2020年起實施的《中(zhōng)華人民(mín)共和國(guó)密碼法》（以下簡稱《密碼法》）明确規定了商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估（以下簡稱密評）有(yǒu)關要求，新(xīn)修訂的《商(shāng)用(yòng)密碼管理(lǐ)條例》（以下簡稱《條例》）進一步細化了相關規定。密評對我國(guó)商(shāng)用(yòng)密碼應用(yòng)和管理(lǐ)工(gōng)作(zuò)具(jù)有(yǒu)重要的推動和規範作(zuò)用(yòng)，其體(tǐ)系也在不斷發展和完善過程中(zhōng)。

一、商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估體(tǐ)系初步建立

（一）體(tǐ)制機制與法規依據逐步成熟規範

《密碼法》首次确立了密評工(gōng)作(zuò)的法律地位。《密碼法》第二十七條對關鍵信息基礎設施使用(yòng)商(shāng)用(yòng)密碼和開展密評提出了明确要求，并在第三十七條對違反該要求的行為(wèi)明确了罰則，這從根本上建立起了密評制度，也是開展密評工(gōng)作(zuò)最基本的法律依據。随着《密碼法》的貫徹實施，密評工(gōng)作(zuò)也得到了越來越多(duō)的關注和認可(kě)，成為(wèi)了密碼應用(yòng)推進工(gōng)作(zuò)的重要抓手。

新(xīn)修訂的《條例》對密評工(gōng)作(zuò)提出了更加具(jù)體(tǐ)和細化的要求。在落實《密碼法》要求的基礎上，《條例》第三十八條進一步明确了關鍵信息基礎設施“三同步”、每年定期評估以及備案管理(lǐ)的具(jù)體(tǐ)要求：“……運營者應當使用(yòng)商(shāng)用(yòng)密碼進行保護，制定商(shāng)用(yòng)密碼應用(yòng)方案，配備必要的資金和專業人員，同步規劃、同步建設、同步運行商(shāng)用(yòng)密碼保障系統，自行或者委托商(shāng)用(yòng)密碼檢測機構開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估。……，運行後每年至少進行一次評估，評估情況按照國(guó)家有(yǒu)關規定報送國(guó)家密碼管理(lǐ)部門或者關鍵信息基礎設施所在地省、自治區(qū)、直轄市密碼管理(lǐ)部門備案。”對于與網絡安(ān)全等級保護制度的銜接，《條例》第四十一條規定：“網絡運營者應當按照國(guó)家網絡安(ān)全等級保護制度要求，使用(yòng)商(shāng)用(yòng)密碼保護網絡安(ān)全。國(guó)家密碼管理(lǐ)部門根據網絡的安(ān)全保護等級，确定商(shāng)用(yòng)密碼的使用(yòng)、管理(lǐ)和應用(yòng)安(ān)全性評估要求，制定網絡安(ān)全等級保護密碼标準規範。”這及時回應了社會對于等級保護對象開展密碼應用(yòng)與安(ān)全性評估的關切，為(wèi)等級保護對象開展密評提供了基本遵循。

除了《密碼法》和《條例》外，相關部門規章和規範性文(wén)件也對密碼應用(yòng)和密評作(zuò)出了明确規定，包括國(guó)務(wù)院辦(bàn)公(gōng)廳印發的《國(guó)家政務(wù)信息化項目建設管理(lǐ)辦(bàn)法》、公(gōng)安(ān)部印發的《貫徹落實網絡安(ān)全等級保護制度和關鍵信息基礎設施安(ān)全保護制度的指導意見》、财政部印發的《政務(wù)信息系統政府采購(gòu)管理(lǐ)暫行辦(bàn)法》等，與上述法律法規一起，共同構成了密評工(gōng)作(zuò)的法律依據和制度支撐。

