商用密码应用安全性评估FAQ（第四版）_64页_1mb

> **来源：[研报客](https://pc.yanbaoke.cn)** # 商用密码应用安全性评估（第四版）总结 ## 核心内容概述 《商用密码应用安全性评估》第四版是对商用密码应用安全性评估工作中常见问题的解答与整理，旨在帮助评估人员更好地理解和执行相关标准。文档内容涵盖通用类、技术类、管理类、整体测评类、量化评估类、风险判定类和特殊场景类七大类，内容全面，适用于信息系统密码应用的合规性判定、测评对象识别、风险分析、量化评估等场景。 --- ## 主要观点与关键信息 ### 一、通用类 1. **信息系统密码应用等级确定** - 信息系统密码应用等级通常与网络安全等级保护定级一致。 - 若未完成定级备案，优先按拟定等级进行评估，但需确保与后期备案等级一致。 - 对于高安全需求或特殊要求的信息系统，可采用高于等保定级的密码应用等级。 2. **商用密码产品模块等级判定** - 对于未标注密码模块安全等级的密码产品，需根据产品换证情况判断。 - 2020年换证产品，若未标注等级，需根据原型号证书进行判定。 - 新发认证证书产品，需根据《商用密码产品认证目录》进行判定。 - 2025年7月1日后，商用密码产品认证证书必须由商用密码检测认证中心颁发。 3. **密码产品合规性与密钥安全判定** - 密码产品的合规性需与密码应用方案一致，且需满足相应等级的密码模块安全要求。 - 若系统无密码应用方案或密钥管理机制不一致，需分析其密钥体系设计是否合理。 - 密钥管理需考虑其存储、备份、归档的安全性，且需符合产品配套的安全策略文档。 4. **代码实现数据机密性与完整性判定** - 自研软件实现密码功能时，若无法提供安全性证明，视为“不符合”。 - 使用第三方开源密码库时，若其无安全问题且使用正确，可酌情判定为“部分符合”。 5. **组合密码算法的量化评估** - 组合算法中，以安全强度最高的算法作为判定依据。 - 需结合密钥管理、算法实现正确性进行综合分析。 6. **分期改造系统的测评** - 测评范围与系统是否分期改造无关，应根据定级范围和密码应用需求选取所有适用测评指标。 7. **已有密码应用方案的注意事项** - 实际建设情况与方案不一致时，需核查并依据实际情况进行判定。 - 密码应用方案需作为参考，但最终以实际测评结果为准。 8. **自建CA签发数字证书合规性** - 自建CA签发证书无需《电子认证服务使用密码许可证》。 - 自建CA所使用的密码产品需具有商用密码产品认证证书，且安全等级需与信息系统一致。 9. **无改造和管理权限接口的测评** - 即使无权限，也不能将该接口判定为“不适用”。 - 需结合实际安全控制措施进行判定，必要时采用非关键证据。 --- ### 二、密码应用技术类 #### （一）物理和环境安全 10. **测评对象识别** - 测评对象为信息系统所在物理机房的电子门禁系统和视频监控系统。 - 若系统部署在非本单位管辖的机房，需复用其密评报告或现场取证。 11. **电子门禁数据存储完整性测评** - 对于符合GM/T0036标准的门禁系统，需核查其是否采用密码技术进行数据完整性保护。 - 需提供相关证据，如检测报告和实现说明。 #### （二）网络和通信安全 12. **测评对象识别与确定** - 测评对象为跨网络访问的通信信道，如互联网、政务外网、企业专网等。 - 举例说明了不同通信主体和网络环境下的测评对象选取。 13. **身份鉴别指标** - 单向身份鉴别可判定为“部分符合”，但需注意客户端的密码算法实现风险。 - 双向身份鉴别需确保客户端具备合规认证，否则判定为“不符合”。 14. **安全接入认证与身份鉴别的区别** - “身份鉴别”适用于跨网络通信前的实体身份验证。 - “安全接入认证”适用于设备物理接入前的身份验证。 #### （三）设备和计算安全 15. **测评对象识别** - 测评对象包括通用服务器、数据库系统、堡垒机、整机类密码产品等。 - 未使用密码功能的网络设备不作为测评对象。 16. **测评对象选取粒度** - 对于通用服务器，以相同软硬件配置为粒度。 - 对于整机类密码产品，以相同认证证书编号为粒度。 