摘要：今天我们就来讲讲关于“密评”的那些事儿，一文带你搞懂“密评”！本文分享自华为云社区《各行各业都在关注的“密评”到底是啥？一文带你读懂！》，作者：开天aPaaS小助手。要说2022年各行各业关注的热词有哪些，“密评”一定榜上有名。但“密评”到底是啥？为什么各行各业都如此关注？密评具体工作内容有哪些？如何才能过“密评”……是不是还一头雾水？今天我们就来讲讲关于“密评”的那些事儿，一文带你搞懂“密评”！什么是密评？密评是商用密码应用安全性评估的简称，是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。简单地说，就是对使用了商业密码的系统进

商用密码应用安全性评估从业人员考核题库（一）国密局给的参考题库5000道只是基础题，后续更新完5000还会继续更其他高质量题库，持续学习，共同进步。1单项选择题党的二十大主题是：高举中国特色社会主义伟大旗帜，全面贯彻新时代中国特色社会主义思想，弘扬伟大建党精神，自信自强、守正创新，（）、勇毅前行，为全面建设社会主义现代化国家、全面推进中华民族伟大复兴而团结奋斗。A踔厉奋发B奋勇向前C赓续前向D奋楫争先2单项选择题中国共产党第二十次全国代表大会，是在全党全国各族人民迈上全面建设社会主义现代化国家新征程、向（）奋斗目标进军的关键时刻召开的一次十分重要的大会。A第一个百年B第二个百年C第三个百年D第

4.5密评管理测评要求词条内容层面管理制度（包括6个测评单元）单元-1具备密码应用安全管理制度（1-4级）测评指标：具备密码应用安全管理制度，包括人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度测评对象：安全管理制度类文档测评实施：核查各项安全管理制度文档是否包含人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度结果判定：同上单元-2密钥管理规则（1-4级）单元-3建立操作规程（2-4级）单元-4定期修订阿暖管理制度（3-4级）单元-5明确管理制度发布流程（3-4级）单元-6制度执行过程记录留存（3-4级）层面人员管理（包括5个测评单元）单元-1了解并遵守密码

密评相关要求介绍     项目建设单位需从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个层面采用密码技术措施，建立安全的密钥管理方案，并采取有效的安全管理措施，对系统进行保护。系统需使用经检测认证合格的商用密码产品或服务，使用的商用密码算法、技术应遵循密码相关国家标准和行业标准，没有标准可遵循时可提请国家密码管理部门组织对相关算法、技术进行安全性审查。系统采用电子认证服务的，建设单位需选择具有电子政务电子认证服务资质的机构。密码支撑层作为密码改造核心支撑层，集成包括密码芯片、密码模块、密码整机和密码系统类等相关产品类组成，集成密码资源层的各类算法实现，以密码设备、系统、软

1.背景云计算目前大家都很熟悉了，为了降低系统的成本或者打通数据的融合，许多企业事业单位的系统都选择部署在云上。云计算技术由于使用虚拟化等技术，其网络等边界相对而言是很模糊的，而部署在云平台上的系统，其安全风险也随之增加。实际测评中，我们经常会碰到云平台和云租户业务应用系统密码应用（以下称为“云上应用”）的密评。2.云平台测评的责任和范围我们可以依据《商用密码应用安全性评估FAQ》第19条的内容，当我们对运行在云平台上的云上应用进行测评时原则上要完成两部分测评工作：（1）当我们对云平台自身进行密评的时候，该部分测评的责任主体是云平台的运营者。（2）当我们对云上应用进行密评的时候，该部分测评的责

前言作为近些年刚刚进入人们视线的“密评”，许多人均对其较为陌生，密码作为网络安全体系中基础支撑，是国家实现网络安全从被动防御走向主动免疫的重要战略转变。商用密码应用安全性评估的发展历程商用密码应用安全性评估（以下均简称为“密评”）于2007年提出，期间经历10余年的积累。2007年11月27日，国家密码管理局印发的11号文件《信息安全等级保护商用密码管理办法》，要求信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。2009年12月15日，国家密码管理局印发管理办法实施意见，进一步明确了与密码测评有关的要求。2017年04月22日，国家密码管理局印发《关于开展密码应用安全性评估

2021年3月9日,国家市场监管总局、国家标准化管理委员会发布公告,正式发布国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,该标准将于2021年10月1日起正式实施。这是贯彻落实我国《密码法》,指导密评工作的一项基础性标准,对于规范和引导信息系统合规、正确、有效应用密码,切实维护国家网络与信息安全具有重要意义。密评六大基础问题解答商用密码应用安全性评估，以下简称密评：Q1：运营单位怎么判定是否需要开展商用密码应用安全性评估？1）《密码法》第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托

依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》针对等保三级系统要求：网络和通信层面：a）应采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性；b）宜采用密码技术保证通信过程中数据的完整性；c）应采用密码技术保证通信过程中重要数据的机密性；d）宜采用密码技术保证网络边界访问控制信息的完整性；e）可采用密码技术对从外部连接到内部网络的设备进行接入认证，确保接入的设备身份真实性；说明：在描述这一块内容之前，我们要确定好网络和通信层面的测评对象(参考文件：《商用密码应用安全性评估FAQ》第二版)    信息系统一般通过网络技术来实现与外界的互联互通，GB/T3978

4.4密码应用技术测评要求词条内容层面物理和环境安全（包含3个测评单元）单元-1身份鉴别（1-4级）测评指标：采用密码技术进行物理访问身份鉴别，保证重点区域进入人员身份真实性测评对象：信息系统所在机房等重要区域及其电子门禁系统测评实施：算法、技术、产品、服务符合通用要求；核查是否采用(1)动态口令机制（2）基于对称密码算法或密码杂凑算法的MAC（3）基于公钥密码算法的数字签名机制进行身份鉴别，实现机制是否正确和有效结果判定：单个测试对象（DAK量化评估，符合-部分符合-不符合）{0\0.25\0.5\1}，单元测评对所有测试对象进行汇总取算术平均单元-2电子门禁记录数据存储完整性（1-4级）测

一、概述1、简介密码：《密码法》定义是指对信息进行加密保护、安全认证的技术、产品、服务。分为：核心密码、普通密码、商用密码。商用密码：《密码法》定义是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。（本文只涉及商密）密评：商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。通过以评促改、以评促用，逐步规范网络运营者的密码使用和管理行为，最终确保密码使用的正确、合规、有效。国内监管部门：国家密码管理局(机要BM局)及检测中心基本评估准则：《GB/T39786-2021信息