商用密码应用安全性评估量化规则详解

本资源是一份由"中国密码学会密评联委会"发布的关于商用密码应用安全性评估的量化评估规则文档，发布日期为2020年12月。该文件主要针对的是信息系统中的商用密码应用，旨在提供一个指导和规范，确保密码技术在规划、建设、运行以及测评过程中的安全性。 1. **范围**：文档基于两个重要的国家标准——GB/TAAAAA《信息安全技术信息系统密码应用基本要求》和GM/TBBBB《信息系统密码应用测评要求》，适用于所有涉及密码应用的信息系统，包括对其安全性的定量评估。 2. **规范性引用文件**：文件引用了这两项标准作为评估的基石，确保评估的准确性和一致性。 3. **原则**：评估规则遵循以下核心原则： - 符合法律法规和最新指导文件的要求； - 严格参照GB/TAAAAA和GM/TBBBB的技术指南； - 鼓励密码技术的合理使用； - 优先支持合规的密码算法和技术的选用； - 注重网络、通信和应用数据安全的密码应用。 4. **量化评估框架**：评估框架分为三个关键方面： - **密码使用安全**：关注密码技术在保护信息系统机密性、完整性和真实性，以及提供不可否认性方面的应用是否得当。 - **密钥管理安全**：评估密钥整个生命周期的安全性，包括密码产品和服务在密码计算和密钥管理中的安全性。 - **密码算法/技术安全**：考察密码算法是否符合法律规定、国家标准和行业标准，以及技术是否经过国家密码管理部门的认可。 5. **量化规则**：文件提供了具体的量化评分标准，测评对象（如密码服务和密码产品）在不同安全层面的第i个测评单元的第j个测评对象Ti,j,k，其评分范围从0（完全不符合）到1（完全符合），分数区间还包括部分符合，通过具体的表格列举了不同的得分对应的具体表现。 这份文档为商用密码在信息系统中的应用提供了细致的量化评估准则，帮助企业、组织和个人更好地理解和提升密码应用的安全性，确保信息系统的安全性得到充分保障。