商用密码应用安全性评估量化评估规则(2021版)
量化评估框架
参考 GM/T BBBB《信息系统密码应用测评要求》,本规则从三个方面进行量化评估:
密码使用安全(Cryptography Deployment security)是指,密码技术是否被正确、有效使用,以满足信息系统的安全需求,有效提供机密性、完整性、真实性和不可否认性的保护;
密钥管理安全(Key management security)是指,密钥管理的全生命周期是否安全,用于密码计算或密钥管理的密码产品/密码服务是否安全。
密码算法/技术安全(Cryptography Algorithm/Technique security)是指,信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。
量化规则
(1)各测评对象的测评结果量化规则
密码应用技术要求中,第 个安全层面的第
测评单元的第
测评对象
,其量化评估结果
,其中 0 表示不符合,1 表示符合,其它表示部分符合。
的取值分别见表1。通用要求和密码应用技术要求各安全层面的“密码服务”和“密码产品”指标不单独评价。
密码应用管理要求不针对各个测评对象的测评结果进行量化评估。
(2)测评单元的测评结果量化规则
第 个安全层面的第
测评单元
的量化评估结果
为该测评单元内所有
个测评对象测评结果的算术平均值(四舍五入,取小数点后 4 位),即:
密码应用管理要求中,第 个安全层面的第
测评,根据 GM/T BBBB 给出判定结果
,符合为 1 分,不符合为 0 分,部分符合为 0.5 分。
(3)安全层面的测评结果量化规则
本文件为每个测评单元分配了相应的权重 ,如表 2 所示。第
个安全层面
的量化评估结果
为该安全层面内所有
个适用测评单元测评结果
的加权平均值(四舍五入, 取小数点后 4 位),即:
若某测评指标不适用,则不参与量化评估过程,不适用的判定方式参见 GM/T BBBB。
(4)整体测评结果量化规则
本文件为每个安全层面分配了相应的权重 ,如表 2 所示。量化评估结果
为所有
个安全层面测评结果
的加权平均值(四舍五入,取小数点后 2 位),即:
若某个安全层面的所有测评指标都不适用,则该安全层面不参与量化评估过程。
| 符合情况 | 涉及情况 | 示例 |
分值 |
||
| 密码使用安全D | 密码算法/技术合规性A | 密钥管理安全K | |||
| 符合 | √ | √ | √ |
全部符合相关的要求 |
1 |
| 部分符合 | √ | × | √ |
使用认证合格的密码产品,但使用的密码算法/技术不合规 |
0.5 |
| √ | √ | × |
使用未经认证或不满足安全等级要求的密码产品,但使用的密码算法/技术合规 |
||
| √ | × | × |
使用未经认证或不满足安全等级要求 的密码产品,且使用的密码算法/技术不合规 |
0.25 | |
| 不符合 | × | / | / |
使用的密码技术无法满足信息系统的安全需求,或未使用密码技术等 |
0 |
| 序号 | 测评单元 |
安全层 面权重 |
指标权重 |
|||||
| 第一级 | 第二级 | 第三级 | 第四级 | |||||
| 1 |
密 码 技 术 应 用 要 求 |
物理 和 环境 安全 |
身份鉴别 | 10 | 0.4 | 0.7 | 1 | 1 |
| 2 | 电子门禁记录数据存储完整 | 0.4 | 0.4 | 0.7 | 0.7 | |||
| 3 | 视频记录数据存储完整性 | / | / | 0.7 | 0.7 | |||
| 4 |
网络 和 通信 安全 |
身份鉴别 | 20 |
0.4 |
0.7 | 1 | 1 | |
| 5 | 通信数据完整性 | 0.4 | 0.4 | 0.7 | 1 | |||
| 6 | 通信过程中重要数据的机密性 | 0.4 | 0.7 | 1 | 1 | |||
| 7 | 网络边界访问控制信息的完整性 | 0.4 | 0.4 | 0.4 | 0.7 | |||
