密评|商用密码应用安全性评估

前言

作为近些年刚刚进入人们视线的“密评”，许多人均对其较为陌生，密码作为网络安全体系中基础支撑，是国家实现网络安全从被动防御走向主动免疫的重要战略转变。

商用密码应用安全性评估的发展历程

商用密码应用安全性评估（以下均简称为“密评”）于2007年提出，期间经历10余年的积累。
2007年11月27日，国家密码管理局印发的11号文件《信息安全等级保护商用密码管理办法》，要求信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。
2009年12月15日，国家密码管理局印发管理办法实施意见，进一步明确了与密码测评有关的要求。
2017年04月22日，国家密码管理局印发《关于开展密码应用安全性评估试点工作的通知》，同时在七个省份、五个行业中开展密评试点工作。
2017 年09月27日，国家密码管理局印发《商用密码应用安全性测评机构管理办法（试行）》《商用密码应用安全性测评机构能力评审实施细则（试行）》《信息系统密码应用基本要求》和《信息系统密码测评要求（试行）》，初步建立密评制度体系。
2019年，对首批密评试点机构进行评估。
2019年10月，启动第二批密评机构试点工作。
2019年10月26日，《中华人民共和国密码法》正式颁布，于2020年1月1日正式施行。
2021年3月，国家市场监督管理总局、国家标准化管理委员会发布密评的关键标准GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》，并于2021年10月1日正式实施。
2021年10月19日，国家密码管理局2021年10月19日发布GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》、GM/T 0005-2021《随机性检测规范》等行业标准，于2022年5月1日正式实施。

密评流程

根据GM/T 0116-2021《信息系统密码应用测评过程指南》规定，密评工作共有4项基本活动：测评准备工作、方案编制工作、现场测评活动、分析与报告编制活动，在此期间测评方与被测单位之间的沟通与洽谈应该贯穿整个过程。

测评准备活动：

主要包括项目的启动、测评方收集并分析被测单位相关受测系统基本信息与网络现状，准备相关测评工具及表单。

方案编制活动：

根据收集到的信息确认测评对象及测评指标，根据测评检查点及测评内容编制测评方案。

现场测评活动：

根据密评方案逐步实施测评项目，了解被测系统的实际密码应用现状，收集相关证据，发现被测系统密码应用安全性问题。

分析与报告编制活动：

该活动主要为根据现场测评情况给出测评工作结果，根据密评方案及GM/T 0115-2021《信息系统密码应用测评要求》相关要求，通过单元测评、整体测评、量化评估和风险分析等方式，给出被测系统评估结论形成密评报告。
（本文仅为个人在密评学习过程中的笔记与思考）