商业密码应用安全性评估量化评估规则2023版更新点

        《商用密码应用安全性评估量化评估规则》(2023版)已于2023年7月发布,将在8月1日正式执行。相比较2021版,新版本有多处内容更新,具体包括5处微调和5处较大更新。

        微调部分(5处)

序号2021版本2023版本
1本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评本文件适用于规范信息系统密码应用安全性评估,以及指导相关信息系统的规划、建设等工作。
2鼓励使用密码技术;特别鼓励使用合规的密码算法/技术/产品/服务;鼓励使用合规的密码算法/技术/产品/服务
3密码算法/技术合规性(Cryptography Algorithm/Technique compliance)是指,信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。密码算法/技术合规性(Cryptography Algorithm/Technique compliance)是指,信息系统中使用的密码算法是否符合法律、行政法规、国家有关规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或通过国家密码管理部门审查鉴定
45. 量化规则5. 量化评估规则
56. 整体结论判定6. 量化评估阈值

        更新部分(5处)

序号2021版2023版
1测评对象得分取值范围为{0, 0.25, 0.5, 1}

测评对象得分取值范围为[0, 1]

若测评对象 A 弥补了测评对象 B 的不足,测评对象 A 的分值为 PA,测评对象 B 的弥补前分值为 PB,则测评对象 B 弥补后的分值为 MAX(0.5×PA, PB),即 0.5×PA 和PB之间的较大值(四舍五入,取小数点后 4 位)。

2

无Ra修正,相当于Ra=1

增加密码算法/技术合规性修正参数Ra

Ra的取值范围{0.2, 0.5, 1}

当算法安全强度小于80比特,Ra=0.2

当算法安全强度小于112比特,Ra=0.5

当算法安全强度不小于112比特,Ra=1

3无Rk修正,相当于Rk=1

增加密钥管理安全修正参数Rk

Rk的取值范围{1, 1.2, 1.5}

对于第1、2级信息系统:Rk=1

对于第3级信息系统:使用1级密码模块且满足GMT0115 5.5要求,Rk=1.2,其他情况Rk=1

对于第4级信息系统:使用2级密码模块且满足GMT0115 5.5要求,Rk=1.5,其他情况Rk=1

4

量化评估结果 S 为所有 n个安全层面测评结果 Si的加权平均值

 

密码应用技术要求和密码应用管理要求两部分分值保持固定(技术和管理得分影响独立)

5整体量化评估结果 S 为 100 分,则判定被测信息系统符合 GB/T 39786-2021 相应等级要求;S 低于 100 分、不低于阈值,且经风险评估发现没有高风险,则判定被测信息系统基本符合 GB/T 39786-2021 相应等级要求;否则,判定被测信息系统不符合 GB/T39786-2021 相应等级要求。采用本文件进行量化评估时,GM/T 0115-2021“9. 评估结论”中的得分阈值为60分

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游鲦亭长

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值