《商用密码应用安全性评估量化评估规则》（2023 版）

2024-12-10

7 min read

Hits

本文依据《商用密码应用安全性评估量化评估规则》（2023 版）结合今天上午公司质量部杨总做的算分培训，站在巨人的肩膀上，妄以一文解释清楚密评的算分规则。

主要修订情况

2020 版：首次制定
2021 版
1. 第 4 章
  1. 将“密码使用安全”更名为“密码使用有效性”
  2. 将“密码算法/技术安全”更名为“密码算法/技术合规性”
2. 第 5 章
  1. 增加“若某个安全层面的所有测评指标都不适用，则该安全层面不参与量化评估过程”的示例
  2. 完善量化评估表的说法，并增加脚注
  3. 更新安全层面和测评单元的权重值
2023 版
1. 第 1 章：对适用范围的说法进行微调
2. 第 3 章：对原则的说法进行微调
3. 第 4 章：对框架的说法进行微调
4. 第 5 章
  1. 更名为“量化评估规则”
  2. 修改各测评对象的测评结果量化评估规则和量化评估表，增加密码算法/技术合规性修正参数和密钥管理安全修正参数，并增补《商用密码应用安全性评估报告模板（2023 版）》中针对分值弥补的说明
  3. 修改整体测评结果量化评估规则，使密码应用技术要求和密码应用管理要求两部分分值保持固定
5. 第 6 章
  1. 更名为“量化评估阈值”
  2. 增补《商用密码应用安全性评估报告模板（2023 版）》中确定的阈值

量化评估框架

参考 GM/T 0115-2021，本规则从三个方面进行量化评估：

密码使用有效性（Cryptography Deployment effectiveness）是指，密码技术是否被正确、有效使用，以满足信息系统的安全需求，有效提供机密性、完整性、真实性和不可否认性的保护；
密码算法/技术合规性（Cryptography Algorithm/Technique compliance）是指，信息系统中使用的密码算法是否符合法律、行政法规、国家有关规定和密码相关国家标准、行业标准的有关要求，信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或通过国家密码管理部门的审查鉴定。
密钥管理安全（Key management security）是指，密钥的全生命周期管理是否安全，用于密码计算或密钥管理的密码产品/密码服务是否安全。

量化评估表

符合情况	密码使用有效性 D	密码算法/技术合规性 A	密钥管理安全 K	示例	分值
符合	√	√	√	全部符合相关的要求	1
部分符合	√	×	√	密码使用有效，具备安全的密钥管理机制，但使用的密码算法/技术不符合法律、行政法规、国家有关规定和密码相关国家标准、行业标准的有关要求	0.5Ra
部分符合	√	√	×	密码使用有效，使用的密码算法/技术符合法律、行政法规、国家有关规定和密码相关国家标准、行业标准的有关要求，但是相关的密钥管理机制存在问题	0.5Rk
部分符合	√	×	×	密码使用有效，但使用的密码算法/技术不符合法律、行政法规、国家有关规定和密码相关国家标准、行业标准的有关要求，相关的密钥管理机制也存在问题	0.25RaRk
不符合	×	/	/	未使用密码技术，或由于未正确、有效使用密码技术导致无法满足信息系统的安全需求	0

注 1：在判定密码使用有效性、密码算法/技术合规性、密钥管理安全三个维度时，均进行独立判定，比如：在单独判定密码使用有效性维度时，不考虑由于密码算法/技术合规性和密钥管理安全导致的风险。

注 2：Ra 为密码算法/技术合规性修正参数，Rk 为密钥管理安全修正参数。

密码算法/技术合规性修正参数 Ra 取值表

Ra	密码算法/技术使用情况	示例
0.2	所使用的密码算法/技术与信息系统安全要求不匹配	安全强度小于 80 比特的密码算法/技术
0.5	所使用的密码算法/技术可以在一定程度上为信息系统提供安全保障	80 ≤ 密码算法/技术安全强度 ≤ 112
1	所使用的密码算法/技术可以较好地为信息系统提供安全保障	安全强度 ≥ 112 比特的密码算法/技术

密钥管理安全修正参数 Rk 取值表

Rk	密码应用级别	密钥管理安全情况
1（不修正）	一二级	一级和二级的 Rk 只取 1
1.2	第三级	使用一级密码模块，且能够满足 GM/T 0115-2021 中 “5.5 密钥管理安全性”的其他要求
1.5	第四级	使用二级密码模块，且能够满足 GM/T 0115-2021 中 “5.5 密钥管理安全性”的其他要求
1（不修正）	三四级	针对三四级除以上两条外的其他情况不修正，Rk 取 1

单一测评对象（取小数点后四位）

《商用密码应用安全性评估量化评估规则》（2023 版）文件内的量化评估规则是从各个测评对象的测评结果量化评估规则开始说的，忽略了针对单一测评对象的量化评估规则（但是去年的考题中有对应题目😂）所以博主从单一测评对象开始说量化评估规则。

