2024商用密码应用安全性评估量化评估规则.docx

商用密码应用安全性评估量化评估规则

二〇二一年十二月

I

I

目录

范围 1

规范性引用文件 1

原则 1

量化评估框架 1

量化规则 2

整体结论判定 3

PAGE

PAGE1

商用密码应用安全性评估量化评估规则

范围

本文件依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》和GM/T0115-2021《信息系统密码应用测评要求》，对信息系统的密码应用情况给出定量评估结果。

本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。

规范性引用文件

GB/T39786-2021《信息安全技术信息系统密码应用基本要求》

GM/T0115-2021《信息系统密码应用测评要求》

原则

本文件按如下原则设计量化评估规则：

遵循法律法规和最新相关指导性文件的总体要求；

2) 遵循GB/T39786-2021和GM/T0115-2021；

鼓励使用密码技术；特别鼓励使用合规的密码算法/技术/产品/服务；

优先在网络和通信安全层面、应用和数据安全层面推进密码技术应用。

量化评估框架

参考GM/T0115-2021，本规则从三个方面进行量化评估：

密码使用有效性（CryptographyDeploymenteffectiveness）是指，密码技术是否被正确、有效使用，以满足信息系统的安全需求，有效提供机密性、完整性、真实性和不可否认性的保护；

密码算法/技术合规性（CryptographyAlgorithm/Techniquecompliance）是指，信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。

密钥管理安全（Keymanagementsecurity）是指，密钥管理的全生命周期是否安全，用

于密码计算或密钥管理的密码产品/密码服务是否安全。

量化规则

各测评对象的测评结果量化评估规则

密码应用技术要求中，第i个安全层面的第j测评单元的第k测评对象Ti,j,k，其量化评估结果Si,j,k∈{0,0.25,0.5,1}，其中0表示不符合，1表示符合，其它表示部分符合。Si,j,k的取值分别见表1。通用要求和密码应用技术要求各安全层面的“密码服务”和“密码产品”指标不单独评价。

密码应用管理要求不针对各个测评对象的测评结果进行量化评估。

测评单元的测评结果量化评估规则

密码应用技术要求中，第i个安全层面的第j测评单元Ui,j的量化评估结果Si,j为该测评单元内所有ni,j个测评对象测评结果的算术平均值（四舍五入，取小数点后4位），即：

∑1≤??≤????,??????,??,??

????,??=

????,??

密码应用管理要求中，第i个安全层面的第j测评单元，根据GM/T0115-2021给出判定结果Si,j，符合为1分，不符合为0分，部分符合为0.5分。

安全层面的测评结果量化评估规则

本文件为每个测评单元分配了相应的权重????,??，如表2所示。第i个安全层面Li的量化

评估结果Si为该安全层面内所有ni个适用测评单元测评结果Si,j的加权平均值（四舍五入，取小数点后4位），即：

????

=∑1≤??≤????????,??????,??

∑1≤??≤????????,??

若某测评指标不适用，则不参与量化评估过程，不适用的判定方式参见GM/T

0115-2021）。

整体测评结果量化评估规则

本文件为每个安全层面分配了相应的权重????，如表2所示。量化评估结果S为所有n

个安全层面测评结果Si的加权平均值（四舍五入，取小数点后2位），即：

∑1≤??≤???????????

??=

∑ ??

×100

1≤??≤????

若某个安全层面的所有测评指标都不适用，则该安全层面不参与量化评估过程。比如，如果信息系统中“物理和环境安全”层面所有测评指标都不适用，而其他各层面均有适用的

测评指标，那么根据表2提供的安全层面权重，上述分值计算公式具体为：

??=

∑2≤??≤8?????????

∑ ??

×100=

∑2≤??≤8?????????

×100

90

2≤??≤8??

整体结论判定

整体量化评估结果S为100分，则判定被测信息系统符合GB/T39786-2021相应等级要求；S低于100分、不低于阈值，且经风险评估发现没有高