| 8 | 安全接入认证 | / | / | 0.4 | 0.7 | |||
| 9 |
设备 和 计算 安全 |
身份鉴别 | 10 | 0.4 | 0.7 | 1 | 1 | |
| 10 | 远程管理通道安全 | / | / | 1 | 1 | |||
| 11 | 系统资源访问控制信息完整性 | 0.4 | 0.4 | 0.4 | 0.7 | |||
| 12 | 重要信息资源安全标记完整性 | / | / | 0.4 | 0.7 | |||
| 13 | 日志记录完整性 | 0.4 | 0.4 | 0.4 | 0.7 | |||
| 14 | 重要可执行程序完整性、重要可执行程序来源真实性 | / | / | 0.7 | 1 | |||
| 15 |
应用 和 数据 安全 |
身份鉴别 | 30 | 0.4 | 0.7 | 1 | 1 | |
| 16 | 访问控制信息完整性 | 0.4 | 0.4 | 0.4 | 0.7 | |||
| 17 | 重要信息资源安全标记完整性 | / | / | 0.4 | 0.7 | |||
| 18 | 重要数据传输机密性 | 0.4 | 0.7 | 1 | 1 | |||
| 19 | 重要数据存储机密性 | 0.4 | 0.7 | 1 | 1 | |||
| 20 | 重要数据传输完整性 | 0.4 | 0.7 | 0.7 | 1 | |||
| 21 | 重要数据存储完整性 | 0.4 | 0.7 | 0.7 | 1 | |||
| 22 | 不可否认性 | / | / | 1 | 1 | |||
| 23 |
安 全 管 理 |
管理 制度 |
具备密码应用安全管理制度 | 8 | 1 | 1 | 1 | 1 |
| 24 | 密钥管理规则 | 0.7 | 0.7 | 0.7 | 0.7 | |||
| 25 | 建立操作规程 | / | 0.7 | 0.7 | 0.7 | |||
| 26 | 定期修订安全管理制度 | / | / | 0.7 | 0.7 | |||
| 27 | 明确管理制度发布流程 | / | / | 0.7 | 0.7 | |||
| 28 | 制度执行过程记录留存 | / | / | 0.7 | 0.7 | |||
| 29 |
人员 管理 |
了解并遵守密码相关法律法规和密码管理制度 | 8 | 0.7 | 0.7 | 0.7 | 0.7 | |
| 30 | 建立密码应用岗位责任制度 | / | 1 | 1 | 1 | |||
| 31 | 建立上岗人员培训制度 | / | 0.7 | 0.7 | 0.7 | |||
| 32 | 定期进行安全岗位人员考核 | / | / | 0.7 | 0.7 | |||
| 33 | 建立关键岗位人员保密制度和调离制度 | 0.7 | 0.7 | 0.7 | 0.7 | |||
| 34 |
建设 运行 |
制定密码应用方案 | 8 | 1 | 1 | 1 | 1 | |
| 35 | 制定密钥安全管理策略 | 1 | 1 | 1 | 1 | |||
| 36 | 制定实施方案 | 0.7 | 0.7 | 0.7 | 0.7 | |||
| 37 | 投入运行前进行密码应用安全性评估 | 1 | 1 | 1 | 1 | |||
| 38 | 定期开展密码应用安全性评估及攻防对抗演习 | / | / | 0.7 | 0.7 | |||
| 39 |
应急 处置 |
应急策略 | 6 | 1 | 1 | 1 | 1 | |
| 40 | 事件处置 | / | / | 0.7 | 0.7 | |||
| 41 | 向有关主管部门上报处置情况 | / | / | 0.7 | 0.7 | |||
商用密码应用安全性评估量化评估规则(2021版)相关推荐
- 【国内首家!】阿里云专有云通过商用密码应用安全性评估
简介:阿里云凭借自研飞天云操作系统的全方位安全能力,成为国内首家通过云平台密评的云厂商. 近日,国内首个针对云平台的商用密码应用安全性评估(以下简称密评)结果出炉.阿里云凭借自研飞天云操作系统的全方位 ...
