密码学堂 | 什么是核心密码、普通密码和商用密码？

密码法释义（二）什么是核心、普通和商用密码？

2022-10-27

密码分类管理

中华人民共和国密码法

———————————————————————————————————————————————————————————————————————

第六条国家对密码实行分类管理。

密码分为核心密码、普通密码和商用密码。

——————————————————————————————————————————————————————————————————————————————————

《密码法》第六条是关于密码分类管理原则的规定。

将密码分为核心密码、普通密码和商用密码，实行分类管理，是党中央确定的密码管理根本原则，是保障密码安全的基本策略，也是长期以来密码工作经验的科学总结。三类密码保护的对象不同，对其进行明确划分，有利于确保密码安全保密，有利于密码管理部门根据不同信息等级和使用对象，对密码实行科学管理，充分发挥三类密码在保护网络与信息安全中的核心支撑作用。

对密码施行分类管理，也是国际通行做法。1996年《瓦森纳协定》将密码作为两用物项对待。通过对密码算法、密钥管理和密码协议的区分管理，实现对国家秘密和其他重要数据、个人信息的分类，分别保护。

中华人民共和国密码法

第七条核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。

核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。

《密码法》第七条是关于核心密码、普通密码管理的一般性规定。

01、核心密码、普通密码的概念

核心密码、普通密码用于保护国家秘密信息，有力保障了中央政令军令安全，为维护国家网络空间主权、安全和发展利益构筑起密码屏障。按照《保守国家秘密法》的规定，国家秘密是指关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。《密码法》根据保护对象的不同，对核心密码、普通密码进行划分。核心密码用于保护国家绝密级、机密级、秘密级信息，普通密码用于保护国家机密级、秘密级信息。

02、对核心密码、普通密码实行严格统一管理

密码管理部门按照中央要求，对核心密码、普通密码实行严格统一管理，针对核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁各个环节制定了一系列严格的安全管理制度和保密措施，对核心密码、普通密码实现全生命周期的严格统一管理，明确了一系列保障措施。

中华人民共和国密码法

第八条商用密码用于保护不属于国家秘密的信息。

公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

《密码法》第八条是关于商用密码管理的一般性规定。

01、商用密码的概念

商用密码用于保护不属于国家秘密的信息。也就是说，商用密码可以用于保护除国家秘密之外的所有信息，既可以保护企业商业秘密、公民个人隐私，也可以保护政务领域中不属于国家秘密的工作信息。关于商用密码的名称，1996年，中央决定在我国大力发展商用密码，加强对商用密码的管理。1999年，国务院颁布施行《商用密码管理条例》(国务院令第273号)，商用密码的名称开始为社会所熟知和广泛使用。此后，中央文件和党内法规以及国家密码管理局制定发布的规范性文件均采用了“商用密码”这一名称。

02、《密码法》对商用密码使用的管理

1999年《商用密码管理条例》规定，任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品；境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备，必须报经国家密码管理机构批准；商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品必须由国家密码管理机构指定的单位维修，报废、销毁商用密码产品应当备案。

《密码法》在商用密码领域深化“放管服”改革，根据经济社会发展实际以及社会各方面对商用密码的使用需求，取消了《商用密码管理条例》对商用密码使用设定的严格管理措施，规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全，对一般用户使用商用密码没有提出强制性要求。此外，《密码法》第十二条延续了《商用密码管理条例》有关不得从事密码违法犯罪活动的规定。同时，为了保障关键信息基础设施安全稳定运行，维护国家安全和社会公共利益，《密码法》第二十七条规定了关键信息基础设施的商用密码使用要求。

