2022商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則

商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則二〇二一年十二月II目錄1.范圍 12.規(guī)范引文件 13.原則 14.量化估架 15.量化則 26.整體論定 3PAGEPAGE1商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則范圍本文件依據(jù)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》和GM/T0115-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》，對(duì)信息系統(tǒng)的密碼應(yīng)用情況給出定量評(píng)估結(jié)果。本文件適用于指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用的規(guī)劃、建設(shè)、運(yùn)行及測(cè)評(píng)。GB/T39786-2021GM/T0115-2021原則本文件按如下原則設(shè)計(jì)量化評(píng)估規(guī)則：2) 遵循GB/T39786-2021和GM/T0115-2021；技術(shù)//參考GM/T0115-2021，本規(guī)則從三個(gè)方面進(jìn)行量化評(píng)估：（CryptographyDeploymenteffectiveness）/（CryptographyAlgorithm/Techniquecompliance）（Keymanagementsecurity）于密碼計(jì)算或密鑰管理的密碼產(chǎn)品/密碼服務(wù)是否安全。ijkTi,j,kSi,j,k∈{0,0.25,0.5,1}01Si,j,k的1指標(biāo)密碼應(yīng)用管理要求不針對(duì)各個(gè)測(cè)評(píng)對(duì)象的測(cè)評(píng)結(jié)果進(jìn)行量化評(píng)估。ijUi,jSi,jn,j4位∑1≤??≤????,??????,??,??????,??=

????,??ijGM/T0115-2021Si,j100.5分。本文件為每個(gè)測(cè)評(píng)單元分配了相應(yīng)的權(quán)重????,??，如表2所示。第i個(gè)安全層面Li的量化SiniSi,j（4????

=∑1≤??≤????????,??????,??∑1≤??≤????????,??若某測(cè)評(píng)指標(biāo)不適用，則不參與量化評(píng)估過(guò)程，不適用的判定方式參見(jiàn)GM/T0102本文件為每個(gè)安全層面分配了相應(yīng)的權(quán)重????，如表2所示。量化評(píng)估結(jié)果S為所有nSi（2∑1≤??≤?????????????=

∑

×1001≤??≤????若某個(gè)安全層面的所有測(cè)評(píng)指標(biāo)都不適用，則該安全層面不參與量化評(píng)估過(guò)程。比如，如果信息系統(tǒng)中“物理和環(huán)境安全”層面所有測(cè)評(píng)指標(biāo)都不適用，而其他各層面均有適用的測(cè)評(píng)指標(biāo)，那么根據(jù)表2提供的安全層面權(quán)重，上述分值計(jì)算公式具體為：??=

∑2≤??≤8?∑ ??

×100=

∑2≤??≤8?????????×100902≤??≤8??整體量化評(píng)估結(jié)果S100GB/T39786-2021100基本GB/T39786-2021GB/T39786-2021相--PAGE6-表1量化評(píng)估表符合情況涉及情況示例分值Si,j,k密碼使用有效性D密碼算法/技術(shù)合規(guī)性A密鑰管理安全K符合√√√全部符合相關(guān)的要求1部分符合√×√0.5√√×/√××題0.25不符合×//未使用密碼技術(shù)，或由于未正確、有效使用密碼技術(shù)導(dǎo)致無(wú)法滿足信息系統(tǒng)的安全需求0注：在判定密碼使用有效性、密碼算法/技術(shù)合規(guī)性、密鑰管理安全三個(gè)維度時(shí)，均進(jìn)行獨(dú)立判定，比如：在單獨(dú)判定密碼使用有效性維度時(shí)，不考慮由于密碼算法/技術(shù)合規(guī)性和密鑰管理安全導(dǎo)致的風(fēng)險(xiǎn)。表2測(cè)評(píng)指標(biāo)權(quán)重表要求維度安全層面序號(hào)i安全層面測(cè)評(píng)單元序號(hào)j測(cè)評(píng)單元（wi）指標(biāo)權(quán)重wi,j第一級(jí)第二級(jí)第三級(jí)第四級(jí)密碼技術(shù)應(yīng)用要求1物理和環(huán)境安全（1）身份鑒別100.40.711（2）電子門(mén)禁記錄數(shù)據(jù)存儲(chǔ)完整性0.40.40.70.7（3）視頻記錄數(shù)據(jù)存儲(chǔ)完整性//0.70.72網(wǎng)絡(luò)和通信安全（1）身份鑒別200.40.711（2）通信數(shù)據(jù)完整性0.40.40.71（3）通信過(guò)程中重要數(shù)據(jù)的機(jī)密性0.40.711（4）0.40.40.40.7（5）安全接入認(rèn)證//0.40.73設(shè)備和計(jì)算安全（1）身份鑒別100.40.711（2）遠(yuǎn)程管理通道安全//11（3）系統(tǒng)資源訪問(wèn)控制信息完整性0.40.40.40.7（4）重要信息資源安全標(biāo)記完整性//0.40.7（5）日志記錄完整性0.40.40.40.7（6）實(shí)性//0.714應(yīng)用和數(shù)據(jù)安全（1）身份鑒別300.40.711（2）訪問(wèn)控制信息完整性0.40.40.40.7（3）重要信息資源安全標(biāo)記完整性//0.40.7（4）重要數(shù)據(jù)傳輸機(jī)密性0.40.711（5）重要數(shù)據(jù)存儲(chǔ)機(jī)密性0.40.711（6）重要數(shù)據(jù)傳輸完整性0.40.70.71（7）重要數(shù)據(jù)存儲(chǔ)完整性0.40.70.71（8）不可否認(rèn)性//11安全管理5管理制度（1）具備密碼應(yīng)用安全管理制度81111（2）密鑰管理規(guī)則0.70.70.70.7（3）建立操作規(guī)程/0.70.70.7（4）//0.70.7（5）//0.70.7（6）//0.70.76人員管理（1）80.70.70.70.7（2）建立密碼應(yīng)用崗位責(zé)任制度/111（3）/0.70.70.7（4）定期進(jìn)行安//0.70.7全崗位人員考核（5）建立關(guān)鍵崗位人員保密制度和調(diào)離制度0.70.70.70.77建設(shè)運(yùn)行（1）制定密碼應(yīng)用方案81111（2）1111（3