中国密码学会：商用密码应用安全性评估量化评估规则（2023版）.pdf

商用密码应用安全性评估量化评估规则 中国密码学会密评联委会 二〇二一年十二月 目 录 1. 范围 1 2. 规范性引用文件 1 3. 原则 1 4. 量化评估框架 1 5. 量化规则 2 6. 整体结论判定 3 I 商用密码应用安全性评估量化评估规则 1. 范围 本文件依据 GB/T 39786-2021 《信息安全技术信息系统密码应用基本要求》和 GM/T 0115-2021 《信息系统密码应用测评要求》，对信息系统的密码应用情况给出定量评估结果。 本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。 2. 规范性引用文件 1) GB/T 39786-2021 《信息安全技术信息系统密码应用基本要求》 2) GM/T 0115-2021 《信息系统密码应用测评要求》 3. 原则 本文件按如下原则设计量化评估规则： 1) 遵循法律法规和最新相关指导性文件的总体要求； 2) 遵循GB/T 39786-2021 和GM/T 0115-2021 ； 3) 鼓励使用密码技术；特别鼓励使用合规的密码算法/技术/产品/服务； 4) 优先在网络和通信安全层面、应用和数据安全层面推进密码技术应用。 4. 量化评估框架 参考GM/T 0115-2021 ，本规则从三个方面进行量化评估： ⚫ 密码使用有效性 （Cryptography Deployment effectiveness ）是指，密码技术是否被正确、 有效使用，以满足信息系统的安全需求，有效提供机密性、完整性、真实性和不可否认 性的保护； ⚫ 密码算法/技术合规性 （Cryptography A lgorithm/Technique compliance ）是指，信息系统 中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要 求，信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管 理部门核准。 ⚫ 密钥管理安全（Key management security ）是指，密钥管理的全生命周期是否安全，用 1 于密码计算或密钥管理的密码产品/密码服务是否安全。 5. 量化规则 （1）各测评对象的测评结果量化评估规则 密码应用技术要求中，第i 个安全层面的第j 测评单元的第k 测评对象Ti,j,k ，其量化评 估结果Si,j,k ∈{0, 0.25, 0.5,1}，其中0 表示不符合，1 表示符合，其它表示部分符合。Si,j,k 的 取值分别见表 1。通用要求和密码应用技术要求各安全层面的“密码服务”和“密码产品” 指标不单独评价。 密码应用管理要求不针对各个测评对象的测评结果进行量化评估。 （2 ）测评单元的测评结果量化评估规则 密码应用技术要求中，第i 个安全层面的第j 测评单元Ui,j 的量化评估结果Si,j 为该测评 单元内所有ni,j 个测评对象测评结果的算术平均值（四舍五入，取小数点后4 位），即： ∑1≤≤, ,, = , , 密码应用管理要求中，第i 个安全层面的第j 测评单元，根据GM/T 0115-2021 给出判 定结果Si,j ，符合为1 分，不符合为0 分，部分符合为0.5 分。 （3 ）安全层面的测评结果量化评估规则 本文件为每个测评单元分配了相应的权重 ，如表2 所示。第i 个安全层面L 的量化