文章总结： 本文对《商用密码应用安全性评估FAQ（第四版）》的更新内容进行了详细解读，涵盖通用、技术、管理、整体测评、量化评估、风险判定及特殊场景等七个模块。核心变化包括明确自建CA合规性、完善密钥管理测评逻辑、规范混合算法环境下的测评对象选择、细化风险缓解措施对等级和结论的影响等。文章旨在帮助读者理解新版要求，以规避合规风险。 综合评分： 90 文章分类： 政策法规,解决方案,安全建设,应用安全,数据安全

密评 FAQ 第四版全量更新解读：逐条拆解核心变化，落地实操不踩坑

原创

WM WM

中尔安全实验室

2026年3月31日 16:42 浙江

《商用密码应用安全性评估 FAQ（第四版）》的 30 项调整，精准回应了近两年来密评实操中的高频争议与新兴场景，从通用类、技术类、管理类到特殊场景类，每一条修改都直接影响测评结论与合规方向。本文将按模块逐条拆解新增、修改条款的核心判定规则与实操要点，帮你快速掌握新版要求、规避合规风险。

01 通用类（新增2项+修改4项）

1.1 新增2项

| | | | — | — | | 1 | 自建 CA 签发数字证书的合规性判定 「核心结论」：企业自建 CA 为内部系统签发加密通信、身份认证数字证书无需专用许可证，但所用密码产品需具备商用密码产品认证证书，且需采取技术 + 管理措施保障 CA 安全运行，重点做好证书申请、签发、撤销等全生命周期管理。 「实操解读」：明确企业内部 CA 的合规边界，解决 “自建 CA 是否违规” 的核心困惑，兼顾企业内部证书管理的灵活性与安全性。 | | 2 | 被测方无改造 / 管理权限接口的密评注意事项 「核心结论」：不得因 “无改造 / 管理权限、接口责任方不在本系统范围”，将互联通道论证为不适用；确因客观原因无法获取关键证据，可酌情采用非关键证据判定，风险判定仍需严格依据《高风险判定指引》并结合实际安全控制措施。 「实操解读」：强化 “全链路密评” 原则，杜绝企业以 “无权限” 为由规避安全责任，保障密评范围的完整性。 |

1.2 修改4项

| | | | — | — | | 1 | 未标注密码模块安全等级的产品判定 「核心修改」：结合 2025 年 4 月 30 日，国家密码管理局发布《关于调整商用密码检测认证业务实施的公告》，补充证书更换要求，明确2025 年 7 月 1 日后采购的产品，认证证书颁发单位必须为 “商用密码检测认证中心”，否则判定为不合规。 「实操解读」：同步最新政策要求，明确产品采购的时间节点和发证单位标准，统一全国判定尺度。 | | 2 | 客户端 + 服务端密码产品的合规判定 「核心修改」：删除原解答中 “版本迭代仅为 bug 修订需厂商提供变更说明” 的表述，简化核查流程，重点关注实际部署产品与送检产品的密码边界、功能一致性。 「实操解读」：减少测评中不必要的厂商材料要求，提升实操效率，聚焦 “部署是否合规” 的核心问题。 | | 3 | 密码产品功能边界的判定 「核心修改」：明确判定需遵循GM/T0020-2023《证书应用综合服务接口规范》，如签名验签服务器实现加解密功能，需核查是否符合该标准接口要求。 「实操解读」：适配最新行业标准，统一密码产品功能边界的判定依据，减少主观测评偏差。 |

| | | | — | — | | 4 | 密码产品密钥管理测评的判定 「核心修改」：补充 “若被测系统无密码应用方案或密钥管理机制与方案不一致，需分析其密钥体系设计是否合理、实现是否正确” 的判定要求，不可直接判定为 “符合”。 「实操解读」：完善密钥管理测评逻辑，避免仅以 “产品合规” 替代 “系统整体密钥管理合规”，强化系统层面的密钥安全要求。 |

