《中国密码学会：商用密码应用安全性评估量化评估规则（2023版）（11页）.pdf》由会员分享，可在线阅读，更多相关《中国密码学会：商用密码应用安全性评估量化评估规则（2023版）（11页）.pdf（11页珍藏版）》请在三个皮匠报告上搜索。

1、 商用密码应用安全性评估量化评估规则商用密码应用安全性评估量化评估规则 （2023 版）2023 年 7 月 17 日发布 2023 年 8 月 1 日实施 中国密码学会密评联委会 I 目 录 1.范围.1 2.规范性引用文件.1 3.原则.1 4.量化评估框架.1 5.量化评估规则.2 6.量化评估阈值.3 主要修订情况 版本版本 章节章节 主要修订内容主要修订内容 2020/首次制定 2021 第4章 将“密码使用安全”更名为“密码使用有效性”将“密码算法/技术安全”更名为“密码算法/技术合规性”第5章 增加“若某个安全层面的所有测评指标都不适用，则该安全层面不参与量化评估过程”的示例 完

2、善量化评估表的说法，并增加脚注 更新安全层面和测评单元的权重值 2023 第1章 对适用范围的说法进行微调 第3章 对原则的说法进行微调 第4章 对框架的说法进行微调 第5章 更名为“量化评估规则”修改各测评对象的测评结果量化评估规则和量化评估表，增加密码算法/技术合规性修正参数和密钥管理安全修正参数，并增补 商用密码应用安全性评估报告模板（2023版）中针对分值弥补的说明 修改整体测评结果量化评估规则，使密码应用技术要求和密码应用管理要求两部分分值保持固定 第6章 更名为“量化评估阈值”增补 商用密码应用安全性评估报告模板（2023版）中确定的阈值 1 商用密码应用安全性评估量化评估规则 1

3、.范围 本文件依据 GB/T 397862021信息安全技术信息系统密码应用基本要求和 GM/T 01152021 信息系统密码应用测评要求，对信息系统的密码应用情况给出定量评估结果。本文件适用于规范信息系统密码应用安全性评估，以及指导相关信息系统的规划、建设等工作。2.规范性引用文件 1)GB/T 397862021信息安全技术 信息系统密码应用基本要求 2)GM/T 01152021信息系统密码应用测评要求 3.原则 本文件按如下原则设计量化评估规则：1)遵循法律法规和最新相关指导性文件的总体要求；2)遵循 GB/T 397862021 和 GM/T 01152021；3)鼓励使用合规的密

4、码算法/技术/产品/服务；4)优先在网络和通信安全层面、应用和数据安全层面推进密码技术应用。4.量化评估框架 参考 GM/T 01152021，本规则从三个方面进行量化评估：密码使用有效性（Cryptography Deployment effectiveness）是指，密码技术是否被正确、有效使用，以满足信息系统的安全需求，有效提供机密性、完整性、真实性和不可否认性的保护；密码算法/技术合规性（Cryptography Algorithm/Technique compliance）是指，信息系统中使用的密码算法是否符合法律、行政法规、国家有关规定和密码相关国家标准、行业标准的有关要求，信息系

5、统中使用的密码技术是否遵循密码相关国家标准和行业标准或通过国家密码管理部门审查鉴定。2 密钥管理安全（Key management security）是指，密钥的全生命周期管理是否安全，用于密码计算或密钥管理的密码产品/密码服务是否安全。5.量化评估规则（1）各测评对象的测评结果量化评估规则 密码应用技术要求中，第 i 个安全层面的第 j 测评单元的第 k 测评对象 Ti,j,k，其量化评估结果 Si,j,k0,1，其中 0 表示不符合，1 表示符合，其它表示部分符合。Si,j,k的取值见表1（涉及计算时，四舍五入，取小数点后 4 位）。通用要求和密码应用技术要求各安全层面的通用要求和密码应用

6、技术要求各安全层面的“密码服务”和“密码产品”指标“密码服务”和“密码产品”指标不单独评价。涉及以下情况时，需要对测评对象的分值进行修正：若测评对象 A 弥补了测评对象 B 的不足，测评对象 A 的分值为 PA，测评对象 B 的弥补前分值为 PB，则测评对象 B 弥补后的分值为 MAX(0.5PA,PB)，即 0.5PA和PB之间的较大值（四舍五入，取小数点后 4 位）。密码应用管理要求不针对各个测评对象的测评结果进行量化评估。（2）测评单元的测评结果量化评估规则 密码应用技术要求中，第 i 个安全层面的第 j 测评单元 Ui,j的量化评估结果 Si,j为该测评单元内所有 ni,j个测评对象测