无论是在等保还是在密评中，测评对象都是测评的最小测评单元。在等保测评时，只需按各个测评对象的控制点进行测评并记录分值即可。但密评的测评对象可能会涉及多个产品或服务，所以即使针对最小测评单元，即测评对象进行测评时，还需对该测评对象所涉及的所有产品或服务进行测评和计分，而这个测评对象的测评单元得分是取所有产品或服务的最小分值。

例如：针对一个物理机房拥有两扇门，需要对该物理机房进行身份鉴别测评项测评，两扇门得身份鉴别一个得零分，一个得一分，则该测评对象在身份鉴别测评单元的得分取零分。因为该物理机房为一个整理，作为一个测评对象，在这个测评对象“内部”测得的各个分值，在单元测评量化评估中取最小分值。

同一测评单元（取小数点后四位）

同一测评单元中，可能包含多个测评对象，按如上规则对各个测评对象进行打分后，按算术平均值计算该测评单元的得分。

例如：两个测评对象在物理和环境安全层面的身份鉴别测评单元中，分别得分为零分和一分，则该测评单元的最终得分为：(0+1)÷2=0.5 分。

涉及以下情况时，需要对测评对象的分值进行修正：

若测评对象 A 弥补了测评对象 B 的不足，测评对象 A 的分值为 PA，测评对象 B 的弥补前分值为 PB，则测评对象 B 弥补后的分值为 MAX（0.5×PA，PB），即 0.5×PA 和 PB 之间的较大值（四舍五入，取小数点后 4 位）。

例如：在设备和计算安全层面，有两台服务器密码机分别作为两个测评对象 A 和 B，A 测得一分，B 测得零分，但是 A 可以弥补 B，假设所有 B 出来的数据还要经过 A 再加密一次（仅为说明弥补情况做的假设），那么此时 B 就存在一种得分修正情况，即需要取 0.5×1=0.5 和 0 之间的较大值，即 0.5，所以 B 得分修正为 0.5。

八个安全层面（取小数点后四位）

密码应用分为四个技术要求层面和四个管理要求层面，总共八个安全层面。每一个安全层面中，又分为不同的测评单元。

例如：第一个物理和环境安全层面分为三个测评单元：身份鉴别、电子门禁记录数据存储完整性和视频记录存储完整性，这三个测评单元有各自不同的指标权重。在对物理和环境安全层面进行量化评估的时候，需要根据三个测评单元不同的指标权重进行计算，即计算加权平均值。

例如：对一个三级系统的物理和环境安全层面进行量化评估，其身份鉴别测评单元得分为 1 分、电子门禁记录数据存储完整性得分为 0.5 分、视频记录数据存储完整性得分为 0 分，而这三个测评单元在三级的指标权重分别为 1、0.7 和 0.7，所以物理和环境安全层面的最终得分为：（1×1+0.5×0.7+0×0.7）÷（1+0.7+0.7）=0.5625 分。

整体测评结果（取小数点后两位）

安全层面权重

物理环境	网络通信	设备计算	应用数据	管理制度	人员管理	建设运行	应急处置
10	20	10	30	8	8	8	6

技术部分得分

对技术要求的四个层面计算总分，规则与上述八个安全层面量化评估规则一致，即计算技术要求各个安全层面的加权平均值。

例如：四个安全层面得分情况分别为：1、0.5、0.25、0 分，其权重如上表所示：10、20、10、30，则技术部分的得分为：（1×10+0.5×20+0.25×10+0×30）÷（10+20+10+30）= 0.3214

管理部分得分

对管理要求的四个层面计算总分，规则与上述技术部分量化评估规则一致，即计算管理要求各个安全层面的加权平均值。

例如：四个安全层面得分情况分别为：1、0.5、0.25、0 分，其权重如上表所示：8、8、8、6，则管理部分的得分为：（1×8+0.5×8+0.25×8+0×6）÷（8+8+8+6）= 0.4667

整体测评得分

最后整体测评得分为技术部分得分乘以七十，加上管理部分得分乘以三十。继续以上述为例，则得分即为：0.3214 × 70 + 0.4667 × 30 = 36.50 分

安全层面不适用

若某个安全层面的所有测评指标都不适用，则该安全层面不参与量化评估过程。

例如：信息系统中物理和环境安全层面所有测评指标都不适用，而其他各层面均有适用的测评指标，八个安全层面的得分情况为：不适用、1、0.8、0.7、0.6、0.5、0.4、0.3，则该系统最终得分为：（1×20+0.8×10+0.7×30）÷（20+10+30）× 70 +（0.6×8+0.5×8+0.4×8+0.3×6）÷（8+8+8+6）× 30 = 49.27 分。