您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。 [炼石]:图解商用密码应用安全性评估FAQ (第四版-2026) V1.0.1 - 发现报告
回到首页 AI 搜索 发现报告 发现数据
发现专题
专题报告 专题百科
研选报告 定制报告 VIP 权益 发现大使
行业研究公司研究宏观策略财报招股书会议纪要seedance2.0低空经济DeepSeekAIGC大模型

图解商用密码应用安全性评估FAQ (第四版-2026) V1.0.1

2026-04-08 炼石 好运联联-小童
报告封面

商用密码应用安全性评估FAQ(第四版) 炼石网络2026年4月 本文总体结构及参考文献 五.密评测评要求 八.密评团标解读 信息系统密码应用方案评估规范 密评背景介绍 商用密码条例解读关基密码使用规定1密评发展历程回顾密评开展政策依据4 六.密评方案要求 技术要求 三.密评管理办法 九.密改方案效果 国密合规场景 2数据安全实战防护场景 商用密码应用安全性评估报告模板(2023版)-系统密评报告 01密评FAQ解读 02密评背景介绍03密评管理办法04密评总体要求05密评测评要求06密评方案要求07密评测评过程08密评团标解读09密改方案实践 《商用密码应用安全性评估FAO》(第四版)更新发布 2026年3月31日,根据相关工作安排,中国密码学会密评联委会组织修订的《商用密码应用安全性评估FAO》(第四版)已于日前发布,该文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解答,以帮助相关人员更好开展商用密码应用与安全性评估工作。 文件意义:为密码应用及商密应用安全性评估人员的评估工作提供指引 2026年3月,中国密码学会密评联委会发布《商用密码应用安全性评估FAQ》(第四版),用于替代2023年10月发布的《商用密码应用安全性评估FAQ》(第三版),旨在: 对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解答帮助密码应用以及商用密码应用安全性评估人员更好的开展商用密码应用安全性评估工作 修订历史 第二版 第一版 第四版 第三版 全文共解答了26个问题,目录内新增内容如下: 重要数据完整性保护的实现方法问题2.通过代码实现数据机密性、完整性保护的判定方法网络层安全接入认证和身份鉴别指标的差别应用层身份鉴别是否可以缓解网络层身份鉴别的高风险 第四版与第三版FAO对照情况表5 第1问:如何确定被测信息系统密码应用等级?修订 背景说明:GB/T39786-2021《信息安全技术信息系统密码应用基本要求》对信息系统密码应用划分为自低向高的五个等级,参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》的等级保护对象应具备的基本安全保护能力要求,提出密码保障能力逐级增强的要求,用一、二、三、四、五表示。其中,从密码算法、密码技术、密码产品和密码服务的合规性方面,提出了第一级到第五级的密码应用通用要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用管理要求。 第2问:尚未完成等保备案的,如何确定被测信息系统的密码应用等级? 问题:如果新建信息系统在规划阶段尚未完成网络安全等级保护备案工作,被测单位只有一人拟定的信息系统等级,针对此情况如何确定被测信息系统的密码应用等级? 第3问:等保二级信息系统,以GBT39786三级密码应用要求改评如何把握?Clpher 新增 修订 可题:自前,部分系统责任单位由于上级单位或者政策的要求,希望能够尽可能以高安全标准要求来进行信息系统的安全防护,特别是老旧系统。针对网络安全保护等级为二级的信息系统,被测单位希望能以GBT39786-2021中的第三级密码应用要求进行改造和测评,此时该如何把握? 目前,GB/T39786-2021中的密码应用等级一般与网络安全等级保护的级别持平所以,在信息系统不存在额外密码应用需求的前提下,原则上被测系统密码应用等级的选取与网络安全等级保护的级别保持一致。 