1.信息系统密码应用测评要求.pdf_密码测评的对象有哪些资源-CSDN下载

密码测评

5星 · 超过95%的资源需积分: 50 12 浏览量 2020-12-09 08:29:02 上传评论 3 收藏 808KB PDF 举报

资源推荐

资源详情

资源评论

信息系统密码应用测评要求

中国密码学会密评联委会

二〇二〇年十二月

 
I 
 
目  录 
范围 ............................................................................................................................................................ - 1 - 
规范性引用文件 ........................................................................................................................................ - 1 - 
术语和定义 ................................................................................................................................................ - 1 - 
概述 ............................................................................................................................................................ - 1 - 
通用测评要求 ............................................................................................................................................ - 3 - 
1  密码算法和密码技术合规性 ............................................................................................................. - 3 - 
2  密钥管理安全性 ................................................................................................................................. - 3 - 
密码应用测评要求 .................................................................................................................................... - 4 - 
1  物理和环境安全 ................................................................................................................................. - 4 - 
2  网络和通信安全 ................................................................................................................................. - 5 - 
3  设备和计算安全 ................................................................................................................................. - 7 - 
4  应用和数据安全 ............................................................................................................................... - 10 - 
5  管理制度 ........................................................................................................................................... - 14 - 
6  人员管理 ........................................................................................................................................... - 16 - 
7  建设运行 ........................................................................................................................................... - 19 - 
8  应急处置 ........................................................................................................................................... - 21 - 
整体测评要求 .......................................................................................................................................... - 22 - 
1  概述 ................................................................................................................................................... - 22 - 
2  单元间测评 ....................................................................................................................................... - 23 - 
3  层面间测评 ....................................................................................................................................... - 23 - 
风险分析和评价 ...................................................................................................................................... - 23 - 
测评结论 .................................................................................................................................................. - 23 - 
附录 A（资料性） 密钥生存周期管理检查要点 ..................................................................................... - 24 - 
附录 B（资料性） 典型密码产品应用测评技术 ..................................................................................... - 28 - 
附录 C（资料性） 典型密码功能测评技术 ............................................................................................. - 30 - 
参考文献 ...................................................................................................................................................... - 32 - 
 
 

- 1 -

信息系统密码应用测评要求

1 范围

本文件规定了信息系统不同等级密码应用的测评要求，从密码算法和密码技术合规性、密钥管理安

全性方面，提出了第一级到第五级的密码应用通用测评要求；从信息系统的物理和环境安全、网络和通

信安全、设备和计算安全、应用和数据安全等四个技术层面提出了第一级到第四级密码应用技术的测评

要求；从管理制度、人员管理、建设运行和应急处置等四个管理方面提出了第一级到第四级密码应用管

理的测评要求。

本文件适用于指导、规范信息系统密码应用在规划、建设、运行环节的商用密码应用安全性评估工

作。

注：第五级密码应用测评要求只在本文件中描述通用测评要求。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T 37092 信息安全技术密码模块安全要求

