商用密码应用安全性评估量化规则详解与测评要素

本资源是关于商用密码应用安全性评估的量化评估规则，由中国密码学会密评联委会在二〇二〇年十二月发布。该文件旨在根据GB/T AAAAA《信息安全技术信息系统密码应用基本要求》和GM/T BBBB《信息系统密码应用测评要求》，为信息系统的密码应用提供详细的定量评估标准。评估主要关注三个核心方面： 1. 密码使用安全 (Cryptography Deployment Security): 评估密码技术在信息系统中的正确和有效使用情况，确保它能够提供机密性、完整性、真实性以及不可否认性的保护。评估结果分为四个等级，从不符合（0分）到完全符合（1分）。 2. 密钥管理安全 (Key Management Security): 检查密钥管理的全程安全，包括密码产品的安全性和用于密码计算或密钥管理服务的安全性。这涉及到密钥生命周期的各个环节。 3. 密码算法/技术安全 (Cryptography Algorithm/Technique Security): 评价信息系统中所采用的密码算法是否符合法律法规和相关标准，比如是否遵循国家密码管理部门的规定和相关国家标准、行业标准。 评估采取量化的方式，每个测评对象Ti,j,k（如第i个安全层面的第j个测评单元的第k个测评对象）都有一个评估结果Si,j,k，范围在0（不符合）到1（完全符合），其中0.25和0.5代表部分符合。值得注意的是，通用要求和密码应用技术要求中，密码服务和密码产品的特定指标不在单独评分范围内。 这份文档为密码在信息系统中的合理、合规应用提供了实用的评估工具，有助于提升系统的安全性，并为开发者、管理者和测评人员提供了一套明确的评估框架和标准。通过遵循这些规则，可以确保信息系统的密码策略符合最新的安全要求和最佳实践。