中国密码学会密评联委会：商用密码应用安全性评估测评实施指引（128页）.pdf

1、 商用密码应用安全性评估商用密码应用安全性评估 测评实施指引测评实施指引 中国密码学会密评联委会中国密码学会密评联委会 二二四年十一月二二四年十一月 I 目目 次次 前言.III 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.2 5 概述.2 5.1 测评实施原则.2 5.2 测评方式.3 5.3 测评实施规则.4 6 密评测评实施总体框架.4 7 通用测评实施指引.6 7.1 密码使用有效性.6 7.1.1 传输机密性.6 7.1.2 存储机密性.7 7.1.3 传输完整性.8 7.1.4 存储完整性.8 7.1.5 真实性.9 7.1.6 不可否认性.10 7.2

2、密码算法/技术合规性.11 7.2.1 密码算法合规性.11 7.2.2 密码技术合规性.12 7.3 密钥管理安全.13 7.3.1 密码产品合规性.13 7.3.2 密码服务合规性.14 7.3.3 密钥管理安全性.14 8 技术测评实施指引.16 8.1 物理和环境安全.16 8.1.1 测评指标.16 8.1.2 测评对象.16 8.1.3 可能涉及到的访谈人员、文档和测评工具.16 8.1.4 测评实施操作说明.16 8.2 网络和通信安全.17 8.2.1 测评指标.17 8.2.2 测评对象.17 8.2.3 可能涉及到的访谈人员、文档和测评工具.17 8.2.4 测评实施操作说

3、明.17 8.3 设备和计算安全.19 8.3.1 测评指标.19 8.3.2 测评对象.19 8.3.3 可能涉及到的访谈人员、文档和测评工具.19 8.3.4 测评实施操作说明.19 II 8.4 应用和数据安全.21 8.4.1 测评指标.21 8.4.2 测评对象.21 8.4.3 可能涉及到的访谈人员、文档和测评工具.22 8.4.4 测评实施操作说明.22 9 管理测评实施指引.26 9.1 管理制度.26 9.1.1 密码应用安全管理制度.26 9.1.2 密钥管理规则.26 9.1.3 操作规程.27 9.1.4 安全管理制度.27 9.1.5 管理制度发布流程.28 9.1.

4、6 制度执行过程记录.28 9.2 人员管理.29 9.2.1 密码相关法律法规和密码管理制度.29 9.2.2 密码应用岗位责任制度.29 9.2.3 上岗人员培训制度.31 9.2.4 安全岗位考核.31 9.2.5 关键岗位人员保密制度.32 9.3 建设运行.32 9.3.1 密码应用方案.32 9.3.2 密钥安全管理策略.33 9.3.3 实施方案.34 9.3.4 投入运行前的密码应用安全性评估.34 9.3.5 投入运行后的密码应用安全性评估.35 9.4 应急处置.35 9.4.1 应急策略.35 9.4.2 事件处置.36 9.4.3 处置情况上报.37 附录 A（规范性）

5、典型密码产品应用测评.38 附录 B（资料性）不同测评指标的推荐测评方式汇总表.43 附录 C（资料性）不同安全层面典型密码应用场景及其测评实施的证据示例.46 III 前言 商用密码应用安全性评估工作已成为法定要求，测评实施过程的规范性直接决定着评估结论的可靠性。在实际测评中，评估方1可根据GB/T 43206-2023信息安全技术 信息系统密码应用测评要求 自行采用恰当的测评实施方法开展商用密码应用安全性评估工作，也可参考本文件提供的测评实施方法开展相关工作。由于信息系统安全是体系化安全，不局限于密码应用安全，且密码应用安全性可能存在各种错综复杂的问题，本文件中难免存在不尽完善之处，因此评

6、估方需在参考本文件的同时，结合信息系统密码应用实际情况和自身经验完成测评实施工作。本文件不对商用密码应用安全性评估过程规范性和最终结果负责。本文件由中国密码学会密评联委会提出并归口。本文件起草单位：中国科学院数据与通信保护研究教育中心、国家信息技术安全研究中心、道普信息技术有限公司、西北工业大学、商用密码检测认证中心、中科安永科技有限公司、成都创信华通信息技术有限公司、北京市产品质量监督检验研究院、中国电子科技集团公司第十五研究所（信息产业信息安全测评中心）、智巡密码（上海）检测技术有限公司、公安部第三研究所、国家广电总局广播电视科学研究院、深圳市网安计算机安全检测技术有限公司、江苏省电子信息