02 密码应用技术类（新增4项+修改5项）

2.1 新增 4 项

| | | | — | — | | 1 | 服务端同时支持国密 / 国外算法的通道测评对象选择 「核心结论」：客户端未技术限制算法类型，按就低原则选取最不符合条款的算法测评；分用户群体使用不同算法（如 A 群体用国密、B 群体用国外），两类通道作为独立测评对象分别测评。 「实操解读」：回应混合算法环境的测评难题，明确判定规则，避免因算法选择模糊导致的合规漏洞。 | | 2 | 合规 SSLVPN 建立 TLS 连接的量化与风险判定 「核心结论」：合规 SSLVPN 安全网关建立 TLS 连接（使用国外算法），因 TLS 功能未通过国密产品认证，量化评估按 **D√A×K×** 判定，并严格按《高风险判定指引》开展风险评估。 「实操解读」：明确国密密码产品中 “国外算法功能” 的测评规则，杜绝 “产品合规即功能合规” 的错误判定。 | | 3 | SM3 加盐杂凑实现口令存储机密性的判定规则 「核心结论」：在保证盐值唯一（每个用户盐值不同）、口令强度达标、登录次数限制的前提下，SM3 加盐杂凑可一定程度满足口令本身机密性保护要求，推荐采用国家密码管理部门核准的密码模块实现 SM3 杂凑，且盐长度与算法迭代轮数需满足GM/T 0091-2020要求；该方法仅保护口令机密性，还需补充口令完整性保护与访问控制措施，防止口令被篡改、替换。 「实操解读」：明确 SM3 加盐杂凑的合规前提与标准依据，同时指出其仅能覆盖机密性保护，需配套完整性与访问控制措施，避免单一保护手段带来的安全风险。 |

| | | | — | — | | 4 | 服务端数据整体加密（无感加密）的存储机密性判定规则 「核心结论」：应用和数据安全层面判定重要数据存储机密性，以应用是否对数据资源本身（信源）加密为核心依据： （1）仅物理层 / 设备层整体加密（如磁盘加密、数据库透明加密）：仅能防范介质泄露风险，需结合系统安全需求综合判断；若搭配细粒度访问控制（如身份鉴别、数据隔离）且措施有效，可酌情判定 D 为 “√”，但需提示风险并建议强化权限控制。 （2）应用层对数据本身加密（如数据库表 / 文件加密）：满足存储机密性要求，D 可直接判定为 “√”，通常仅需对重要数据加密。 （3）同时需核查加解密产品合规性、部署配置正确性及密钥全生命周期管理有效性。 「实操解读」：明确 “信源加密为核心” 的判定原则，既认可物理 / 设备层加密在搭配访问控制时的部分有效性，又强调应用层数据加密才是满足国标要求的根本方式，同时要求关注产品与密钥管理安全，平衡了业务 “无感” 需求与密码应用合规底线。 |

2.2 修改 5 项

| | | | — | — | | 1 | 第三方电子认证服务通信信道的测评补充要求 「核心修改」：被测系统与第三方 CA 的通信信道，需考虑CA 自身安全机制和证书数据机密性保护需求；若应用系统使用 GM/T0148 《证书认证注册子系统证书服务接口规范》与CA系统进行通信，该信道必须纳入测评范围。 「实操解读」：完善第三方认证服务的全链路测评，补充接口标准要求，避免遗漏 CA 侧通信安全风险。 | | 2 | 双活机房之间通信链路的测评判定 「核心修改」：补充裸光纤的分类判定规则，将裸光纤分为短距离（同建筑 / 相邻楼宇）和跨区域长距离，明确短距离裸光纤若物理防护充足、无不可控交换设备，可不作为独立测评对象；跨区域长距离裸光纤需在密码应用方案中详细说明并经密评机构审定。 「实操解读」：区分不同部署场景的安全风险，既不增加无意义的测评负担，又不忽视跨区域链路的安全隐患。 | | 3 | 合规 SSL VPN 网关 + 未认证客户端的身份鉴别指标判定 「核心修改」： （1）单向身份鉴别（客户端→服务端）：客户端无认证、采用国密算法、签名验签与证书验证有效时，最高可判定为 D(√)、A(√)、K(√)。客户端仍存在随机数、算法自测试等风险，鼓励厂商提交客户端检测认证。 （2）双向身份鉴别：客户端需管理私钥，若客户端无认证或模块等级不符，密钥管理 K 判为 “不符合”，并按高风险指引判定。 「实操解读」：单向认证场景下放宽判定尺度，同时提示客户端风险；双向认证场景严格要求客户端合规，保障私钥管理安全，兼顾实操性与安全底线。 |