（二）技(jì )術體(tǐ)系與标準規範不斷健全完善

2018年初，為(wèi)指導密評試點工(gōng)作(zuò)開展，國(guó)家密碼管理(lǐ)局發布了密碼行業标準GM/T-0054《信息系統密碼應用(yòng)基本要求》。2018年以來，基于GM/T-0054開展的密碼應用(yòng)和安(ān)全性評估工(gōng)作(zuò)，充分(fēn)驗證了密評工(gōng)作(zuò)的科(kē)學(xué)性和可(kě)行性。該标準也在2021年上升為(wèi)國(guó)家标準GB/T-39786《信息安(ān)全技(jì )術 信息系統密碼應用(yòng)基本要求》，結合密評工(gōng)作(zuò)實踐對内容進行了優化，更為(wèi)科(kē)學(xué)合理(lǐ)。

為(wèi)了配合GB/T-39786的實施，更好地指導和規範密評活動，中(zhōng)國(guó)密碼學(xué)會密評聯委會組織制定了《信息系統密碼應用(yòng)測評要求》《信息系統密碼應用(yòng)測評過程指南》《信息系統密碼應用(yòng)高風險判定指引》《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估量化評估規則》《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估報告模闆》等5項指導性文(wén)件，其中(zhōng)前2項已正式發布為(wèi)密碼行業标準GM/T-0115和GM/T-0116。

相比于原有(yǒu)的符合性判定“一票否決”的規則，新(xīn)的密評标準框架豐富了密評結果的出具(jù)過程，提出了“量化評估＋風險判定”的綜合判定思路。量化評估是為(wèi)了“保量”，即商(shāng)用(yòng)密碼應用(yòng)應當達到一定的程度，便于縱向和橫向的比較；風險判定是為(wèi)了“保質(zhì)”，即守住信息系統的安(ān)全底線(xiàn)。此外，為(wèi)了規範密評實施和判定活動，中(zhōng)國(guó)密碼學(xué)會密評聯委會還組織編制了《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估FAQ》，以問答(dá)形式解釋了密評過程中(zhōng)常見問題，并确立了定期更新(xīn)機制，不斷應對技(jì )術發展和應用(yòng)情況的變化，以持續保持密評标準體(tǐ)系的活力。

（三）機構規模與能(néng)力水平持續壯大提升

密評機構不僅是密評工(gōng)作(zuò)實施開展的主體(tǐ)，還是密碼應用(yòng)推進工(gōng)作(zuò)的宣傳隊，因此其專業水平十分(fēn)重要。2017年底，第一批密評試點機構遴選工(gōng)作(zuò)正式開始，經培育考核，确定了首批密評試點機構。2019年底，第二批密評試點機構的遴選正式啓動，吸取第一批密評試點機構能(néng)力考核的經驗，結合密評試點階段實際密評工(gōng)作(zuò)的要求，第二批密評試點機構的能(néng)力考核進一步完善，在原有(yǒu)的人員能(néng)力筆(bǐ)試考核和機構條件現場考核基礎上，将密評報告評估和密評實戰能(néng)力考核納入能(néng)力考核範圍。這其中(zhōng)，實戰能(néng)力考核是充分(fēn)克服了新(xīn)冠疫情的不利影響，積極探索解決密評實戰能(néng)力如何考核的難題，取得了很(hěn)好的成效，也獲得了參與考核機構的積極反饋。實戰能(néng)力考核貼近實際，不再是“紙上談兵”，一方面覆蓋了原本理(lǐ)論考試無法涉及的内容，對機構實戰能(néng)力進行了有(yǒu)效評價，另一方面也對密評工(gōng)作(zuò)的開展起到了有(yǒu)效的引導和教育作(zuò)用(yòng)，将密評機構原先對算法、産(chǎn)品進行簡單核查的僵化思路，逐步轉變為(wèi)充分(fēn)采集證據、深入分(fēn)析數據、客觀給出結果的科(kē)學(xué)化、合理(lǐ)化路徑。

2020年7月，國(guó)家密碼管理(lǐ)局公(gōng)布了第一批24家密評試點機構目錄，并于2021年6月進行目錄更新(xīn)，其中(zhōng)可(kě)面向全國(guó)開展密評業務(wù)的機構共48家，另外25家可(kě)面向本省本行業開展密評業務(wù)，形成了階梯式的密評機構層次架構。密評試點機構規模不斷擴大、能(néng)力逐步提升，為(wèi)密評工(gōng)作(zuò)規模化、規範化發展提供了重要支撐。

