商用密码应用安全性评估量化评估规则(2021版)

本文档详细阐述了基于GM/TBBBB标准的密码应用量化评估框架,涵盖密码使用安全、密钥管理安全和密码算法/技术安全三个方面,并制定了具体的量化规则。评估涉及密码技术的合规性、密钥全生命周期管理和算法标准符合性。通过加权平均值计算各测评单元、安全层面及整体的测评结果,确保信息系统的密码安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

量化评估框架

参考 GM/T BBBB《信息系统密码应用测评要求》,本规则从三个方面进行量化评估:

密码使用安全(Cryptography Deployment security)是指,密码技术是否被正确、有效使用,以满足信息系统的安全需求,有效提供机密性、完整性、真实性和不可否认性的保护;

密钥管理安全Key management security)是指,密钥管理的全生命周期是否安全,用于密码计算或密钥管理的密码产品/密码服务是否安全。

密码算法/技术安全(Cryptography Algorithm/Technique security)是指,信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。

量化规则

(1)各测评对象的测评结果量化规则

        密码应用技术要求中,第 i 个安全层面的第 j 测评单元的第 k 测评对象T_{i,j,k},其量化评估结果S_{i,j,k}\epsilon \left \{ 0,0.25,0.5,1 \right \},其中 0 表示不符合,1 表示符合,其它表示部分符合。S_{i,j,k}的取值分别见表1。通用要求和密码应用技术要求各安全层面的“密码服务”和“密码产品”指标不单独评价。

         密码应用管理要求不针对各个测评对象的测评结果进行量化评估。

(2)测评单元的测评结果量化规则

        第 i 个安全层面的第 j 测评单元 U_{i,j} 的量化评估结果 S_{i,j} 为该测评单元内所有 n_{i,j} 个测评对象测评结果的算术平均值(四舍五入,取小数点后 4 位),即: 

S_{i,j}=\frac{\sum _{1\leqslant k\leqslant n_{i,j}} S_{i,j,k}}{n_{i,j}}

        密码应用管理要求中,第 i 个安全层面的第 j 测评,根据 GM/T BBBB 给出判定结果 S_{i,j},符合为 1 分,不符合为 0 分,部分符合为 0.5 分。

(3)安全层面的测评结果量化规则

        本文件为每个测评单元分配了相应的权重 w_{i,j} ,如表 2 所示。第 i 个安全层面 L_{i} 的量化评估结果 S_{i} 为该安全层面内所有 n_{i} 个适用测评单元测评结果 S_{i,j} 的加权平均值(四舍五入, 取小数点后 4 位),即:

S_{i}=\frac{\sum _{1\leqslant j\leqslant n_{i}} w_{i,j} S_{i,j}}{\sum_{1 \leqslant j\leqslant n_{i}} w_{i,j}}

        若某测评指标不适用,则不参与量化评估过程,不适用的判定方式参见 GM/T BBBB

(4)整体测评结果量化规则

        本文件为每个安全层面分配了相应的权重 w_{i} ,如表 2 所示。量化评估结果 S 为所有 n 个安全层面测评结果 S_{i} 的加权平均值(四舍五入,取小数点后 2 位),即:

S=\frac{\sum _{1\leqslant i\leqslant n} w_{i} \cdot S_{i}}{\sum_{1 \leqslant i\leqslant n} w_{i}}\times 100

         若某个安全层面的所有测评指标都不适用,则该安全层面不参与量化评估过程。

表 1 量化评估表
符合情况涉及情况示例分值S_{i,j,k}
密码使用安全D密码算法/技术合规性A密钥管理安全K
符合

全部符合相关的要求

1
部分符合×

使用认证合格的密码产品,但使用的密码算法/技术不合规

0.5
×

使用未经认证或不满足安全等级要求的密码产品,但使用的密码算法/技术合规

××

使用未经认证或不满足安全等级要求

的密码产品,且使用的密码算法/技术不合规

0.25
不符合×//

使用的密码技术无法满足信息系统的安全需求,或未使用密码技术等

0
表 2 测评指标权重表
序号测评单元

安全层

面权重w_{i}

指标权重 w_{i,j}
第一级第二级第三级第四级
1

物理

环境

安全

身份鉴别100.40.711
2电子门禁记录数据存储完整0.40.40.70.7
3视频记录数据存储完整性//0.70.7
4

网络

通信

安全

身份鉴别20

0.4

0.711
5通信数据完整性0.40.40.71
6通信过程中重要数据的机密性0.40.711
7网络边界访问控制信息的完整性0.40.40.40.7
8安全接入认证//0.40.7
9