| | | | — | — | | 4 | 合规密码产品相关指标测评规则 「核心修改」： 完整性指标：二级及以上整机类密码产品，设备层 / 网络层完整性指标可直接判定为符合；一级产品量化评估 D、A、K 为「√√×」，并考虑等级修正 Rk。 身份鉴别指标：不可直接判定为符合，需核查是否采用密码技术；配套终端无独立认证或未在整机检测报告中，则密钥管理安全性判定为不符合。 仅具检测证书产品：经国家密码管理部门认可的检测证书产品，可判定为合规产品，但需核查实际使用范围与证书标注一致。 「实操解读」：简化高等级密码产品完整性判定流程，同时明确仅持检测证书的行业专用产品合规路径，强调使用范围核查，兼顾测评效率与安全底线。 |

| | | | — | — | | 5 | 第三方异地备份数据的测评范围与规则 「核心修改」：备份数据作为生产数据副本，密码应用需求与生产数据一致，必须纳入测评范围，需分别核查生产与备份数据的密码保护情况；采用第三方异地备份服务时，还需额外核查跨网络传输的安全性，测评时通常可将备份与生产数据合并为同一对象，若备份数据密码应用不满足要求则合并结果为 “部分符合”，若数据存在差异（如非实时更新）则拆分为两个独立对象分别测评。 「实操解读」：明确备份数据的测评必要性，强调第三方异地备份的传输安全核查，同时给出灵活的对象合并 / 拆分规则，既保障数据全生命周期安全，又兼顾报告编写的实操性。 |

03 密码应用管理类（新增2项+位置调整1项）

3.1 新增2项

| | | | — | — | | 1 | 试运行系统定期密评及攻防对抗演习指标判定 「核心结论」：试运行阶段开展密评的新建系统，该指标仅需核查管理制度中是否包含相关要求，有则判定为 “符合”；系统正式运行后，需核查实际执行记录。 「实操解读」：兼顾新建系统的建设进度，给予管理制度落地的缓冲期，既不降低标准，又贴合实操场景。 | | 2 | 未发生密码安全事件的应急处置指标判定 「核心结论」：即便未发生任何密码安全事件，该指标仍判定为适用，企业需具备完善的应急处置制度、对应的执行记录模板，缺一不可。 「实操解读」：推动企业从 “事后处置” 向 “事前预防” 转变，完善密码安全管理体系的闭环建设。 |

3.2 位置调整 1 项

| | | | — | — | | 1 | 将 “信息系统密码应用成熟度极低情况下的密码应用管理测评” 调整题目顺序，与其他管理类指标逻辑更衔接，无内容修改。 |

04 整体测评类（新增1项）

4.1 新增1项

| | | | — | — | | 1 | 测评对象间的弥补场景及分值修订 「核心结论」：仅网络和通信安全层面的通信数据机密性 / 完整性与应用和数据安全层面的重要数据传输机密性 / 完整性可相互弥补；弥补后分值按 **MAX (0.5×PA, PB)** 计算（PA 为弥补对象分值，PB 为被弥补对象原分值）；仅当重要数据未在其他未保护信道传输时，弥补才有效。 「实操解读」：新增量化评估的核心规则，明确弥补场景的范围、分值计算方法，完善密评量化评估体系，减少分值修订的主观随意性。 |

05 量化评估类（修改1项）

5.1 修改1项

| | | | — | — | | 1 | 密码使用有效性 D 项的判定 「核心修改」：补充安全强度≥112 比特的算法举例，新增 HMAC-SHA1；明确 “使用安全强度不足的算法，D 项可判定为符合，但量化分值按算法安全强度分级扣减”。 「实操解读」：细化算法安全强度的分级标准，补充实操中常见的算法举例，统一 D 项判定与量化分值的关联规则。 |