- 密评|商用密码应用安全性评估
前言 作为近些年刚刚进入人们视线的"密评",许多人均对其较为陌生,密码作为网络安全体系中基础支撑,是国家实现网络安全从被动防御走向主动免疫的重要战略转变. 商用密码应用安全性评估的 ...
- 商用密码应用安全性评估(密评)六大基础问题解答
2021年3月9日,国家市场监管总局.国家标准化管理委员会发布公告,正式发布国家标准GB/T39786-2021<信息安全技术 信息系统密码应用基本要求>,该标准将于2021年10月1日起 ...
- 密评(商用密码应用安全性评估)
密评的全称,商用密码应用安全性评估,是指在采用商用密码技术.产品和服务集成建设的网络和信息系统中,对其密码应用的合规性.正确性和有效性进行评估. 即按照有关法律法规和标准规范,对网络与信息系统使用商用 ...
- 《密码法》之商用密码应用安全性评估----六问
密评六大基础问题解答 商用密码应用安全性评估,以下简称密评: Q1:运营单位怎么判定是否需要开展商用密码应用安全性评估? 1)<密码法>第二十七条 法律.行政法规和国家有关规定要求使用商用 ...
- 附下载 | 图解密评联委会《商用密码应用安全性评估FAQ(第二版)》
密码作为保障数据安全的核心技术和基础支撑,已经渗透到社会生产生活的方方面面,在维护国家安全.促进经济社会发展.保护人民群众利益等方面发挥着不可替代的重要作用.近年来,我国陆续出台<密码法> ...
- 杨元原博士国密课堂 · 第一期 | 商用密码应用安全性评估:Part1. 密码算法概述
#国密课堂# 第一期 商用密码应用安全性评估 Part 1. 密码算法概述 什么是密码算法? 密码学(Cryptology)是研究密码编制.密码破译和密码系统设计的的一门综合性科学,其包括密码编码学和 ...
- 杨元原博士国密课堂 · 第二期 | 商用密码应用安全性评估:Part2. 商用密码算法
#国密课堂# 第二期 商用密码应用 安全性评估 Part 2. 商用密码算法 在第一期国密课堂 中,杨博士带大家简单了解了密码算法的概念.第二期杨博士带我们继续走近商用密码应用安全性评估领域,进一 ...
- 商用密码应用安全性评估从业人员考核知识点
1. 密码政策法规(占比10%) 1.1党和国家关于密码工作的方针政策 1.2密码法律法规与规范性文件 1.3涉及密码的网络安全相关法律法规 1.4密码应用政策文件 2. 密码技术基础及相关标准(占比 ...
最新文章
- Apache、Nginx、Tomcat、PHP的区别
- 创建存储过程批量插入数据
- JS表格分页(封装版)
- 下列关于物理层设备的叙述中,错误的是( )
- 批量获取域名解析地址socketthread
- powershell 遍历json_如何从Powershell脚本读取JSON数据并遍历它
- uva计算机水平,UVA 12096 集合栈计算机
- 作者:杨琪,数据堂(北京)科技股份有限公司企业发展部副总监。
- flutter能开发游戏吗_不用 H5,闲鱼 Flutter 如何玩转小游戏?-阿里云开发者社区...
- 好未来AI Lab-文本检测方法分析
- AS3 CookBook学习整理(二)
- qmail 发邮件故障
- linux6.5禁用防火墙,Centos6.5,Centos7分别关闭selinux和防火墙
- lj245a引脚功能图_干货|教你如何看懂单片机时序图
- C语言中scanf和printf格式化输入输出
- 安装ie9提示未能完成安装_ie11/ie10/ie9安装程序无法验证安装文件
- web前端面试题(全)
- mysql 分库分表中间件 mycat_Mysql—分库分表中间件(Mycat)
- Python自然语言处理 8 分析句子结构
- 面向过程实列(用简单代码写出斗地主的程序(在一个类中实现))