关于密评，你踩过这些坑吗

有些厂家提出业务系统零改造过密评的方案，还有些密码服务厂商抓住了客户信息系统改造难度大、成本高的痛点，打出“信息系统免集成，即可通过密评”的宣传口号。

事实上信息系统开展密评工作主要目的在于推动密码应用的合规性、正确性、有效性。在常见的密码应用中的安全性问题包括：密码技术被弃用（例如完全未用密码）、密码技术被乱用（例如简化使用密码协议导致出现安全漏洞）、密码技术被误用（例如使用固定值而非随机数作为初始向量）。这一切都指向“用”，即信息系统要正确调用密码产品、密码服务。

不针对信息系统实际情况、重要数据安全需求等加以分析，进而适当改造信息系统以“用”密码，是难以全面保障信息系统安全，也难以通过密评。

部分厂商向客户提出“应用层不拿分，靠其他几层拿分也能及格”的说辞。

根据《商用密码应用安全性评估量化评估规则》第6部分整体结论判定，整体量化评估结果是百分制，应用和数据安全占30分。只有达到分数阈值、且没有高风险项，才能判定被测信息系统基本符合GB/T39786-2021相应等级要求。

目前执行的阈值是60分，这意味着如果应用和数据层完全不拿分，就只剩下10分的机动空间；更重要的是，应用和数据安全涉及5项高风险项，如果完全不加以考虑，很容易碰到高风险“一票否决”。

一些机构疑问：“如果系统中没有应用密码技术或密码产品，是不是就不需要过密评，或者可以直接通过密评？”

密评是针对应用方业务系统的测评，看密码是否得到合规、正确、有效的应用，而非针对密码产品的检测。按照相关法律法规规定，关键信息基础设施、政务信息系统、等保三级以上信息系统需要同步规划、同步建设、同步运营密码保障系统，定期进行密评，这项要求与其当前是否使用密码无关。如果上述业务系统完全未用到密码，那么在密评中“高风险项”是肯定存在的，因而肯定无法通过密评。

一些机构疑惑等保定级的范围和密评范围是否一致，在做密码测评的时候是要所有的系统测试通过才算通过密评吗？如何划定测评对象范围？

密评当前没有独立的定级，而是依赖等保定级的。因而在划定测评范围的时候，原则上应与等保定级的范围一致。如果等保定级系统里有多个应用或多个子系统，密评时会针对每个应用或子系统都做测评，最终分数判定需综合考虑所有应用或子系统在相应层次的密码应用情况。详情可参照GM/T 0115《信息系统密码应用测评要求》。

开展密评工作必然离不开密码设备的建设工作，密码设备的采购数量、采购金额必然是各行业关注的重点之一。部分密码设备厂商基于自身产品推广，宣称“采购一些密码设备、一类产品即可通过密码应用测评” 。

密评工作的目标是“以评促用”，脱离信息系统的当前状况去谈产品的配用是不科学的。对于已建的信息系统，首先开展差距分析，梳理保护对象、应用场景及防护现状，总结当前差距形成密码应用需求，根据密码应用需求设计密码应用措施，才能谈得上需要什么样的产品来实现这些措施。

密评工作对于各行业来说属于新业务、新要求，在缺乏有效参考经验的情况下，一些销售人员为了争取商业机会，打出“包过密评”包票。

这样的宣传虽然可能给了用户通过“密评”的信心，但能否通过密评，是由正规测评机构给出结论为标志的。密码测评机构绝不会在尚未了解任何情况之前就去判定“符合”；同样的，协助用户做密码应用的厂商，也只有在充分了解用户业务、梳理密码应用需求之后，才能明确有哪些GB/T 39786规定的密码应用要求未得到满足，此前的“包票”都只能是噱头。即便明确了需求，是否能够设计出既满足了密码应用需求、又不对业务造成太大影响的技术措施，仍是要具体问题具体分析。科学的说法，是专业密码厂商会竭尽所能帮助用户通过“密评”，但在未充分了解情况之前的“包票”，都是过于夸张的。

一些机构疑惑现有的CA电子签名、数据保护等和密评是什么关系？

基于公钥密码的电子签名，是当前主流的密码应用技术之一。行业现阶段为无纸化业务而开展的电子签名、数据保护等工作，同样属于密码技术应用，能够解决重要数据的真实性、完整性和不可否认性，为合规密码应用建设打下了良好基础。但如前所述，并非一类密码应用技术就可解决所有问题，因此也不能有“用了电子签名就一定能过密评”的认识。

随着信息化发展，部分机构在原有机房难以支撑信息化应用的情况下，采用了多机房并行的情况。针对此类情况，机构认为只对新机房开展密码应用改造，就可以完成密评工作。

GB/T 39786规定的物理环境安全要求，是所有物理环境都需要满足的。因此如果多机房，每个机房都要根据完整的测评单元开展评估工作，综合的物理环境安全得分值是取加权平均，而非只有一个机房合规就能得到全部的分数。对于高风险项，如果任何一个机房存在高风险，则是“一票否决”。