商 用 密 码 应 用 安 全 性 评 估量化评 估规则 中国密码学会密评联委会 二〇二〇年十二月 I 目 录 1. 范围..................................................................... 1 2. 规范性引用文件 ........................................................... 1 3. 原则..................................................................... 1 4. 量化评估框架 ............................................................. 1 5. 量化规则 ................................................................. 2 6. 整体结论判定 ............................................................. 3 1 商用密码应用安全性评估量化评估规则 1. 范围 本文件依据GB/T AAAAA《信息安全技术 信息系统密码应用基本要求》和GM/T BBBB《信息系统密码应用测评要求》,对信息系统的密码应用情况给出定量评估结果。 本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。 2. 规范性引用文件 1 ) GB/T AAAAA《信息安全技术 信息系统密码应用基本要求》 2 ) GM/T BBBB《信息系统密码应用测评要求》 3. 原则 本文件按如下原则设计量化评估规则: 1 ) 遵循法律法规和最新相关指导性文件的总体要求; 2 ) 遵循 GB/T AAAAA 和GM/T BBBB; 3 ) 鼓励使用密码技术; 4 ) 特别鼓励使用合规的密码算法/技术/产品/服务; 5 ) 优先在网络和通信安全层面、应用和数据安全层面进行密码技术应用。 4. 量化评估框架 参考 GM/T BBBB,本规则从三个方面进行量化评估: 密码使用安全(Cryptography Deployment security)是指,密码技术是否被正确、有效使用,以满足信息系统的安全需求,有效提供机密性、完整性、真实性和不可否认性的保护; 密钥管理安全(Key management security)是指,密钥管理的全生命周期是否安全,用于密码计算或密钥管理的密码产品/密码服务是否安全。 密码算法/技术安全(Cryptography Algorithm/Technique security)是指,信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,信2 息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。 5. 量化规则 (1)各测评对象的测评结果量化规则 密码应用技术要求中,第i 个安全层面的第...