估要求，明确关键信息基础设施应在规划、建设等必要阶段进行评估，投入运行后，还应当定期开展评估。同时，《商用密码管理条例》明确，网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。网络安全等级保护制度中的商用密码使用、管理和应用安全性评估要求重点适用对象是第三级以上网络，凸显了对网络安全等级保护三级以上网络加强商用密码应用安全性评估工作、落实商用密码应用相关要求的迫切需要。 《关键信息基础设施安全保护条例》明确，关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定。这对使用密码技术保护关键信息基础设施安全提出了原则性要求。 《网络安全等级保护条例（征求意见稿）》第五章中明确提出密码配备使用、管理和应用安全性评估的有关要求，对网络的密码保护作出规定。其中，对非涉密网络、第三级以上网络提出密码保护要求，明确规定网络运营者应在网络规划、建设和运行阶段委托专业测评机构开展密码应用安全性评估，并对评估结果备案提出了要求2。 1.2国家多项政策文件为密评实施提供指引 面对新时代全球安全形势及发展需求，我国统筹发展与安全，出台了多项政策文件对密评进行整体性制度安排，推动密评体系健全完善。密评相关国家政策文件要求如表2所示，更多国家层面密码应用及密评相关政策文件详见附录1.2。 2《网络安全等级保护条例（征求意见稿）》解读，https://www.secrss.com/articles/5005 表2密评相关国家政策文件要求 文件名称 密评相关工作要求 密码应用与创新发展相关工作规划 全面提升密码基础支撑能力，完善密码应用安全性评估审查机制。 《“十四五”数字经济发展规划》 加强网络安全等级保护和密码应用安全性评估。 《国家政务信息化项目建设管理办法》（国办发〔2019〕57号） 项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。 《国务院关于加强数字政府建设的指导意见》（国发〔2022〕14号） 建立健全网络安全、保密监测预警和密码应用安全性评估的机制。 1.3有关部门出台指导性及规范性文件落实密评要求 据不完全统计，国家密码管理局、中央网信办、教育部、工业和信息化部、公安部、财政部、交通运输部、国家能源局、国家邮政局等部门出台多项密评政策文件，明确金融、政务、教育、工信、交通、能源等行业商用密码应用安全性评估工作要求，提升商用密码应用和管理水平，深化商用密码在各行业或领域的应用。密评相关行业政策文件要求如表3所示，更多各部门密码应用及密评相关政策文件详见附录1.3。 表3密评相关行业政策文件要求 有关部门 文件名称 密评相关内容 国家密码管理局、中央网信办、国家发展改革委、科技部、工业和信 息化部、公安部、财政部、国务院国资委、市场监 管总局、证监会 促进商用密码产业高质量发展相关文件 依法督促建设密码保障体系，并强化重要网络与信息系统商用密码应用安全性评估的执法检查。 教育部 《2020年教育信息化和网络安全工作要点》（教科技厅〔2020〕1号） 有序推动教育重要业