01-商用密码应用安全性评估 FAQ （第三版）.pdf

商用密码应用安全性评估

FAQ

（第三版）

中国密码学会密评联委会

首次发布日期：2021年12月

最近更新日期：2023年10月

目录

前言I

第三版修订情况说明II

一、通用类1

1.信息系统密码应用基本要求的等级1

2.应、宜、可测评指标把握2

3.具有认证证书的商用密码产品对应的模块等级3

4.经认证合格的密码产品的产品合规性、密钥安全符合性的判定要点3

5.通过代码实现数据机密性、完整性保护的判定方法5

6.组合密码算法的量化评估和风险判定6

7.如何开展分期规划、改造的信息系统的密码应用安全性评估7

8.已有通过评估的密码应用方案，在实际密评时的注意事项7

二、密码应用技术类8

（一）物理和环境安全8

9.物理和环境安全层面的测评对象识别和确定8

10.电子门禁记录数据存储完整性测评时的注意事项10

（二）网络和通信安全10

11.网络和通信安全层面的测评对象识别与确定10

12.网络和通信安全层面的身份鉴别14

13.网络层安全接入认证和身份鉴别指标的差别14

（三）设备和计算安全15

14.设备和计算安全层面的测评对象识别与确定15

15.设备和计算安全层面测评对象选取粒度15

16.设备和计算安全层面的身份鉴别16

17.远程管理通道安全的测评要点18

18.合规密码产品的设备层身份鉴别、完整性相关指标的判定19

（四）应用和数据安全20

19.应用和数据安全层面的测评对象识别与确定20

20.应用和数据安全层面的身份鉴别21

21.重要数据机密性、完整性保护的实现方法问题22

22.如何编写涉及应用和数据安全层面的测评内容报告23

（五）综合29

23.访问控制信息的具体含义29

24.跨网络调用密码资源实现相应密码功能的测评要点30

三、密码应用管理类31

25.缺少密码应用方案的合规性判定31

26.投入运行前未进行密码应用安全性评估的合规性判定31

27.如何开展信息系统密码应用成熟度极低情况下的密码应用管理测评32

四、量化评估类33

28.《量化评估规则（2023版）》中，密码使用有效性D项的判定33

五、风险判定类34

29.有缓解措施的高风险判定34

30.报告中对于高风险缓解措施的体现34

31.应用层身份鉴别是否可以缓解网络层身份鉴别的高风险35

32.如何理解高风险判定指引中的“适用时”36

六、特殊场景类36

33.云平台测评的责任和范围36

34.云平台和云上应用的测评方式和测评结论复用方式37

35.面向公众等网站的测评42

36.特殊网络系统的测评对象选取43

附录44

第三版对应第二版题目索引44

前言

本文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解

答，以帮助密码应用以及商用密码应用安全性评估人员更好的开展商用密码应用安全性评估

工作。

本文件内容仅供参考，最终应以相关政策法规和标准规范为准。

编辑组：

第一版：张立花、肖秋林、郑昉昱、贾世杰、黎水林、王勇、范佳奇、刘健、刘军荣、

冀利刚、杨宏志、李晨旸；

第二版：李智虎、王洋、朱凌、李海滨、高岩、李海涛、高锐、唐启楠、张腾标、李

艳俊、陈爽、刘烨、佟鑫、管彩霞；

第三版：陈天宇、刘军荣、翟峰、秦琦、吕娜、郑峥、王正临、苏欧煜、张晓溪、朱

凌、江寰、亢康、杨龙、佟鑫、李昊宸、陈爽、姚莹、王海涛、史汝辉、宋松、刘烨、卢秋

如、邓福彪、薛涛。

本版本由阎亚龙、马原、秦小龙、汪宗斌、罗鹏、刘尚焱等专家负责审核。

本文件内容不定期迭代更新发布，本版本已全部包含之前版本的内容。

有关问题和建议，可发送邮箱至mplwh@。