针对被测单位以高安全标准规划、建设信息系统的密码应用,并希望能可多按照GB/T39786-2021中更高密码应用等级进行密评的情 密评机构在测评前,应在确认该做法符合被测信息系统所属密码管理部相关要求的前提下,加以确认其密码应用等级是否等于或者高于等级保护备案等级,进而开展测评工作。 第4问:未标注密码模块安全等级的商用密码产品在测评时如何判定? 新增修订 背景说明:在信息系统中密评时,使用的商用密码产品对应的认证证书分为两种,一种是认证证书上会标注有此密码产品对应的密码模块安全等级,种是认证证书没有标注有密码产品对应的密码模块安全等级。 根据国家密码管理局和市场监管总局联合发布的《关于调整商用密码产品管理方式的公告》(第39号),自2020年7月1日起,已发放的《商用密码产品型号证书》自动失效,对有效期内的《商用密码产品型号证书》,持证单位可于2020年6月30日前,自愿申请转换国推商用密码产品认证证书,理局发布《关于调整商用密码检测认证业务实施的公告》,2025年6月30日前,持证单位可对有效期内《商用密码产品认证证书》申请更换为商用密码检测认证中心颁发的《商用密码产品认证证书》。 2025年7月1日之后采购的商用密码产品,其认证证书颁发单位应为“商用密码检测认证中心”,如果仍持商用密码检测中心颁发的认证证书,可能为过期失效的证书,其产品应判定为不合规。 第5问:商用密码产品认证证书过期后,如何判定密码产品的合规性?修订 新增 背景说明:GB/T43206-2023《信息安全技术信息系统密码应用测评要求》的通用测评要求中,提出了对密码产品、密码服务和密钥管理测评要求,相关内容在技术测评要求中进行了引用。 在密评时,会发现商用密码产品认证证书过期的情况,即密评开展的时间在密码产品认证证书有效日期之后,而且产品厂商又提供不出更新后的认证证书,针对这种情况该如何判定密码产品的合规性? 认证证书在有效期内:如无特殊情况和安全风险,密码产品的采购合同签订时间如果在商用密码产品认证证书的有效期内,则可判定为产品合规。 相关标准已失效或更新:在测评过程中,如果密评人员发现密码产品依据的相关密码标准已经失效或更新,则有义务告知信息系统单位相关情况,并建议其选用依据最新标准的密码产品。 第6问:如何判断实际部署中涉及客户端密码产品的合规性? 新增修订 背景说明:有些类型的密码产品部署模式为客户端与服务端共同作用,实现密码技术的应用。例如,VPN等密码产品存在客户端和服务端的情况,在测评时应如何判断实际部署中涉及客户端的密码产品的合规性? 可分以下三步依次执行测评实施,综合判定产品的合规性: 确认被测系统中部署的密码产品实现的密码功能与送检产品密码功能的一致性 确认商用密码产品认证证书中的内容是否包括客户端和服务端 确认被测系统中部署的密码产品与送检产品密码边界的一致性 (注:这一步主要考虑的情形是认证证书中标明了密码产品包含客户端和服务端。若客户端和服务端本身为两个独立的经检测认证合规的密码产品,则直接分别判定产品合规性即可,此处不再赞述)。 服务端/客户端一致性核查:根据认证证书和认证证书对应的检测报告,除了确认服务端的一致性之外,如果密码产品包含客户端且对客户端有安全要求,也需要核查客户端与实际产品的一致性。部署与送检产品一致性:原则上应确保实际部署的密码产品与送检产品的密码边界是一致的,且部署产品版本与送检产品版本一致。根据密码应用需求等判定合规性:如果不一致,则可考虑根据实际密码应用需求及密码使用情况等因素,对产品合规性进行分析判定。例如,送检产品包含安全浏览器和SSLVPN网关,实际部署时改为通用浏览器和SSLVPN网关,则根据实际密码应用需求进行判定,如仅需实现对服务端的单向鉴别,则测评时重点核查服务端的密码产品合规性,同时核查浏览器是否配套实现了对应的SSL协议套件。 功能一致性:需结合认证证书对应的检测报告,确认被测系统密码应用方案中所描述的拟使用的产品密码功能或被测系统实际使用时所调用的产品密码功能,与送检产品所提供的密码功能的一致性。 