17. **设备和计算安全层面的身份鉴别** - 若设备仅支持本地运维，可判定“远程管理通道安全”为不适用。 - 若未采用密码技术进行身份鉴别，则判定为“不符合”。 18. **远程管理通道安全测评要点** - 避免与网络和通信安全层面重复测评。 - 测评内容包括接入内网后的管理通道。 19. **合规密码产品判定** - 对于安全等级二级及以上产品，可判定为“符合”。 - 对于安全等级一级产品，需结合检测证书进行判定。 #### （四）应用和数据安全 20. **测评对象识别** - 测评对象包括关键业务应用和重要数据。 - 关键数据包括鉴别数据、重要业务数据、个人敏感信息等。 21. **第三方身份认证系统测评** - 已通过密评的第三方系统可复用其测评结果。 - 未通过密评的第三方系统需进行延伸测评。 22. **数据存储机密性与完整性保护** - 对于未加密但整体加密实现“无感”保护的情况，需重点关注加密过程的安全性。 - 生产数据与备份数据需分别测评，若数据一致性未达标，需分别处理。 23. **存储机密性问题** - 未对数据内容加密而采用整体加密方式时，需关注加密算法的安全性。 - 需核查加密实现是否符合标准要求。 --- ### 三、密码应用管理类 24. **访问控制信息的含义** - 访问控制信息包括身份鉴别、权限管理、操作审计等。 - 需结合实际应用情况判断其是否适用。 25. **跨网络调用密码资源测评** - 需结合《信息系统密码应用高风险判定指引》进行风险判定。 - 需核查跨网络通信的安全性。 --- ### 四、整体测评类 26. **测评对象间的弥补场景** - 测评对象之间可进行弥补，但需满足特定条件。 - 例如，若测评对象A在某些方面优于B，可酌情弥补。 --- ### 五、量化评估类 27. **密码使用有效性D项判定** - 若使用了安全强度不足的算法，需依据《量化评估规则》进行判定。 - 举例说明了不同算法的量化评估标准。 --- ### 六、风险判定类 28. **有缓解措施的高风险判定** - 缓解措施不影响风险等级和测评结论，但可作为风险缓解依据。 - 需结合《高风险判定指引》进行判定。 29. **应用层身份鉴别与网络层高风险缓解** - 应用层身份鉴别不能缓解网络层身份鉴别的高风险。 - 需注意区分两者在测评中的作用。 30. **高风险适用性** - 需结合系统实际使用情况，判断是否适用“适用时”要求。 31. **使用高风险算法的合规判定** - 若非高风险指标使用了高风险算法，需判定为“不符合”。 - 需结合密码使用场景和算法强度进行综合分析。 --- ### 七、特殊场景类 32. **云平台测评责任与范围** - 云平台若已通过密评，其测评结论可被云上应用复用。 - 云平台测评需与云上应用测评相结合。 33. **云平台与云上应用的测评方式** - 云平台和云上应用的测评方式不同，但测评结论可复用。 - 若云平台未复评，需重新评估其安全性。 34. **面向公众等网站的测评** - 需考虑其密码应用方案和系统安全需求。 - 例如，部分网站可能未部署密码产品，需结合实际情况进行判定。 35. **特殊系统的测评对象选取** - 对于纯网络系统，需考虑网络管理相关应用和重要数据。 - 用户面通道可不作为测评对象。 36. **密码应用成熟度极低系统的测评** - 对于未部署密码产品或密码应用成熟度极低的系统，需考虑其管理措施和风险缓解。 - 若无密码应用方案，其密码应用等级至少为第三级。 37. **特定行业或特殊需求系统的测评** - 若行业标准与GB/T39786-2021不一致，需结合行业标准进行测评。 - 需确定测评指标、量化评估和风险判定的依据。 --- ## 总结 本文件为商用密码应用安全性评估提供了全面的指导，涵盖从通用要求到特殊场景的多个方面。其核心在于： - 明确密码应用等级与网络安全等级保护等级的对应关系； - 指导密码产品的合规性、密钥管理、数据机密性与完整性保护的判定； - 强调对第三方系统、自建CA、云平台、特殊场景的测评注意事项； - 提供量化评估与风险判定的规则和方法； - 强调测评对象识别、测评粒度、避免重复测评等技术要点。 整体内容结构清晰，适用于信息系统建设、运行及密评机构的测评工作。