商用密码应用安全性评估量化评估规则-中国密码学会密评联委会-202112.pdfVIP

商用密码应用安全性评估量化评估规则

中国密码学会密评联委会

二〇二一年十二月

1

目录

1.范围1

2.规范性引用文件1

3.原则1

4.量化评估框架1

5.量化规则2

6.整体结论判定3

I

2

商用密码应用安全性评估量化评估规则

1.范围

本文件依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》和GM/T

0115-2021《信息系统密码应用测评要求》，对信息系统的密码应用情况给出定量评估结果。

本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。

2.规范性引用文件

1)GB/T39786-2021《信息安全技术信息系统密码应用基本要求》

2)GM/T0115-2021《信息系统密码应用测评要求》

3.原则

本文件按如下原则设计量化评估规则：

1)遵循法律法规和最新相关指导性文件的总体要求；

2)遵循GB/T39786-2021和GM/T0115-2021；

3)鼓励使用密码技术；特别鼓励使用合规的密码算法/技术/产品/服务；

4)优先在网络和通信安全层面、应用和数据安全层面推进密码技术应用。

4.量化评估框架

参考GM/T0115-2021，本规则从三个方面进行量化评估：

⚫密码使用有效性（CryptographyDeploymenteffectiveness）是指，密码技术是否被正确、

有效使用，以满足信息系统的安全需求，有效提供机密性、完整性、真实性和不可否认

性的保护；

⚫密码算法/技术合规性（CryptographyAlgorithm/Techniquecompliance）是指，信息系统

中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要

求，信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管

理部门核准。

⚫密钥管理安全（Keymanagementsecurity）是指，密钥管理的全生命周期是否安全，用

1

3

于密码计算或密钥管理的密码产品/密码服务是否安全。

5.量化规则

（1）各测评对象的测评结果量化评估规则

密码应用技术要求中，第i个安全层面的第j测评单元的第k测评对象Ti,j,k，其量化评

估结果Si,j,k∈{0,0.25,0.5,1}，其中0表示不符合，1表示符合，其它表示部分符合。Si,j,k的

取值分别见表1。通用要求和密码应用技术要求各安全层面的“密码服务”和“密码产品”

指标不单独评价。

密码应用管理要求不针对各个测评对象的测评结果进行量化评估。

（2）测评单元的测评结果量化评估规则

密码应用技术要求中，第i个安全层面的第j测评单元Ui,j的量化评估结果Si,j为该测评

单元内所有ni,j个测评对象测评结果的算术平均值（四舍五入，取小数点后4位），即：

∑1≤≤,,,

=

,

,

密码应用管理要求中，