网络测评和密码测评

Ⅰ 商用密码应用安全性评估应当与

商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

开展密评，是为了解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法，逐步规范商用密码的使用和管理。

从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中有效使用，切实构建起坚实可靠的网络安全密码屏障。开展密评，是国家网络安全和密码相关法律法规提出的明确要求，是法定责任和义务。

总体要求：

密码算法：使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，重点关注密码算法的合规性。

密码技术：使用的密码技术应遵循密码相关国家标准和行业标准。重点关注加密技术的合规性，密码技术应保证自身的安全性，可靠性，与信息系统的互联互通性。

密码产品：使用的密码产品与密码模块应通过国家密码管理部门核准。“密码模块”可包括密码卡、密码机、定制密码模块、密码软件等多种形态。

重点关注密码产品的合规性和有效性，密码产品和密码模块需根据国家相关规定进行密码产品安全等级确定、检测。其中根据GM/T0028-2014《密码模块安全技术要求》确定安全等级，依据GM/T0039-2015《密码模块安全检测要求》进行产品检测。

密码服务：使用的密码服务应通过国家密码管理部门许可。如CA认证机构应获得《电子认证服务使用密码许可证》以及《电子认证服务许可证》。