大數據時代，竊取隱私數據的手段越來越多。無論國際還是國內，都曾發生過很多起因數據泄露導致的重大安全事件。因此，數據安全至關重要。密碼技術是用來保護數據安全和網絡安全的有效手段，密碼技術應用是否廣泛、安全、規范一定程度上決定了網絡和數據是否安全。當前，國際的通用密碼算法SHA-1、MD5等已被證明是不安全的，我國學者研究的商用密碼算法SM2、SM3和SM4等逐漸成為國際標準。但商用密碼在國內的信息系統中應用并不廣泛，且存在應用不規范的問題，因此，出臺對商用密碼應用的評估標準是勢在必行的。

商用密碼應用安全性評估(簡稱"密評")是對網絡應用環境與信息系統進行合規性、正確性與有效性的綜合評估，以此來規定公司的商用密碼技術的使用，從而維護網絡空間和網絡系統的安全性。商用密碼應用安全性評估主要根據2018年密標委發布的GM/T0054-2018《信息系統密碼應用基本要求》和2021年國家市場監督管理總局、國家標準化管理委員會發布的GB/T 39786—2021《信息安全技術信息系統密碼應用基本要求》，兩個規范中明確了對信息系統中使用的密碼技術的具體規定。技術層面提出了對物理和環境的安全、網絡和通信安全、設備和計算安全、應用和數據安全等的要求,而管理層面則強調了對制度、人員、建設運行、應急處置等的要求，兩個層面的指標體系中均劃分了第一級至第四級的基本要求。

圖一 密評基本要求框架

密評規范的技術要求中，四個方面都包含了對商用密碼信息技術應用情況的具體量化評價準則，四個方面都要求信息系統必須具備商用密鑰服務和密碼產品能力。在網絡和通信安全、設備和計算安全、應用和數據安全層面，信息系統應當確保對通信數據的完整性和通信過程中對關鍵數據的高度機密，并且，通過信息系統的資源訪問控制信息和對關鍵信息的安全標記，也必須確保是高度安全的。在信息儲存和傳輸過程中，也必須確保關鍵數據的完整性、高度機密和不可否認性。密鑰管理系統作為密鑰全托管平臺，具有加密解密、簽名驗簽以及完整性校驗等功能，可以滿足在密評體系中的網絡和通信安全、設備和計算安全、應用和數據方面的密碼技術應用需求。

密鑰管理服務(Key Management Service，以下簡稱KMS)是一站式密鑰管理平臺，提供對稱及非對稱加密解密、數字簽名驗簽、完整性校驗以及密鑰的全生命周期管理等功能。KMS具有安全合規、集中托管、穩定可靠等優勢。KMS密鑰管理系統通過嚴密的安全性設計與評估，可以確保密鑰在天翼云受到了最嚴密的防護，同時利用硬件安全模塊使密鑰得到最高級別的專用硬件防護，符合監管合規要求。KMS提供密碼基礎設施的完全托管,用戶無需投入密碼基礎設施及運維資源就能夠輕松實現密鑰全生命周期管理，集中控制密鑰策略。此外，KMS采用分布式部署，構建多地域冗余的密碼計算能力，保證服務的可靠性，并且可以提供標準的API接口供用戶調用，確保服務的高可用性。

用戶部署密鑰管理服務后，支持創建對稱密鑰類型SM4以及非對稱密鑰類型SM2，可以對重要數據、系統信息等進行加密以保證數據的機密性。此外，KMS還提供SM3及HMACSM3摘要算法，可以實現對字符串以及文件的摘要，保證重要數據及信息在存儲、通信、傳輸過程中的完整性及不可否認性。按照商用密碼規范的行業標準，KMS中提供的商用密碼和密碼計算服務都能夠滿足信息系統的安全性要求，并且能夠有效進行不可否認性、完整性、機密性的保障。因此，密鑰管理服務是密碼測評的必備神器。