查看证书确认:通过查看认证证书确定密码产品中是否包括客户端和服务端,还是仅为其一。厂商提供检测报告确认:若无法根据认证证书直接确定,则还需要厂商配合提供密码产品的认证证书对应的检测报告,以进一步确定。 第7问:如何确定密码产品的密码功能边界,例如,签名验签服务器实现了加解密功能,在测评时如何判定其合规性? 签名验签服务器是为应用实体提高数字签名、签名验签等运算功能的服务器。 在检测过程中签名验签服务器送检厂商会选择支持三类接口(GM/T0029附录A定义的接口;GM/T0029附录B定义的接口和GM/T 0020标准定义的接口)中的一类或多类进行检测。其中符合GM/T0020标准接口中包含了加解密接口,测评时需要确认是否实现了GM/T0020的接口,如果实现了,则可以提供加解密功能。 只要认证产品的安全等级符合要求且实际测评时确认了和送检产品密码功能(可提供加解密功能)的一致性,则使用签名验签服务器进行加解密密码应用时可以把签名验签服务器视为合规的密码产品。 合规要求 第8问:经认证合格的密码产品,GB/T43206-2023《信息安全技术信息系“,草“,中《新增修订 不能直接判定为“符合” 信息系统采用经认证合格的密码产品仅仅是密钥管理安全性判定为“符合”的必要条件,还应当对以下内容进行核查: 部署和使用的正确性 第9问:未使用密码产品,通过开源或自行开发的代码以软件实现密码运ClpherGateway算功能的方式进行数据机密性、完整性保护,测评时应重点关注哪些内容新增修订 实际测评过程中,发现用户可能使用开源代码的密码运算功能对重要数据实现机密性保护、完整性保护,未使用经认证的商用密码产品。 《信息安全技术信息系统密码应用基本要求》GB/T39786-2021 被测系统采用的密码产品应符合相应等级的密码模块安全要求 《信息安全技术信息系统密码应用测评要求》GB/T43206-2023涉及量化评估计算时,参考《商用密码应用安全性评估量化评估规则(2023版)》 结果判定:不符合 结果判定:符合 对于使用第三方开源密码库实现数据机密性和完整性保护的情况,如果第三方开源密码库是经过长期使用且没有暴露出安全问题的,且正确地使用开源密码库,则可以考虑根据实际核查结果酌情判定为“部分符合”,并给予相应分数。是否存在安全性漏洞,如openssL库相关安全问题可查询https://openssl-library.org/news/vulnerabilities/等网站。 对于自研软件实现数据机密性和完整性保护且无法提供任何安全性证明的情况,由于无法判断其密码模块安全等级,而且其采用的密码算法或技术实现安全性以及软实现带来的密钥管理安全性均无法保证,因此判定为“不符合 第10问:组合使用密码算法实现数据安全保护时如何量化评估和风险判定? 背景说明:有些数据的传输或存储保护,存在组合使用密码技术实现的情形,如使用DES算法对数据变换后,再使用SM4算法对DES加密后的密文进行变换,即SM4(DES(data),应如何进行量化评估和风险判定? 由于加密算法的安全强度和算法复杂度、参数规模(密钥长度、分组长度等)等相关,当加密算法组合使用时,只要某一层加密算法安全强度足够,且组合算法不使用同一密钥,那么被保护数据就是安全的(其他弱算法的运算可类似看成“未对明文做安全保护”) 量化评估和风险判定结果均依据安全强度较高的算法而定 综合DAK判定情况进行分析评价 由于算法安全强度还和密钥管理、算法实现正确性有关,因此在进行相应测评对象的风险判定时还需综合DAK判定情况进行分析评价 第11问:在信息系统按密码应用方案完成一期建设后开展密评时,该如伺确定测评范围? 背景说明:在进行信息系统密评时发现,被测信息系统有通过评估的密码应用方案,且方案中明确了该系统是分期做密码改造。例如,由于经费原因,应用和数据安全层面的身份鉴别指标不做改造但给出了合理的风险缓解措施,且明确在二期建设中进行改造并给出改造的密码应用解决方案。在被测系统按照密码应用方案一期建设要求完成建设后,开展密评。 对于密码应用方案中涉及分期密码改造的

点击免费查看完整报告