跳转到内容
ConvexFS 商密知识库

商用密码应用安全性评估量化评估规则

1. 范围

Section titled “1. 范围”

本文件依据 GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》和 GM/T 0115-2021《信息系统密码应用测评要求》,对信息系统的密码应用情况给出定量评估结果。

本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。

2. 规范性引用文件

Section titled “2. 规范性引用文件”

  1. GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》

  2. GM/T 0115-2021《信息系统密码应用测评要求》

3. 原则

Section titled “3. 原则”

本文件按如下原则设计量化评估规则:

  1. 遵循法律法规和最新相关指导性文件的总体要求;

  2. 遵循 GB/T 39786-2021 和 GM/T 0115-2021;

  3. 鼓励使用密码技术;特别鼓励使用合规的密码算法/技术/产品/服务;

  4. 优先在网络和通信安全层面、应用和数据安全层面推进密码技术应用。

4. 量化评估框架

Section titled “4. 量化评估框架”

参考 GM/T 0115-2021,本规则从三个方面进行量化评估:

密码使用有效性(Cryptography Deployment effectiveness)是指,密码技术是否被正确、有效使用,以满足信息系统的安全需求,有效提供机密性、完整性、真实性和不可否认性的保护;

密码算法/技术合规性(Cryptography Algorithm/Technique compliance)是指,信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。

密钥管理安全(Key management security)是指,密钥管理的全生命周期是否安全,用于密码计算或密钥管理的密码产品/密码服务是否安全。

5. 量化规则

Section titled “5. 量化规则”

(1)各测评对象的测评结果量化评估规则

Section titled “(1)各测评对象的测评结果量化评估规则”

密码应用技术要求中,第 ii 个安全层面的第 jj 测评单元的第 kk 测评对象 Ti,j,kT_{i,j,k},其量化评估结果 Si,j,k{0,0.25,0.5,1}S_{i,j,k} \in \{0, 0.25, 0.5, 1\},其中 0 表示不符合,1 表示符合,其它表示部分符合。Si,j,kS_{i,j,k} 的取值分别见表 1。通用要求和密码应用技术要求各安全层面的“密码服务”和“密码产品”指标不单独评价。

密码应用管理要求不针对各个测评对象的测评结果进行量化评估。

(2)测评单元的测评结果量化评估规则

Section titled “(2)测评单元的测评结果量化评估规则”

密码应用技术要求中,第 ii 个安全层面的第 jj 测评单元 Ui,jU_{i,j} 的量化评估结果 Si,jS_{i,j} 为该测评单元内所有 ni,jn_{i,j} 个测评对象测评结果的算术平均值(四舍五入,取小数点后 4 位),即:

Si,j=1kni,jSi,j,kni,jS_{i,j} = \frac{\sum_{1 \leq k \leq n_{i,j}} S_{i,j,k}}{n_{i,j}}

密码应用管理要求中,第 ii 个安全层面的第 jj 测评单元,根据 GM/T 0115-2021 给出判定结果 Si,jS_{i,j},符合为 1 分,不符合为 0 分,部分符合为 0.5 分。

(3)安全层面的测评结果量化评估规则

Section titled “(3)安全层面的测评结果量化评估规则”

本文件为每个测评单元分配了相应的权重 wi,jw_{i,j},如表 2 所示。第 ii 个安全层面 LiL_i 的量化评估结果 SiS_i 为该安全层面内所有 nin_i 个适用测评单元测评结果 Si,jS_{i,j} 的加权平均值(四舍五入,取小数点后 4 位),即:

Si=1jniwi,jSi,j1jniwi,jS_i = \frac{\sum_{1 \leq j \leq n_i} w_{i,j} S_{i,j}}{\sum_{1 \leq j \leq n_i} w_{i,j}}

若某测评指标不适用,则不参与量化评估过程,不适用的判定方式参见 GM/T 0115-2021。

(4)整体测评结果量化评估规则

Section titled “(4)整体测评结果量化评估规则”

本文件为每个安全层面分配了相应的权重 wiw_i,如表 2 所示。量化评估结果 SS 为所有 nn 个安全层面测评结果 SiS_i 的加权平均值(四舍五入,取小数点后 2 位),即:

S=1inwiSi1inwi×100S = \frac{\sum_{1 \leq i \leq n} w_i \cdot S_i}{\sum_{1 \leq i \leq n} w_i} \times 100