GB/T AAAAA 信息安全技术信息系统密码应用基本要求

GM/Z 4001 密码术语

3 术语和定义

GB/T AAAAA和GM/Z 4001中界定的相关术语和定义，以及下列术语和定义适用于本文件。

3.1

商用密码应用安全性评估人员 commercial cryptography application security evaluation

staff

是指商用密码应用安全性评估机构中从事商用密码应用安全性评估的人员，简称“密评人员”。

3.2

核查 examine

密评人员对测评对象进行观察、查验和分析，以帮助密评人员理解、澄清或取得证据的过程。

4 概述

本文件根据GB/T AAAAA，将信息系统密码应用测评要求分为通用测评要求和密码应用测评要求。其

中，第5章通用测评要求对“密码算法和密码技术合规性”和“密钥管理安全性”提出测评要求，适用

于第一级到第五级的信息系统密码应用测评。第6章密码应用测评要求，对信息系统的物理和环境安全、

网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级密码应用技术

- 2 -

的测评要求，并对管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级密码应用

管理的测评要求。

本文件第5章通用测评要求的内容不单独实施测评，也不单独体现在密码应用安全性评估报告的单

元测评结果和整体测评结果中，仅供第6章密码应用测评要求的测评实施引用。资料性附录A密钥生存周

期管理检查要点供第6.7.2节“制定密钥安全管理策略”的测评实施参考。资料性附录B给出了典型密码

产品应用测评技术，资料性附录C给出了典型密码功能测评技术，供密评人员在对信息系统中具体使用

的密码产品或应用的密码功能进行测评实施时参考。

本文件中的测评单元对应一组相对独立和完整的测评内容，由测评指标、测评对象、测评实施和结

果判定组成。

a) 测评指标：来源于 GB/T AAAAA 中各级的要求项；

b) 测评对象：信息系统密码应用测评过程中不同测评方法作用的对象，包括相关配套密码产品、

通用设备、人员、制度文档等；

c) 测评实施：针对某个测评指标，规定了信息系统密码应用的测评要点；

d) 结果判定：根据测评实施取得的证据，判定信息系统的密码应用是否满足某个测评指标要求的

方法和原则。

若测评单元涉及两个及以上测评对象，则每个测评对象需要分别进行测评实施并结果判定。测评单

元的结果由该单元涉及的所有测评对象的测评实施结果汇总得出。

密评人员在开展实际测评时，对于GB/T AAAAA中的不同安全保护等级的“可”“宜”“应”的条款，

按照如下方法确定是否将其纳入测评范围。

——对于“可”的条款，由信息系统责任单位自行决定是否纳入标准符合性测评范围。若纳入测评

范围，则密评人员应按照第6章相应的测评指标要求进行测评和结果判定；否则，该测评指标

为“不适用”。

——对于“宜”的条款，密评人员根据信息系统的密码应用方案和方案评审意见决定是否纳入标准

符合性测评范围；若信息系统没有通过评估的密码应用方案或密码应用方案未做明确说明，则

“宜”的条款默认纳入标准符合性测评范围。若纳入测评范围，则密评人员应按照第6章相应

的测评指标要求进行测评和结果判定。否则，密评人员应根据信息系统的密码应用方案和方案

评审意见，在测评中进一步核实密码应用方案中所描述的风险控制措施使用条件在实际的信息

系统中是否被满足，且信息系统的实施情况与所描述的风险控制措施是否一致，若满足使用条

件，该测评指标为“不适用”，并在密码应用安全性评估报告中体现核实过程和结果；若不满

足使用条件，则应按照第6章相应的测评指标要求进行测评和结果判定。

——对于“应”的条款，密评人员应按照第5章和第6章相应的测评指标要求进行测评和结果判定；

若根据信息系统的密码应用方案和方案评审意见，判定信息系统确无与某项或某些项测评指标

相关的密码应用需求，则相应测评指标为“不适用”。

根据信息系统的密码应用方案和方案评审意见，若通过评估的密码应用方案中的要求，高于信息系

统相对应的密码应用基本要求等级的指标要求，则应按照密码应用方案中的要求进行测评。例如，根据

密码应用需求，对安全保护等级第三级的信息系统，选取了安全保护等级第四级信息系统的相关指标要

求。对上述特殊情况进行测评实施的结论应体现在密码应用安全性评估报告中。

信息系统的商用密码应用测评的最终输出是密码应用安全性评估报告，在报告中应给出各个测评单

元（见第 6 章）的测评结果、整体测评结果（见第 7 章），以及在进行风险分析和评价（见第 8 章）后

给出的测评结论（见第 9 章）。其中，整体测评结果是以测评单元的判定结果为基础，经单元间、层面

间测评相互弥补后得出的纠正结果；风险分析和评价是对整体测评结果中的不符合项和部分符合项，判

断信息系统密码应用在合规性、正确性和有效性方面的不符合所产生的安全问题被威胁利用后对信息系

- 3 -

统造成影响的程度；测评结论是由综合得分以及风险分析和评价共同决定，表示信息系统达到相应密码