二、貫徹落實《條例》，進一步完善密評體(tǐ)系

（一）持續拓展密評工(gōng)作(zuò)深度廣度，不斷增強重要領域密碼應用(yòng)水平

在法律法規層面，可(kě)以預見的是，随着《條例》發布，配套的規章制度也會陸續出台，進一步細化對密評機構管理(lǐ)和對密評工(gōng)作(zuò)管理(lǐ)等要求。在這些法律法規的具(jù)體(tǐ)要求下，密評機構和人員的管理(lǐ)将進一步規範，開展密評的信息系統範圍和數量将進一步擴大。下一步，在前期金融、政務(wù)等領域開展密碼應用(yòng)和密評工(gōng)作(zuò)的良好基礎上，要進一步深入擴展到其他(tā)重要領域和行業，推動密碼應用(yòng)和密評要求在重要領域和行業落地生根，持續增強密碼應用(yòng)的廣度和深度。

（二）持續推進标準文(wén)件更新(xīn)出台，不斷為(wèi)密評體(tǐ)系注入生命力

GB/T-39786針對信息系統提出了通用(yòng)性的密碼應用(yòng)基本要求，但無法适配于所有(yǒu)類型信息系統和應用(yòng)場景。近些年，國(guó)家密碼管理(lǐ)局以密碼行業标準形式發布了針對具(jù)體(tǐ)應用(yòng)場景的密碼應用(yòng)技(jì )術要求和指南，包括電(diàn)子保單、網上銀行、遠(yuǎn)程移動支付、電(diàn)子招投标、區(qū)塊鏈等。随着密碼應用(yòng)範圍的不斷擴大，亟需新(xīn)一批的指導性文(wén)件用(yòng)于指導具(jù)體(tǐ)場景的密碼應用(yòng)建設和安(ān)全性評估工(gōng)作(zuò)，并适情開展文(wén)件的标準化。另外，目前密評體(tǐ)系文(wén)件中(zhōng)形成标準的還不多(duō)，還需進一步推進已經在制标過程中(zhōng)的《信息系統密碼應用(yòng)方案設計指南》和《信息系統密碼應用(yòng)實施指南》等應用(yòng)指導類文(wén)件加快成熟，以更好指導密碼應用(yòng)與安(ān)全性評估工(gōng)作(zuò)。

（三）持續加強技(jì )術手段建設，不斷提升密評機構能(néng)力水平

在密評實施過程中(zhōng)，目前的工(gōng)具(jù)和手段還不能(néng)較好支撐對專門領域（如5G、工(gōng)業互聯網）中(zhōng)的密碼協議和密碼應用(yòng)情況進行有(yǒu)效檢查，在對信息系統重要數據的深入自動分(fēn)析及密碼應用(yòng)漏洞的探測方面也存在較大欠缺。因此，未來需要圍繞密評實踐過程中(zhōng)的各個技(jì )術驗證點，進一步加強密評業務(wù)開展的技(jì )術手段建設。一方面，基于密碼産(chǎn)品/服務(wù)等相關标準完善現有(yǒu)典型密評工(gōng)具(jù)，同時研制并集成密評新(xīn)工(gōng)具(jù)，如自動化分(fēn)析工(gōng)具(jù)、密碼應用(yòng)滲透測試工(gōng)具(jù)，形成可(kě)聯動、可(kě)動态配置、自動化、一體(tǐ)化的密評工(gōng)具(jù)平台；另一方面，加強密碼應用(yòng)典型風險庫和應對知識庫建設，為(wèi)密評人員的知識培訓、實戰考核和能(néng)力驗證提供基礎保障。此外，還需加強密碼應用(yòng)攻防平台建設，整合密碼應用(yòng)風險庫以及對應的典型案例庫、惡意攻擊行為(wèi)庫等知識庫，結合一體(tǐ)化密評工(gōng)具(jù)平台，形成涵蓋環境仿真、密評人員培訓演練、密評機構能(néng)力驗證為(wèi)一體(tǐ)的密評核心基礎設施，全面提升我國(guó)密評工(gōng)作(zuò)質(zhì)量水平和實戰能(néng)力，切實維護重要網絡與信息系統安(ān)全。