解读商用密码应用安全性评估FAQ（第三版）

近年来，随着信息技术的飞速发展，商用密码在金融、电商、政务等领域得到了广泛应用。商用密码应用安全性评估作为保障密码应用安全的重要手段，受到了广泛关注。最新的商用密码应用安全性评估FAQ（第三版）对评估工作进行了全面细致的解读，旨在帮助读者更好地理解和掌握评估要求和方法。

一、什么是商用密码应用安全性评估？

商用密码应用安全性评估是指对商用密码在信息系统中的安全性进行全面、客观的评价。评估的内容包括密码算法、密码技术、密码产品和密码服务等方面，涉及信息系统的物理层、网络层、应用层等多个层面。通过评估，可以发现商用密码在应用过程中存在的问题和安全隐患，为后续的整改和优化提供依据。

二、第三版FAQ修订情况说明

与前两版相比，第三版FAQ在内容上更加全面和完善，主要修订了以下几个方面：

1. 增加了对最新密码标准的解读，如GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》等；
2. 细化了对密码设备和密码服务的安全性要求；
3. 强化了对密码应用的安全管理要求；
4. 完善了对密码安全事件的应急响应要求。

三、通用类问题

1. 商用密码应用安全性评估的目的是什么？

商用密码应用安全性评估旨在确保商用密码在信息系统中的有效性和安全性，提高信息系统的抗攻击能力，保护关键信息基础设施的安全。通过评估，可以发现商用密码在应用过程中存在的问题和安全隐患，为后续的整改和优化提供依据。同时，评估结果也是衡量一个组织或系统安全防护能力的重要指标之一。

1. 评估的范围和内容是什么？

评估范围包括信息系统的物理层、网络层、应用层等多个层面，涉及密码算法、密码技术、密码产品和密码服务等方面。评估的内容包括对商用密码的合规性、有效性、安全性等方面的全面评价。具体来说，包括以下几个方面：

（1）密码算法合规性：检查信息系统所采用的密码算法是否符合国家相关标准和技术规范，是否使用了受控或非法的密码算法；

（2）密码技术应用有效性：评价信息系统中密码技术的应用效果和效率，如加密算法的执行速度、密钥管理是否安全可靠等；

（3）密码设备安全性：对商用密码设备的安全性进行检查，包括设备的物理安全、配置安全、软件安全等方面；

（4）密码服务可靠性：对第三方密码服务的安全性和可靠性进行评价，如密钥管理、加解密服务等；

（5）安全管理措施：检查信息系统的安全管理措施是否完善，包括商用密码的管理制度、审计日志等。

1. 评估的方法和流程是什么？

评估的方法主要包括文档审查、现场检查和技术测试等。其中，文档审查主要是对信息系统的相关文档进行审查和分析，了解系统的总体架构和商用密码的应用情况；现场检查主要是对信息系统的物理设备、网络设备和软件环境进行实地检查，验证文档中描述的情况是否属实；技术测试主要是通过模拟攻击等方式对系统进行测试，发现潜在的安全隐患和漏洞。评估的流程一般包括以下几个阶段：准备阶段、实施阶段、总结阶段和后续整改阶段。在准备阶段，评估机构需要了解被评估对象的基本情况和明确评估范围；在实施阶段，通过文档审查、现场检查和技术测试等方法收集数据和信息；在总结阶段，对收集到的数据和信息进行分析和评价，形成评估报告；在后续整改阶段，针对评估报告中提出的问题和建议进行整改和优化。