公民、法人和其他组织可以依法使用商用密码，既是《密码法》赋予公民、法人和其他组织自主选择使用商用密码的权利，也是鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全。商用密码广泛应用于国民经济发展和社会生产生活的方方面面，涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域，积极服务“互联网+”行动计划、智慧城市和大数据战略，以及物联网、人工智能、区块链等新技术应用，在维护国家安全、促进经济社会发展、保护公民、法人和其他组织合法权益方面发挥着重要作用。在金融领域，使用商用密码的金融芯片卡，有效遏制了银行卡伪造、网上交易身份仿冒等违法犯罪活动。在税收领域，增值税防伪税控系统采用商用密码技术保护涉税信息，有效遏制了通过篡改发票票面信息进行偷税、漏税等违法犯罪活动。在社会管理领域，公安部已累计发放使用商用密码芯片的第二代居民身份证超过18亿张，有效杜绝了伪造、变造身份证等违法犯罪行为。除此之外，商用密码还可以用于企业商业秘密、公民个人隐私的保护。例如，商用密码在网上银行、网上支付系统中的广泛使用，显著提高了交易数据的安全保护能力，降低了用户身份被仿冒、隐私信息被盗用等风险，有效保障了公民的信息安全和财产安全。

内容来源：《中华人民共和国密码法释义》童卫东李兆宗主编

————————————————————————— 网安检测公司主营业务介绍 —————————————————————————

商用密码应用安全性评估服务：对采用商用密码算法、技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估，帮助关键信息基础设施等相关信息系统密码应用符合法律法规和标准规范要求。

ISO27001体系建设咨询服务：基于ISO/IEC27001体系框架和标准，帮助客户在其组织内部建立一套适当、可落地、全局性和可视化的信息安全政策、管理制度、操作流程和执行记录的信息安全管理体系，并协助通过ISO 27001认证。

网络安全等级保护测评服务：依据公安部关于网络安全等级保护的有关法律法规和要求，对用户方的重要二/三/四级信息系统的网络安全等级保护状况进行评估、咨询和评测，全面、完整地了解网络安全等级保护要求的基本安全控制在信息系统中的实施配置情况以及系统的整体安全性，出具安全等级测评的结论；指出该系统存在的安全问题并提出相应的整改建议，出具《网络安全等级保护测评报告》。

信息系统审计服务：依据国家法律法规和行业监管，客观独立地审查和评价信息系统规划设计、开发、运营等生命周期中涉及的设施、流程、技术、管理和资源存在的风险、控制和价值实现，为高级管理层实施治理决策提供重要依据，满足监管合规要求。

ICP/EDI评测服务：包含符合性评测与风险评估。符合性评测根据相关规范的要求，针对物理环境安全、基础网络安全、设备与系统安全、业务与应用安全、安全管理等领域16个层面进行标准符合性评测，查找差距，提出整改建议，促进信息系统符合通信行业标准要求。风险评估内容包含技术风险评估与管理风险评估，评估和分析在基础网络架构、信息系统上存在的安全技术风险与管理组织存在的这些脆弱性，指导用户方的信息安全保障建设，促进用户方安全管理水平和安全技术保护能力的提高，增强用户方的信息安全风险管理意识，降低用户方信息系统安全风险，确保信息系统的安全稳定运行。

APP个人信息安全合规评估服务：在隐私政策文本检测、APP收集使用个人信息行为检测、APP用户权利保障等方面，为APP开发者和运营者提供全面、准确和快捷的隐私合规检测支持，确保APP个人信息保护满足监管要求。

信息安全风险评估服务：立足于全局观角度，根据行业与业务特点、信息系统生命周期过程，并融合多项安全标准规范，开展安全风险识别和安全能力评估，识别信息安全隐患、威胁以及所形成的安全风险，提出整改和优化建议，全面提高安全管理水平并落实监管要求。

安证云第三方电子数据保全服务：提供面向重点行业（政府行政服务、医疗卫生、教育、互联网金融、游戏、直播、众筹等）行为存证的电子数据证据保管、取证、鉴定、出证和高级安全防护的一体化支撑服务，加强数据的属地化管理，帮助客户一站式解决诉讼前和诉讼中的“取证难，举证难，出证难”等问题。

安全培训：提供CISP攻防领域渗透测试⽅向PTE/PTS（注册信息专业⼈员渗透测试⼯程师/专家），应急响应⽅向IRE/IRS（注册信息安全专业⼈员应急响应⼯程师/专家）等培训服务。