2022商用密码应用安全性评估量化评估规则

商用密码应用安全性评估量化评估规则二〇二一年十二月II目录1.范围 12.规范引文件 13.原则 14.量化估架 15.量化则 26.整体论定 3PAGEPAGE1商用密码应用安全性评估量化评估规则范围本文件依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》和GM/T0115-2021《信息系统密码应用测评要求》，对信息系统的密码应用情况给出定量评估结果。本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。GB/T39786-2021GM/T0115-2021原则本文件按如下原则设计量化评估规则：2) 遵循GB/T39786-2021和GM/T0115-2021；技术//参考GM/T0115-2021，本规则从三个方面进行量化评估：（CryptographyDeploymenteffectiveness）/（CryptographyAlgorithm/Techniquecompliance）（Keymanagementsecurity）于密码计算或密钥管理的密码产品/密码服务是否安全。ijkTi,j,kSi,j,k∈{0,0.25,0.5,1}01Si,j,k的1指标密码应用管理要求不针对各个测评对象的测评结果进行量化评估。ijUi,jSi,jn,j4位∑1≤𝑘≤𝑛𝑖,𝑗𝑆𝑖,𝑗,𝑘𝑆𝑖,𝑗=

𝑛𝑖,𝑗ijGM/T0115-2021Si,j100.5分。本文件为每个测评单元分配了相应的权重𝑤𝑖,𝑗，如表2所示。第i个安全层面Li的量化SiniSi,j（4𝑆𝑖

=∑1≤𝑗≤𝑛𝑖𝑤𝑖,𝑗𝑆𝑖,𝑗∑1≤𝑗≤𝑛𝑖𝑤𝑖,𝑗若某测评指标不适用，则不参与量化评估过程，不适用的判定方式参见GM/T0102本文件为每个安全层面分配了相应的权重𝑤𝑖，如表2所示。量化评估结果S为所有nSi（2∑1≤𝑖≤𝑛𝑤𝑖∙𝑆𝑖𝑆=

∑

×1001≤𝑖≤𝑛𝑖若某个安全层面的所有测评指标都不适用，则该安全层面不参与量化评估过程。比如，如果信息系统中“物理和环境安全”层面所有测评指标都不适用，而其他各层面均有适用的测评指标，那么根据表2提供的安全层面权重，上述分值计算公式具体为：𝑆=

∑2≤𝑖≤8∙∑ 𝑤

×100=

∑2≤𝑖≤8𝑤𝑖∙𝑆𝑖×100902≤𝑖≤8𝑖整体量化评估结果S100GB/T39786-2021100基本GB/T39786-2021GB/T39786-2021相--PAGE6-表1量化评估表符合情况涉及情况示例分值Si,j,k密码使用有效性D密码算法/技术合规性A密钥管理安全K符合√√√全部符合相关的要求1部分符合√×√0.5√√×/√××题0.25不符合×//未使用密码技术，或由于未正确、有效使用密码技术导致无法满足信息系统的安全需求0注：在判定密码使用有效性、密码算法/技术合规性、密钥管理安全三个维度时，均进行独立判定，比如：在单独判定密码使用有效性维度时，不考虑由于密码算法/技术合规性和密钥管理安全导致的风险。表2测评指标权重表要求维度安全层面序号i安全层面测评单元序号j测评单元（wi）指标权重wi,j第一级第二级第三级第四级密码技术应用要求1物理和环境安全（1）身份鉴别100.40.711（2）电子门禁记录数据存储完整性0.40.40.70.7（3）视频记录数据存储完整性//0.70.72网络和通信安全（1）身份鉴别200.40.711（2）通信数据完整性0.40.40.71（3）通信过程中重要数据的机密性0.40.711（4）0.40.40.40.7（5）安全接入认证//0.40.73设备和计算安全（1）身份鉴别100.40.711（2）远程管理通道安全//11（3）系统资源访问控制信息完整性0.40.40.40.7（4）重要信息资源安全标记完整性//0.40.7（5）日志记录完整性0.40.40.40.7（6）实性//0.714应用和数据安全（1）身份鉴别300.40.711（2）访问控制信息完整性0.40.40.40.7（3）重要信息资源安全标记完整性//0.40.7（4）重要数据传输机密性0.40.711（5）重要数据存储机密性0.40.711（6）重要数据传输完整性0.40.70.71（7）重要数据存储完整性0.40.70.71（8）不可否认性//11安全管理5管理制度（1）具备密码应用安全管理制度81111（2）密钥管理规则0.70.70.70.7（3）建立操作规程/0.70.70.7（4）//0.70.7（5）//0.70.7（6）//0.70.76人员管理（1）80.70.70.70.7（2）建立密码应用岗位责任制度/111（3）/0.70.70.7（4）定期进行安//0.70.7全岗位人员考核（5）建立关键岗位人员保密制度和调离制度0.70.70.70.77建设运行（1）制定密码应用方案81111（2）1111（3