以“安全護航 合規推動”為主題的 2022 SCIC 網絡安全合規創新峰會已圓滿落幕，受到與會領導、專家及業界同仁的熱切關注與討論。今天與大家分享的是來自中國電力科學研究院高級專家、高級工程師李智虎《商用密碼應用安全性評估技術體系》的專題演講！敬請收看！

嘉賓介紹

中國電力科學研究院高級專家、高級工程師 李智虎

嘉賓簡介：中國電力科學研究院高級專家，高級工程師。從事密碼技術管理和前沿技術跟蹤工作二十年，現任中國密碼學會理事，密碼行業標準化技術委員會委員，基礎組副組長，中國通信學會量子專委會委員，國家疫苗與接種大數據專委會委員，IEEE PES區塊鏈分技術委員會常務理事，是多個部委信息安全及密碼專家。

●核心觀點●

01.數字世界，必須建立起網絡信任體系

物聯網是大數據的產生方式，而5G技術開啟了大數據高性能傳輸時代。

大數據成為這個時代發展必不可少的關鍵技術，當前所有的熱門新技術幾乎都是為了大數據誕生的；云計算是大數據的使用方式，量子計算推進了大數據的高性能計算，人工智能發展了大數據的分析方法。

那么，誰來保障大數據產生、傳輸、使用過程中的安全？怎樣保障個人信息隱私的安全使用？因此，商用密碼應用安全性評估技術體系應運而生。

02.密碼標準基本框架

我國在密碼測評、產品及協議、接口規范、基礎設施、基礎規范、算法上都有完善的體系規范和相關標準。

2021年3月9日，《信息安全技術 信息系統密碼應用基本要求》（GB/T 39786-2021）正式發布，于2021年10月1日起實施。

GB/T 39786是《信息系統密碼應用基本要求》 GM/T 0054-2018（以下簡稱0054）行業標準的國標升級版，標準內容更加規范，要求更加明確，邏輯更加清晰，同時對于密評實際執行過程中遇到的問題也做了相應的修訂，使得密評工作能夠更加有序、快速地加以推進。

本標準規定了信息系統第一級到第四級的密碼應用的基本要求，從信息系統的物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全四個技術層面提出了第一級到第四級的密碼應用技術要求，并從管理制度、人員管理、建設運行和應急處置四個方面提出了第一級到第四級的密碼應用安全管理要求。

因此，該標準主要目標為了合規、正確和有效地使用商用密碼，確保了在信息系統當中實體的身份真實性、重要數據的完整性和機密性以及行為的不可否認性。

在信息系統密碼測評過程中，《信息系統密碼應用測評過程指南》可作為密碼測評過程依據。

本文件規定了信息系統密碼應用的測評過程，規范了測評活動及其工作任務。適用于商用密碼應用安全性評估機構、信息系統責任單位開展密碼應用安全性評估工作。

在風險判定及量化評估方面，《信息系統密碼應用高風險判定指引 》《商用密碼應用安全性評估量化評估規則 》可作為依據。

其中，《信息系統密碼應用高風險判定指引 》依據GB/T 39786《信息安全技術 信息系統密碼應用基本要求》有關條款，給出了信息系統密碼應用過程中可能存在的高風險安全問題。適用于指導、規范信息系統密碼應用的規劃、建設、運行及測評。

《商用密碼應用安全性評估量化評估規則 》依據 GB/T 39786《信息安全技術 信息系統密碼應用基本要求》和 GM/T 0115-2021《信息系統密碼應用測評要求》，對信息系統的密碼應用情況給出定量評估結果。適用于指導、規范信息系統密碼應用的規劃、建設、 運行及測評。

如果您對本屆峰會有更多建議，以及更多創新想法，歡迎咨詢會務組！

會務組聯絡人：李先生 15210798980（同微信）