商用密码应用安全性评估量化评估规则.docxVIP

商用密码应用安全性评估量化评估规则

（2023版）

2023年7月17日发布 2023年8月1日实施

中国密码学会密评联委会

I

I

目录

范围 1

规范性引用文件 1

原则 1

量化评估框架 1

量化评估规则 2

量化评估阈值 3

主要修订情况

版本

章节

主要修订内容

2020

/

首次制定

2021

第4章

将“密码使用安全”更名为“密码使用有效性”

将“密码算法/技术安全”更名为“密码算法/技术合规性”

第5章

增加“若某个安全层面的所有测评指标都不适用，则该安全层面不参与量化评估过程”的示例

完善量化评估表的说法，并增加脚注

更新安全层面和测评单元的权重值

2023

第1章

对适用范围的说法进行微调

第3章

对原则的说法进行微调

第4章

对框架的说法进行微调

第5章

更名为“量化评估规则”

修改各测评对象的测评结果量化评估规则和量化评估表，增加密码算法/技术合规性修正参数和密钥管理安全修正参数，并增补《商用密码应用安全性评估报告模板（2023版）》中针对分值弥补的说明

修改整体测评结果量化评估规则，使密码应用技术要求和密

码应用管理要求两部分分值保持固定

第6章

更名为“量化评估阈值”

增补《商用密码应用安全性评估报告模板（2023版）》中确定的阈值

PAGE

PAGE7

商用密码应用安全性评估量化评估规则

范围

本文件依据GB/T39786—2021《信息安全技术信息系统密码应用基本要求》和GM/T

0115—2021《信息系统密码应用测评要求》，对信息系统的密码应用情况给出定量评估结果。本文件适用于规范信息系统密码应用安全性评估，以及指导相关信息系统的规划、建设

等工作。

规范性引用文件

GB/T39786—2021《信息安全技术信息系统密码应用基本要求》

GM/T0115—2021《信息系统密码应用测评要求》

原则

本文件按如下原则设计量化评估规则：

遵循法律法规和最新相关指导性文件的总体要求；

2) 遵循GB/T39786—2021和GM/T0115—2021；

鼓励使用合规的密码算法/技术/产品/服务；

优先在网络和通信安全层面、应用和数据安全层面推进密码技术应用。

量化评估框架

参考GM/T0115—2021，本规则从三个方面进行量化评估：

密码使用有效性（CryptographyDeploymenteffectiveness）是指，密码技术是否被正确、有效使用，以满足信息系统的安全需求，有效提供机密性、完整性、真实性和不可否认性的保护；

密码算法/技术合规性（CryptographyAlgorithm/Techniquecompliance）是指，信息系统中使用的密码算法是否符合法律、行政法规、国家有关规定和密码相关国家标准、行业标准的有关要求，信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或通过国家密码管理部门审查鉴定。

密钥管理安全（Keymanagementsecurity）是指，密钥的全生命周期管理是否安全，用于密码计算或密钥管理的密码产品/密码服务是否安全。

量化评估规则

（1）各测评对象的测评结果量化评估规则

密码应用技术要求中，第i个安全层面的第j测评单元的第k测评对象Ti,j,k，其量化评估结果Si,j,k∈[0,1]，其中0表示不符合，1表示符合，其它表示部分符合。Si,j,k的取值见表

1（涉及计算时，四舍五入，取小数点后4位）。通用要求和密码应用技术要求各安全层面的

“密码服务”和“密码产品”指标不单独评价。

涉及以下情况时，需要对测评对象的分值进行修正：

若测评对象A弥补了测评对象B的不足，测评对象A的分值为PA，测评对象B的弥补前分值为PB，则测评对象B弥补后的分值为MAX(0.5×PA,PB)，即0.5×PA和

PB之间的较大值（四舍五入，取小数点后4位）。

密码应用管理要求不针对各个测评对象的测评结果进行量化评估。

（2）测评单元的测评结果量化评估规则

密码应用技术要求中，第i个安全层面的第j测评单元Ui,j的量化评估结果Si,j为该测评单元内所有ni,j个测评对象测评结果的算术平均值（四舍五入，取小数点后4位），即：

∑1≤??≤????,??????,??,??

????,??=

????,??

密码应用管理要求中，第i个安全层面的第j测评单元，根据GM/T0115—2021给出判定结果Si,j，符合为1分，不符合为0分