豪密科技第 16 期密评实操能力验证培训 - 2025/02/23 下午

  有幸参加了公司安排的豪密科技第 16 期密评实操能力验证培训，本文是第十二课《商用密码应用安全性评估测评实施指引》的培训内容。

概述

  《商用密码应用安全性评估测评实施指引》依据目前已经发布施行的密评相关的国标/行标等技术标准编制。作为测评实施的指导性技术文件，它详细给出了测评实施环节活动内容，提供从测评对象选取、测评方式选择、……

编制依据

1. GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》
2. GM/T 0116-2021《信息系统密码应用测评过程指南》

  《商用密码应用安全性评估测评实施指引》是在这些技术标准要求……

主要内容

  给出技术测评实施与管理测评实施的测评对象：针对 4 个……

  给出取证结果说明：给出不同安全层面典型密码应用场景及其测评实施的证据示例

作用

  对商用密码应用安全性评估的测评实施工作提供指导：

1. 解决测评实施过程的规范性问题。目标：测评取证操作符合测评要求，实施具备规范性。
2. 解决取证结果的准确性问题。目标：取证结果正确……

编制特点

  给出测评实施原则同时，具体给出三种测评方式及使用规则。

  三类测评方式供密评人员在总的测评实施原则下使用，具体应用场景满足使用规则。

  使用规则如下，注意几个关键词：“优先采用”、“较为可靠”、“关键证据”、“较高可靠”

  测评实施总体框架重点：方案编制和现场测评实施流程如下图所示：

          方案编制和和现场测评实施流程图

  给出三类测评方式，由浅入深，可结合系统密码应用实际场景逐步施行。

1. 第一类测评方式主要用于寻找测评线索及辅佐证据使用。
2. 第二类测评方式是主要的测评方式，实施时选择其中……
3. 第三类

  对应测评对象，通用测评实施按 DAK 测评顺序给出：即顺序给出密码使用有效性（D）、密码算法/技术合规性（A）、密钥管理安全（K）测评方法，与目前测评习惯保持一致。

  附录 A：典型密码产品应用测评：进一步细化补充了通用测评实施内容。

  附录 B：不同测评指标的推荐测评方式汇总表：具体给出了不同测评指标下对应推荐测评方式，便于测评人员实施规范性测评。

  附录 C：不同安全层面典型密码……

测评实施新增内容

1. 测评方式
   1. 梳理有效测评方式，将传统测评方式归为两类，将代码审查、试错测试正式列入测评方式第二类。
   2. 新增第三类测评方式，当系统存在密码应用漏洞时，此类方式，尤其其中的主动分析方式，对于发现、验证展示漏洞和风险的证据尤为直观有效。
2. 推荐使用：给出不同测评指标的推荐测评方式汇总表，明确给出不同测评指标下可采用的测评方式，具体给出第三类测评方式适用的测评指标。便于测评人员标准化、规范化实施测评操作。
3. 证据示例：给出不同安全层面典型密码应用场景及其测评实施的证据示例，为测评人员提供了范例样本学习使用。

测评实施难点

代码审查

  掌握几种典型的计算机语言编程方法，成为基本要求：须掌握如 C 语言、java、python 等几种常用的语言编程方法，能正确阅读理解这些语言编制的程序片段，特别是……

  代码审查采用静态审查方式，代码片段选择性提供可能会影响最终结果的研判：密评人员静态审核选择性提供的代码片段，一方面可能由于密评人员代码审查阅读能力受限，未能发现问题；另一方面，也可能由于密评人员与厂商或代码研发人员沟通不畅，密评人员未能获得有问题或漏洞的代码段，造成……

  将开源密码库列入代码审查对象，提高了代码审查的难度：须在熟悉编程语言的基础上，对实际使用的加密算法、分组密码算法的工作模式、保护对象等是否符合预期结果……

  借助 AI 软件工具实施代码审查，仍然需要具备密评技能：目前，开源的 AI 软件工具可以用来辅助代码阅读，甚至，在不熟悉编程语言的情况下，借助 AI 软件可以得到代码段中函数及语句的功能解释，加深对代码段的理解，提高代码审查的效率。但是，AI 软件毕竟还没发展到直接寻找定位代码段密码应用隐含漏洞的程度，密评人员仍然需要具备足够的技能，……

