网络和信息系统密码应用要求

A. 可以依法使用商用密码保护网络与信息安全有哪些

可以依法使用商用密码保护网络与信息安全如下：

1、网络安全：商差烂用密码可以用于企业的网络安全防护，如企业内部的加密通讯、安全存储、防伪识别等方面。

2、应用系统保护：商用密码也可以用于企业自主研发的应用系统，如电子商务系统、OA办公自动化系统等应用程序的数据传送的加密、解密和认证授权等方面。

3、隐私保护：商用密码可以用于保护企业或个人的隐私，如个人财务信息、健康数据、登录账户等方面的加密保护。

4、适应性强：商用密码系统应该适应各种网络环境和应用场景，具有高度的灵活性和扩展性，以贺升满足企业的不同需求。

商用密码作为网络和信息安全保护的重要手段，可以帮助企业实现信息资产的有效管理和保护，促进企业的健康禅庆老发展。但是企业在使用商用密码的过程中，需要认真遵守相关法律法规，并在使用过程中注意安全风险的控制和防范。

商用密码

商用密码是商业机构或组织为保障自己信息系统的安全而自主研发的密码，有使用得到政府支持的特殊保护措施。根据中国法律法规的规定，企业或个人可以依法使用商用密码保护网络和信息安全。

B. 根据中华人民共和国密码法

《中华人民共和国密码法》具体如下：
1、为了规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，制定本法；
2、 密码工作坚持总体国家安全观，遵循统一领导、分级负责，创新发展、服务大局，依法管理、保障安全的原则；
3、 坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导，制定国家密码工作重大方针政策，统筹协调国家密码重大事项和重要工作，推进国家密码法治建设；
4、 国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
【法律法规】
《中华人民共和国密码法（释义）》
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。
关键信息基础设施的运营者，是指关键信息基础设施的所有者、管理者和网络服务提供者。
商用密码应用安全性评估。是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

C. 商用密码应用安全性评估应当与

商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

开展密评，是为了解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法，逐步规范商用密码的使用和管理。

从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中有效使用，切实构建起坚实可靠的网络安全密码屏障。开展密评，是国家网络安全和密码相关法律法规提出的明确要求，是法定责任和义务。

总体要求：

密码算法：使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，重点关注密码算法的合规性。

密码技术：使用的密码技术应遵循密码相关国家标准和行业标准。重点关注加密技术的合规性，密码技术应保证自身的安全性，可靠性，与信息系统的互联互通性。

密码产品：使用的密码产品与密码模块应通过国家密码管理部门核准。“密码模块”可包括密码卡、密码机、定制密码模块、密码软件等多种形态。

重点关注密码产品的合规性和有效性，密码产品和密码模块需根据国家相关规定进行密码产品安全等级确定、检测。其中根据GM/T0028-2014《密码模块安全技术要求》确定安全等级，依据GM/T0039-2015《密码模块安全检测要求》进行产品检测。

密码服务：使用的密码服务应通过国家密码管理部门许可。如CA认证机构应获得《电子认证服务使用密码许可证》以及《电子认证服务许可证》。