若某个安全层面的所有测评指标都不适用,则该安全层面不参与量化评估过程。比如,如果信息系统中“物理和环境安全”层面所有测评指标都不适用,而其他各层面均有适用的测评指标,那么根据表2提供的安全层面权重,上述分值计算公式具体为:

S=2i8wiSi2i8wi×100=2i8wiSi90×100S = \frac{\sum_{2 \leq i \leq 8} w_i \cdot S_i}{\sum_{2 \leq i \leq 8} w_i} \times 100 = \frac{\sum_{2 \leq i \leq 8} w_i \cdot S_i}{90} \times 100

6. 整体结论判定

Section titled “6. 整体结论判定”

整体量化评估结果 S 为 100 分,则判定被测信息系统符合 GB/T 39786-2021 相应等级要求; SS 低于 100 分、不低于阈值,且经风险评估发现没有高风险,则判定被测信息系统基本符合 GB/T 39786-2021 相应等级要求;否则,判定被测信息系统不符合 GB/T 39786-2021 相应等级要求。

表 1 量化评估表

符合情况涉及情况示例分值 Si,j,kS_{i,j,k}
密码使用有效性 D密码算法/技术合规性 A密钥管理安全 K
符合全部符合相关的要求1
部分符合×密码使用有效,具备安全的密钥管理机制,但使用的密码算法/技术不符合法律法规的规定和密码相关国家标准、行业标准的有关规定0.5
×密码使用有效,使用的密码算法/技术符合法律法规的规定和密码相关国家标准、行业标准的有关规定,但是相关的密钥管理机制存在问题
××密码使用有效,但使用的密码算法/技术不符合法律法规的规定和密码相关国家标准、行业标准的有关规定,相关的密钥管理机制也存在问题0.25
不符合×//未使用密码技术,或由于未正确、有效使用密码技术导致无法满足信息系统的安全需求0
注:在判定密码使用有效性、密码算法/技术合规性、密钥管理安全三个维度时,均进行独立判定,比如:在单独判定密码使用有效性维度时,不考虑由于密码算法/技术合规性和密钥管理安全导致的风险。

表 2 测评指标权重表

要求维度安全层面序号i安全层面测评单元序号j测评单元安全层面权重(wi)指标权重wi,j
第一级第二级第三级第四级
密码技术应用要求1物理和环境安全(1)身份鉴别100.40.711
(2)电子门禁记录数据存储完整性0.40.40.70.7
(3)视频记录数据存储完整性//0.70.7
2网络和通信安全(1)身份鉴别200.40.711
(2)通信数据完整性0.40.40.71
(3)通信过程中重要数据的机密性0.40.711
(4)网络边界访问控制信息的完整性0.40.40.40.7
(5)安全接入认证//0.40.7
3设备和计算安全(1)身份鉴别100.40.711
(2)远程管理通道安全//11
(3)系统资源访问控制信息完整性0.40.40.40.7
(4)重要信息资源安全标记完整性//0.40.7
(5)日志记录完整性0.40.40.40.7
(6)重要可执行程序完整性、重要可执行程序来源真实性//0.71
4应用和数据安全(1)身份鉴别300.40.711
(2)访问控制信息完整性0.40.40.40.7
(3)重要信息资源安全标记完整性//0.40.7
(4)重要数据传输机密性0.40.711
(5)重要数据存储机密性0.40.711
(6)重要数据传输完整性0.40.70.71
(7)重要数据存储完整性0.40.70.71
(8)不可否认性//11
安全管理5管理制度(1)具备密码应用安全管理制度81111
(2)密钥管理规则0.70.70.70.7
(3)建立操作规程/0.70.70.7
(4)定期修订安全管理制度//0.70.7
(5)明确管理制度发布流程//0.70.7
(6)制度执行过程记录留存//0.70.7
6人员管理(1)了解并遵守密码相关法律法规和密码管理制度80.70.70.70.7
(2)建立密码应用岗位责任制度/111
(3)建立上岗人员培训制度/0.70.70.7
(4)定期进行安全岗位人员考核//0.70.7
(5)建立关键岗位人员保密制度和调离制度0.70.70.70.7
7建设运行(1)制定密码应用方案81111
(2)制定密钥安全管理策略1111
(3)制定实施方案0.70.70.70.7
(4)投入运行前进行密码应用安全性评估1111
(5)定期开展密码应用安全性评估及攻防对抗演习//0.70.7
8应急处置(1)应急策略61111
(2)事件处置//0.70.7
(3)向有关主管部门上报处置情况//0.70.7