  没发现代码中的漏洞，不等于代码中就一定不存在漏洞：密评人员正确实施代码审查，发现确认代码中存在密码应用漏洞，除了熟练掌握使用常用的编程语言外，须在实践基础上积累成功经验，多学习多实践，不断提高技能……

跟踪测试

  正确理解跟踪测试与配置检查、工具测试、代码审查的区别与联系：前者需要综合应用后者一些测评方式测评过程得到的结果作为线索，进一步实施整个密码保护过程的测试分析。……

  能对提取的证据给出正确的指标符合性判断：对整个密码应用保护过程跟踪测试时，会得到不同阶段的证据，须在综合分析的基础上，研判证据的一致性表现后，给出指标符合性判断。

主动分析

  寻找判定实施主动分析的依据，特别是识别系统存在密码应用漏洞或失效的证据：这项工作需要在大量细致的代码审查、数分析等工作的基础上发掘识别漏洞证据。

  结合实际业务场景判定存在利用证据实施验证的条件：  

  在实际业务场景中设计可实施验证的具体做法，或者在搭建的模拟环境中开展可验证的具体方案：条件具备时，须利用业务环境提供的条件设计实施验证方法，或通过设计搭建……

  目前，主动分析方式多局限于采用对完整性保护数据作篡改测试：广泛开展寻找漏洞，开展分析验证，实施主动分析由于受限实际业务场景，多数不具备验证条件，或条件过于苛刻，一般难以深入开展。但此项技术极具密评特色，且技术含量高，须不断学习实践，研究掌握。对完整性保护数据……

  验证结果的风险判定与给出的切实可行的整改意见或建议：根据验证获得的证据，正确地给出风险判定，针对密码应用保护措施漏洞，提出整改意见或建议，确保……

测评证据不一致时，检查纠错

  不同的测评方式，独立实施测评，实施正确时，提取的证据应该具有一致性，这是由系统密码应用内在逻辑一致性决定的。如果发现不一致，特别是第二类测试方式证据之间不一致时（如配置检查、代码审查、工具测试提取证据表现不一致），须仔细检查，找出原因，澄清问题，再给出测评结论。

  正确的工具测试结果……

学习与使用

  能完整掌握典型示例使用的测评方式，正确获得测评证据。

  针对相同的密码应用场景，相同的密码应用安全保护措施时，能按相同的测评方式完成测评实施，在测评报告中给出正确、清晰的描述。最后，给出对应的测评实施证据，支撑测评结论。

  针对……

  能熟练掌握推荐使用的测评方式实施测评。

1. 第一类测评方式目标：…… 1.
2. 第二类测评方式目标：……
   1. ……
3. 第三类测评方式目标：补充增强配置检查、工具测试、代码审查的测评证据，提供密码应用漏洞或失效的直接证据，为……
4. 主动分析：依据是什么？须具备哪些验证条件，如何判定？如何实施测试验证？
5. 篡改测试（完整性保护）：测试对象是什么？测试条件是否具备？……

  各安全层面不同测评指标推荐测评方式

  技术安全要求层面测评：能熟练掌握汇总表中四个技术安全层面推荐的测评方式，结合实际密码应用场景，判定适用条件，正确实施测评获取关键证据；

  管理安全要求层面测评：能熟练应用第一类测评方式，正确实施测评获取关键证据

  能掌握新推出的测评技术，正确实施测评。

  准确掌握代码审查的测试方式，正确实施测评：能学会利用代码审查方式发现密码应用机制或工程化实现的漏洞，利用实际业务条件验证，正确判定测评结果。

  准确掌握跟踪测试方式，正确实施测评：能学会利用跟踪测试方式发现密码应用机制或工程化实现的漏洞，正确提取关键证据，给出测评结果。

  准确掌握主动分析测试方式，正确实施测评：能学会利用主动分析测试方式发现密码应用机制或工程化实现的漏洞，利用实际业务条件验证，正确判定测评结果。

  注意采用符合测评要求的密评软件工具，提高测评效率

  熟练掌握典型密评数据分析和证据提取软件，高效开展密评工作：密评数据的采集……

  熟练掌握密评报告质量审核辅助处理软件：密评报告质审……