商用密码应用安全性评估量化评估规则（2021版）

您所在的位置：网站首页 › 商用密码应用安全性评估是什么工作 › 商用密码应用安全性评估量化评估规则（2021版）

商用密码应用安全性评估量化评估规则（2021版）

2024-07-10 08:19| 来源: 网络整理| 查看: 265

量化评估框架

参考 GM/T BBBB《信息系统密码应用测评要求》，本规则从三个方面进行量化评估：

密码使用安全（Cryptography Deployment security）是指，密码技术是否被正确、有效使用，以满足信息系统的安全需求，有效提供机密性、完整性、真实性和不可否认性的保护；

密钥管理安全（Key management security）是指，密钥管理的全生命周期是否安全，用于密码计算或密钥管理的密码产品/密码服务是否安全。

密码算法/技术安全（Cryptography Algorithm/Technique security）是指，信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。

量化规则

（1）各测评对象的测评结果量化规则

密码应用技术要求中，第 $i$ 个安全层面的第 $j$ 测评单元的第 $k$ 测评对象 $T_{i,j,k}$ ，其量化评估结果 $S_{i,j,k}\epsilon \left \{ 0,0.25,0.5,1 \right \}$ ，其中 0 表示不符合，1 表示符合，其它表示部分符合。 $S_{i,j,k}$ 的取值分别见表1。通用要求和密码应用技术要求各安全层面的“密码服务”和“密码产品”指标不单独评价。

密码应用管理要求不针对各个测评对象的测评结果进行量化评估。

（2）测评单元的测评结果量化规则

第 $i$ 个安全层面的第 $j$ 测评单元 $U_{i,j}$ 的量化评估结果 $S_{i,j}$ 为该测评单元内所有 $n_{i,j}$ 个测评对象测评结果的算术平均值（四舍五入，取小数点后 4 位），即：

$S_{i,j}=\frac{\sum _{1\leqslant k\leqslant n_{i,j}} S_{i,j,k}}{n_{i,j}}$

密码应用管理要求中，第 $i$ 个安全层面的第 $j$ 测评，根据 GM/T BBBB 给出判定结果 $S_{i,j}$ ，符合为 1 分，不符合为 0 分，部分符合为 0.5 分。

（3）安全层面的测评结果量化规则

本文件为每个测评单元分配了相应的权重 $w_{i,j}$ ，如表 2 所示。第 $i$ 个安全层面 $L_{i}$ 的量化评估结果 $S_{i}$ 为该安全层面内所有 $n_{i}$ 个适用测评单元测评结果 $S_{i,j}$ 的加权平均值（四舍五入，取小数点后 4 位），即：

$S_{i}=\frac{\sum _{1\leqslant j\leqslant n_{i}} w_{i,j} S_{i,j}}{\sum_{1 \leqslant j\leqslant n_{i}} w_{i,j}}$

若某测评指标不适用，则不参与量化评估过程，不适用的判定方式参见 GM/T BBBB。

（4）整体测评结果量化规则

本文件为每个安全层面分配了相应的权重 $w_{i}$ ，如表 2 所示。量化评估结果 $S$ 为所有 $n$ 个安全层面测评结果 $S_{i}$ 的加权平均值（四舍五入，取小数点后 2 位），即：

$S=\frac{\sum _{1\leqslant i\leqslant n} w_{i} \cdot S_{i}}{\sum_{1 \leqslant i\leqslant n} w_{i}}\times 100$

若某个安全层面的所有测评指标都不适用，则该安全层面不参与量化评估过程。

表 1 量化评估表符合情况涉及情况示例分值 $S_{i,j,k}$ 密码使用安全D密码算法/技术合规性A密钥管理安全K符合√√√

全部符合相关的要求

1部分符合√×√

使用认证合格的密码产品，但使用的密码算法/技术不合规

0.5√√×

使用未经认证或不满足安全等级要求的密码产品，但使用的密码算法/技术合规

√××

使用未经认证或不满足安全等级要求

的密码产品，且使用的密码算法/技术不合规

0.25不符合×//

使用的密码技术无法满足信息系统的安全需求，或未使用密码技术等

0 表 2 测评指标权重表序号测评单元

安全层

面权重 $w_{i}$

指标权重 $w_{i,j}$ 第一级第二级第三级第四级1

密

码

技

术

应

用

要

求

物理

和

环境

安全

身份鉴别100.40.7112电子门禁记录数据存储完整0.40.40.70.73视频记录数据存储完整性//0.70.74

网络

和

通信

安全

身份鉴别20

0.4

0.7115通信数据完整性0.40.40.716通信过程中重要数据的机密性0.40.7117网络边界访问控制信息的完整性0.40.40.40.78安全接入认证//0.40.79

设备

和

计算

安全

身份鉴别100.40.71110远程管理通道安全//1111系统资源访问控制信息完整性0.40.40.40.712重要信息资源安全标记完整性//0.40.713日志记录完整性0.40.40.40.714重要可执行程序完整性、重要可执行程序来源真实性//0.7115

应用

和

数据

安全

身份鉴别300.40.71116访问控制信息完整性0.40.40.40.717重要信息资源安全标记完整性//0.40.718重要数据传输机密性0.40.71119重要数据存储机密性0.40.71120重要数据传输完整性0.40.70.7121重要数据存储完整性0.40.70.7122不可否认性//1123

安

全

管

理

管理

制度

具备密码应用安全管理制度8111124密钥管理规则0.70.70.70.725建立操作规程/0.70.70.726定期修订安全管理制度//0.70.727明确管理制度发布流程//0.70.728制度执行过程记录留存//0.70.729

人员

管理

了解并遵守密码相关法律法规和密码管理制度80.70.70.70.730建立密码应用岗位责任制度/11131建立上岗人员培训制度/0.70.70.732定期进行安全岗位人员考核//0.70.733建立关键岗位人员保密制度和调离制度0.70.70.70.734

建设

运行

制定密码应用方案8111135制定密钥安全管理策略111136制定实施方案0.70.70.70.737投入运行前进行密码应用安全性评估111138定期开展密码应用安全性评估及攻防对抗演习//0.70.739

应急

处置

应急策略6111140事件处置//0.70.741向有关主管部门上报处置情况//0.70.7

【本文地址】

商用密码应用安全性评估量化评估规则（2021版）

商用密码应用安全性评估量化评估规则（2021版）

今日新闻

推荐新闻