什么是密评？

密评是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估的活动。

密评是对密码应用安全的评估，立足系统安全、体系安全和动态安全，对包括密码算法、密码协议和密码设备等进行整体安全性评估。

密码应用正确、合规、有效，是网络和信息系统安全的关键所在，因此密评要做到合规、正确和有效。

开展密评，对于规范密码应用，切实保障网络安全，具有不可替代的重要作用。

开展密评，是适应改革要求，提升商用密码科学化、规范化管理水平的关键举措。

通过开展密评，能够更好发挥密码在保障网络和信息系统安全中的核心支撑作用。

通过开展密评，确保新技术、新应用的密码安全，是推动科技创新的有力支撑。

什么是0054？

我们通常说的0054是国密标准《GM/T 0054-2018 信息系统密码应用基本要求》的标准发布顺序号，该标准由国家密码管理局于2018年2月8日发布并实施。

0054标准中主要包括总体要求、密码功能要求、密码技术应用要求、密钥管理和安全管理。

其中总体要求包括：密码算法、密码技术、密码产品和密码服务；密码功能要求包括：机密性、完整性、真实性和不可否认性；密码技术应用要求包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；密钥管理包括密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程；安全管理包括制度、人员、实施和应用。

其中，密码技术应用要求、密钥管理和安全管理针对等级保护不同级别的信息系统分别有不同的要求。

密评与0054

密评主要按照《GM/T 0054-2018信息系统密码应用基本要求》等标准，对信息系统的规划、建设、运行三个阶段的密码应用情况进行安全性评估。

信息系统规划阶段：组织专家或者委托具有相关资质的测评机构评估密码应用是否是依据商用密码技术标准，制定的商用密码应用建设方案。

信息系统建设阶段：委托具有相关资质的测评机构进行商用密码应用安全性评估，评估结果作为项目建设验收的必备材料，评估通过后，方可投入运行。

信息系统运行阶段：委托具有相关资质的测评机构定期开展商用密码应用安全性评估，评估未通过，网络运营者应当限期整改并重新组织评估。其中，关键信息基础设施、网络安全等级保护第三级及以上信息系统每年至少评估一次。

密评主要是依据0054标准，对信息系统的规划、建设、运行三个阶段的密码应用情况进行安全性评估。

所以说密评是信息系统要达到的目标，而0054标准是信息系统达到目标所依赖的准则。

密评的基本原则是要做到合规性、正确性和有效性。

合规性：

密码算法、密码协议、密钥管理、密码产品和服务使用合规。

按照将要发布的《密码法》、《商用密码管理条例》等密码使用要求，使用符合国家密码法规和标准规定的商用密码算法，使用经过国家密码管理局审批的密码产品或服务。

按照《信息系统密码应用基本要求》等标准，进行相应密码应用建设方案设计。

正确性：

密码算法、密码协议、密钥管理、密码产品和服务使用正确。

系统中采用的标准密码算法、协议和密钥管理机制按照密码国家和行业标准进行正确设计和实现。

自定义密码协议、密钥管理机制的设计和实现正确，符合相关标准要求。

密码保障系统建设或改造过程中密码产品和服务的部署和应用正确。

有效性：

信息系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制不仅设计合理，在系统运行过程中能够发挥密码效用，保障信息的机密性、完整性、真实性、不可否认性。

信息系统要做好密评，就必须对于0054标准有个很好的理解和应用。

0054标准属于密码行标，现在正在升国标修订中，虽然部分内容作了修订和调整，但是核心内容是不变的，因为我们还是重点对于现有发布的0054标准进行解读。

从技术要求来看，密评的服务对象是信息系统，服务内容是系统密码改造（0054-7 密码技术应用要求）。服务内容的实现依赖于合规的密码组件（0054-5 总体要求），服务内容中要解决的问题使用了基本的密码功能（0054-6 密码功能要求），服务内容中的安全核心为密钥管理（0054-8 密钥管理）。

密评是密码应用情况的安全性评估，因为密评的核心是密码，而密码的核心是密钥，所以密钥管理的安全性是密评中核心的核心。