商用密碼安全性評估是什么

商用密碼應用安全性評估簡稱“密評”，是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中，對其密碼應用的合規性、正確性和有效性進行評估。

國家網絡安全和密碼相關法律法規明確要求非涉密的關鍵信息基礎設施、等保三級及以上系統、國家政務等重要信息系統要開展密評工作。并且，密評管理辦法也明確規定：關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統，需要每年至少評估一次。

密評工作主要包括兩部分內容：一是信息系統規劃階段的密碼應用方案評估，這一環節主要用于保證建設方案的安全性；二是信息系統建設完成后針對該系統開展現場測試。

依據測評工作流程，有計劃有步驟地開展測評工作，并保證測評活動的每個環節都得到有效的控制，主要包括四個階段：

1. 測評準備階段

   收集被測系統的相關資料信息，全面掌握被測系統密碼使用的詳細情況，為測評工作的開展打下基礎。

2. 方案編制階段

   正確合理確定測評對象、測評邊界、測評指標等內容，并依據技術標準、規范編制測評方案、測評結果記錄表格，測評方案應通過技術評審并有相關記錄。

3. 現場測評階段

   嚴格執行測評方案中的內容和要求，并依據操作規程熟練地使用測評設備和工具，規范、準確、完整地填寫測評結果記錄，獲取足夠證據，客觀、真實、科學地反映出系統的密碼安全防護狀況，測評過程應予以監督并記錄。特別需要強調的是，測評過程中，要強化對系統數據的獲取和分析，能夠發現系統的漏洞和密碼應用的問題。

4. 報告編制階段

   通過對測評數據的綜合分析得出被測信息系統密碼安全護現狀與相應的技術標準要求之間的差距，分析差距可能導致被測系統面臨的風險，給出測評結論，形成測評報告，測評報告應依據國家密碼管理部門統一編制的報告模板的格式和內容要求編寫；測評報告應包括所有測評結果、根據這些結果做出的專業判斷，以及理解和解釋這些結果所需要的相關信息，以上信息均應正確、準確、清晰地表述。

回答所涉及的環境：聯想天逸510S、Windows 10。