设备

计算

安全

身份鉴别100.40.711
10远程管理通道安全//11
11系统资源访问控制信息完整性0.40.40.40.7
12重要信息资源安全标记完整性//0.40.7
13日志记录完整性0.40.40.40.7
14重要可执行程序完整性、重要可执行程序来源真实性//0.71
15

应用

数据 

安全

身份鉴别300.40.711
16访问控制信息完整性0.40.40.40.7
17重要信息资源安全标记完整性//0.40.7
18重要数据传输机密性0.40.711
19重要数据存储机密性0.40.711
20重要数据传输完整性0.40.70.71
21重要数据存储完整性0.40.70.71
22不可否认性//11
23

管理

制度

具备密码应用安全管理制度81111
24密钥管理规则0.70.70.70.7
25建立操作规程/0.70.70.7
26定期修订安全管理制度//0.70.7
27明确管理制度发布流程//0.70.7
28制度执行过程记录留存//0.70.7
29

人员

管理

了解并遵守密码相关法律法规和密码管理制度80.70.70.70.7
30建立密码应用岗位责任制度/111
31建立上岗人员培训制度/0.70.70.7
32定期进行安全岗位人员考核//0.70.7
33建立关键岗位人员保密制度和调离制度0.70.70.70.7
34

建设

运行

制定密码应用方案81111
35制定密钥安全管理策略1111
36制定实施方案0.70.70.70.7
37投入运行前进行密码应用安全性评估1111
38定期开展密码应用安全性评估及攻防对抗演习//0.70.7
39

应急

处置

应急策略61111
40事件处置//0.70.7
41向有关主管部门上报处置情况//0.70.7
涉及资源:1《信息安全等级保护商用密码技术要求》使用指南 2.2009年03月 《信息安全等级保护 商用密码技术实施要求》 3 2015年09月 《信息安全等级保护商用密码测评机构审批服务指南》4.GM_T 0054-2018 《信息系统密码应用基本要求》(2018.01.26) 5.GM_T 0054-2018 《信息系统密码应用基本要求》 6、GMT 0001.1-2012 祖冲之序列密码算法第1部分:算法描述 7.GMT 0001.2-2012 祖冲之序列密码算法第2部分:基于祖冲之算法的机密性算法 8.GMT 0001.3-2012 祖冲之序列密码算法第3部分:基于祖冲之算法的完整性算法 9.GMT 0002-2012 SM4分组密码算法 10GMT 0003.1-2012 SM2椭圆曲线公钥密码算法第1部分:总则 11GMT 0003.2-2012 SM2椭圆曲线公钥密码算法第2部分:数字签名算法 12 GMT 0003.3-2012 SM2椭圆曲线公钥密码算法第3部分:密钥交换协议 13 GMT 0003.4-2012 SM2椭圆曲线公钥密码算法第4部分:公钥加密算法 14 GMT 0003.5-2012 SM2椭圆曲线公钥密码算法第5部分:参数定义 15GMT 0004-2012 SM3密码杂凑算法 16 GMT 0005-2012 随机性检测规范 17GMT 0006-2012 密码应用标识规范 18GMT 0008-2012 安全芯片密码检测准则 19GMT 0009-2012 SM2密码算法使用规范 20GMT 0010-2012 SM2密码算法加密签名消息语法规范 21GMT 0011-2012 可信计算 可信密码支撑平台功能与接口规范 22GMT 0012-2012 可信计算 可信密码模块接口规范 23GMT 0013-2012 可信计算 可信密码模块符合性检测规范 24 国办发2014 6号 《国务院办公厅转发密码局等部门关于金融领域密码应用指导意见的通知》
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值