无处不在的商用密码，你了解多少?

国家网络安全宣传周

网络安全知识手册

2024年国家网络安全宣传周于9月9日至15日在全国范围举行。

网络安全知识手册

正式发布

开启网络安全知识学习之旅吧！

商用密码知多少？

一、商用密码应用安全性评估

商用密码应用安全性评估（以下简称密评），是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

二、为什么要做密评

1.《中华人民共和国密码法》第二十七条规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

•《中华人民共和国密码法》第三十七条规定，关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

•《国家政务信息化项目建设管理办法》第二十八条第三款规定，对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

•《商用密码管理条例》第三十八条规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。

依据GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》，密评指标分为四个技术层面（黄色色块）与四个管理层面（绿色色块）。

三、商用密码的概念

《中华人民共和国密码法》中将密码分为核心密码、普通密码和商用密码。

核心密码、普通密码用于保护国家秘密信息，属于国家秘密。

商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。

四、商用密码算法

商用密码算法包括：SM1 SM2 SM3 SM4 SM7 SM9 ZUC

注意：SM1和SM7的算法未公开，其它算法都已公开，且已由国际标准化组织ISO/IEC正式发布，成为国际标准。

更多网络安全知识

我们下一期见！

来源：网络安全知识手册

编辑：王　遂　蒋　好（实习生）

责编：林　敏

编审：冯　伟

终审：周一帆