商用密码应用安全性评估FAQ-中国密码学会密评联委会-202112.pdfVIP

商用密码应用安全性评估

FAQ

中国密码学会密评联委会

首次发布日期：2021年12月

最近更新日期：2021年12月

1

目录

1.信息系统密码应用基本要求的等级1

2.应、宜、可测评指标把握1

3.经认证合格的密码产品中的密钥安全符合性判定2

4.物理和环境安全层面的测评对象识别和确定2

5.网络和通信安全层面的测评对象识别与确定3

6.设备和计算安全层面的测评对象5

7.设备和计算安全层面测评对象选取粒度5

8.远程管理通道安全6

9.合规密码产品身份鉴别、完整性相关指标的判定7

10.设备和计算安全层面的身份鉴别7

11.应用和数据安全层面的测评对象识别与确定8

12.访问控制信息的具体含义8

13.缺少密码应用方案的合规性判定9

14.商用密码产品认证证书过期的合规性判定9

15.具有认证证书型号的商用密码产品对应的模块等级9

16.有缓解措施的高风险判定10

17.报告中对于高风险缓解措施的体现10

18.双活机房的通信链路合规性判定11

19.云平台测评的责任和范围12

20.云平台和云上应用的测评方式和测评结论复用方式12

21.面向公众等网站的测评15

22.如何编写涉及应用和数据安全层面的测评内容报告15

2

说明

本文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解

答，以帮助相关人员更好的开展商用密码应用安全性评估工作。

本文件内容仅供参考，最终应以相关政策法规和标准规范为准。

编辑：张立花、肖秋林、郑昉昱、贾世杰、黎水林、王勇、范佳奇、刘健、刘军荣、冀

利刚、杨宏志、李晨旸

审核：阎亚龙、马原、秦小龙、汪宗斌、罗鹏

本文件内容定期迭代更新发布，版本信息通过文件发布及更新日期记录表连续记录。

有关问题和建议，可发送邮件至mplwh@。

文件发布及更新日期记录表

首次发布日期2021年12月

第一次更新日期

第二次更新日期

……

3

1.信息系统密码应用基本要求的等级

背景：

GB/T39786—2021《信息安全技术信息系统密码应用基本要求》对信息系统密码应用

划分为自低向高的五个等级，参照GB/T22239的等级保护对象应具备的基本安全保护能力

要求，提出密码保障能力逐级增强的要求，用一、二、三、四、五表示。其中，从密码算法、

密码技术、密码产品和密码服务的合规性方面，提出了第一级到第五级的密码应用通用要求，

从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技

术层面提出了第一级到第四级的密码应用技术要求，并从管理制度、人员管理、建设运行和

应急处置四个方面提出了第一级到第四级的密码应用管理要求。

问题：

如何确定被测信息系统密码应用等级？

解答：

GB/T39786—2021中的密码应用等级一般由网络安全等级保护的级别确定。信息系统根

据GB/T22240—2020《信息安全技术网络安全等级保护定级指南》确定等级保护级别时，

同步对应确定密码应用等级，即等保定级为第一级的网络与信息系统应遵循GB/T39786第

一级密码应用基本要求，等保定级为第二级的网络与信息系统应遵循GB/T39786第二级密

码应用基本要求，以此类推。对于未完成网络安全等级保护定级的重要信息系统，其密码应

用等级至少为第三级。

2.应、宜、可测评指标把握

背景：

GB/T