商用密码应用安全性评估量化评估规则.pdf

商用密码应用安全性评估量化评估规则 中国密码学会密评联委会 二〇二〇年十二月 目 录 1. 范围 1 2. 规范性引用文件 1 3. 原则 1 4. 量化评估框架 1 5. 量化规则 2 6. 整体结论判定 3 I 商用密码应用安全性评估量化评估规则 1. 范围 本文件依据GB/T AAAAA 《信息安全技术 信息系统密码应用基本要求》和GM/T BBBB 《信息系统密码应用测评要求》，对信息系统的密码应用情况给出定量评估结果。 本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。 2. 规范性引用文件 1) GB/T AAAAA 《信息安全技术 信息系统密码应用基本要求》 2) GM/T BBBB 《信息系统密码应用测评要求》 3. 原则 本文件按如下原则设计量化评估规则： 1) 遵循法律法规和最新相关指导性文件的总体要求； 2) 遵循GB/T AAAAA 和GM/T BBBB ； 3) 鼓励使用密码技术； 4) 特别鼓励使用合规的密码算法/技术/产品/服务； 5) 优先在网络和通信安全层面、应用和数据安全层面进行密码技术应用。 4. 量化评估框架 参考GM/T BBBB ，本规则从三个方面进行量化评估：  密码使用安全 （Cryptography Deployment security ）是指，密码技术是否被正确、有效使 用，以满足信息系统的安全需求，有效提供机密性、完整性、真实性和不可否认性的保 护；  密钥管理安全（Key management security ）是指，密钥管理的全生命周期是否安全，用 于密码计算或密钥管理的密码产品/密码服务是否安全。  密码算法/技术安全 （Cryptography Algorithm/Technique security ）是指，信息系统中使用 的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，信 1 息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部 门核准。 5. 量化规则 （1）各测评对象的测评结果量化规则 密码应用技术要求中，第i 个安全层面的第j 测评单元的第k 测评对象Ti,j,k ，其量化评 估结果Si,j,k ∈{0, 0.25, 0.5, 1}，其中0 表示不符合，1 表示符合，其它表示部分符合。Si,j,k 的 取值分别见表 1。通用要求和密码应用技术要求各安全层面的“密码服务”和“密码产品” 指标不单独评价。 密码应用管理要求不针对各个测评对象的测评结果进行量化评估。 （2 ）测评单元的测评结果量化规则 第i 个安全层面的第j 测评单元 Ui,j 的量化评估结果Si,j 为该测评单元内所有ni,j 个测评 对象测评结果的算术平均值（四舍五入，取小数点后4 位），即： ∑1≤≤, ,, = , , 密码应用管理要求中，第i 个安全层面的第j 测评单元，根据GM/T BBBB 给出判定结 果Si,j ，符合为1 分，不符合为0 分，部分符合为0.5 分。 （3 ）安全层面的测评结果量化规则 本文件为每个测评单元分配了相应的权重 ，如表 2 所示。第i 个安全层面L 的量化 ,