06 风险判定类（新增2项+修改2项）

6.1 新增 2 项

| | | | — | — | | 1 | 有缓解措施的高风险判定（特殊行业场景） 「核心结论」：工控、医疗等特殊行业场景若不支持直接改造，不可仅通过严格管理措施缓解高风险；面向互联网的系统不支持改造的，需客观评估相关风险。 「实操解读」：明确管理措施不能替代技术改造，兼顾特殊行业的实操限制，同时强化互联网系统的风险评估要求。 | | 2 | 非高风险指标使用高风险算法 / 技术 / 产品的风险判定 「核心结论」：若指标本身非高风险，即便使用了高风险算法、技术或产品，仍按指标原有风险等级判定，算法 / 技术 / 产品本身的风险不直接提升指标风险等级。 「实操解读」：区分 “指标固有风险” 与 “实现手段风险”，避免因实现手段不当导致的风险等级误判，精准定位风险核心。 |

6.2 修改 2 项

| | | | — | — | | 1 | 使用缓解措施后的风险等级、测评结论与分数判定 「核心修改」： （1）若被测系统使用了《高风险判定指引（2021 版）》中规定的缓解措施，且经评估确认措施有效，原则上可酌情降低风险等级；若缓解措施无法有效抵御威胁，则风险等级维持不变。 （2）风险等级因缓解措施发生改变时，测评结论可能随之改变，但测评分数保持不变。 「实操解读」：缓解措施仅影响风险等级与最终结论，不改变量化评分，既鼓励企业主动整改，又保障测评分数的客观性与一致性。 | | 2 | 应用层身份鉴别与网络层身份鉴别的关系判定 「核心修改」：明确应用层身份鉴别可缓解网络层身份鉴别的高风险，但不能弥补分值，反之亦然；风险缓解的前提是 “一层身份可表征另一层身份”（如设备身份可表征用户身份）。 「实操解读」：厘清两层身份鉴别在 “分值判定” 和 “风险评估” 中的不同规则，消除实操中 “能否弥补、能否缓解” 的核心争议。 |

07 特殊场景类（新增2项+修改1项）

7.1 新增 2 项

| | | | — | — | | 1 | 云平台 / 密码服务平台超期未复评的结论复用规则 「核心结论」：已取得符合性密评报告的云平台、密码服务平台，若超期未提供定期复评报告，其早期测评结论不可被云上租户信息系统复用，在对租户系统测评时，仍需对平台侧相关指标进行补充测评。 「实操解读」：强化云平台 / 密码服务平台的定期复评义务，避免租户系统复用过期、失效的平台合规结论，保障云上应用密码应用安全的连续性与有效性。 | | 2 | 特定行业密码应用标准与 GB/T 39786-2021 不一致时的测评规则 「核心结论」： （1）指标划分：测评指标分为基本指标（依据 GB/T 39786-2021 按系统等级确定）和特殊指标（国标未覆盖或要求更高的行业标准）。 （2）测评规则：特殊指标参照 GB/T 43206-2023 测评，给出 “符合 / 部分符合 / 不符合” 结论及 “高 / 中 / 低” 风险评价；特殊指标不参与量化评估，但风险结果影响整体结论。 （3）标准优先级：行业标准不得抵触国标，若行业要求低于 GB/T 39786-2021，必须按国标执行。 「实操解读」：确立 “国标为底、行业为补” 原则，既保障基础安全底线，又兼顾行业特殊性；特殊指标风险虽不计入得分，但会影响最终结论，避免 “降标建设” 风险。 |

7.2 修改 1 项

| | | | — | — | | 1 | 特殊网络系统的测评对象选取 「核心修改」：细化纯网络系统的测评规则，明确应用和数据安全层面需考虑网络管理相关应用及重要数据（如用户身份标识、签约策略数据）；仅用于转发用户数据的用户侧通道可不列为测评对象。 「实操解读」：精准定位纯网络系统的保护核心，避免测评范围过大或遗漏关键节点，贴合基础网络、骨干网络等纯网络系统的实操特点。 |

扫描二维码下载附件

附件

《商用密码应用安全性评估 FAQ（第四版）》

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：中尔安全实验室 WM WM《密评 FAQ 第四版全量更新解读：逐条拆解核心变化，落地实操不踩坑》