等级保护要求的程度。

5 通用测评要求

5.1 密码算法和密码技术合规性

具体测评单元如下：

a) 测评指标

 信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有

关要求。（第一级到第五级）

 信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。（第一级到第五级）

b) 测评对象

信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现。

c) 测评实施

了解系统使用的算法名称、用途、何处使用、执行设备及其实现方式（软件、硬件或固件），

核查密码算法是否以国家标准或行业标准形式发布，或取得国家密码管理部门同意其使用的证

明文件。核查系统所使用的密码技术是否以国家标准或行业标准形式发布。

d) 结果判定

本单元测评指标不单独判定符合性。

5.2 密钥管理安全性

具体测评单元如下：

a) 测评指标

 信息系统中使用的密码产品、密码服务应符合法律法规的相关要求。（第一级到第五级）

 采用的密码产品，达到 GB/T 37092 一级及以上安全要求。（第二级）

 采用的密码产品，达到 GB/T 37092 二级及以上安全要求。（第三级）

 采用的密码产品，达到 GB/T 37092 三级及以上安全要求。（第四级）

 采用的密码服务，符合法律法规的相关要求，需依法接受检测认证的，应经商用密码认证

机构认证合格。（第一级到第四级）

b) 测评对象

信息系统中的密钥体系，以及相应的密码产品、密码服务以及密码算法实现和密码技术实现。

c) 测评实施

1) 核查信息系统中密钥体系中的密钥（除公钥外）是否不能被非授权的访问、使用、泄露、

修改和替换，公钥是否不能被非授权的修改和替换；

2) 核查信息系统中用于密钥管理和密码计算的密码产品是否符合法律法规的相关要求，需

依法接受检测认证的，核查是否经商用密码认证机构认证合格；了解密码产品的型号和

版本等配置信息，核查密码产品是否符合 GB/T 37092 相应安全等级及以上安全要求，并

核查密码产品的使用是否满足其安全运行的前提条件，如其安全策略或使用手册说明的

部署条件；

3) 核查信息系统中用于密钥管理和密码计算的密码服务是否符合法律法规的相关要求，需

依法接受检测认证的，核查是否经商用密码认证机构认证合格。

d) 结果判定

剩余33页未读，继续阅读

评论收藏

内容反馈

yiyi分析亲密关系

2023-07-25

作者在文件中提供了一些实例和案例，帮助读者更好地理解和应用信息系统密码测试的要求。
王者丶君临天下

2023-07-25

这份文件从不同角度对信息系统密码应用的测评要求进行了探讨，对于提高信息系统的安全性有一定指导意义。
耄先森吖

2023-07-25

文档详细介绍了信息系统密码应用的测评要求，对于保障信息系统的安全性起到了积极作用。
不能汉字字母b

2023-07-25

这份文件提供了很多关于信息系统密码应用测试的实用指南，对于了解密码安全有很大帮助。
首席程序IT

2023-07-25

这份文件内容简明扼要，能够帮助读者快速理解信息系统密码应用的相关概念和要求。

fdx8687320

粉丝: 2

1.信息系统密码应用测评要求.pdf

信息安全技术 信息系统密码应用基本要求.pdf

信息系统密码应用测评要求.pdf

国家密码局 密评资料 GM:T 0054 信息系统密码应用基本要求.pdf

信息系统密码应用基本要求使用

信息安全技术-信息系统密码应用基本要求

信息系统密码应用测评要求.rar

2.信息系统密码应用测评过程指南.pdf

GMT 0054-2018 信息系统密码应用基本要求.pdf

信息安全技术 信息系统密码应用基本要求(征求意见稿).doc

信息系统测评相关要求.pdf

信息系统密码应用测评过程指南.pdf

信息系统密码应用高风险判定指引.pdf

3.信息系统密码应用高风险判定指引.pdf

金融行业信息系统商用密码应用 最新标准

商用密码应用安全性评估量化评估规则.pdf

商用密码应用安全性测评机构能力要求.pdf

GMT 0054-2018 信息系统 密码应用基本要求.pdf

信息安全技术-信息系统密码应用基本要求39786-2021.pdf

商用密码应用安全性评估测评过程指南-试行.doc.doc

密码测评指引文件.zip

商用密码应用安全性评估测评过程指南（试行).pdf

自动测试密码强度(2种方法)

商用密码应用安全性评估管理办法（试行）.pdf

常见的限流方式

数据库与专家系统应用：DEXA 2002精华

最新资源

信息安全技术信息系统密码应用基本要求.pdf

国家密码局密评资料 GM:T 0054 信息系统密码应用基本要求.pdf

信息安全技术信息系统密码应用基本要求(征求意见稿).doc

金融行业信息系统商用密码应用最新标准

GMT 0054-2018 信息系统密码应用基本要求.pdf