商用密码应用安全性评估 FAQ 中国密码学会密评联委会 首次发布日期：2021年12月 最近更新日期：2021年12月 目录 1.信息系统密码应用基本要求的等级 2.应、宜、可测评指标把握. 3.经认证合格的密码产品中的密钥安全符合性判定 4.物理和环境安全层面的测评对象识别和确定 5.网络和通信安全层面的测评对象识别与确定， 6.设备和计算安全层面的测评对象. 7.设备和计算安全层面测评对象选取粒度 8.远程管理通道安全. 9.合规密码产品身份鉴别、完整性相关指标的判定. 10.设备和计算安全层面的身份鉴别 11.应用和数据安全层面的测评对象识别与确定 12.访问控制信息的具体含义 13.缺少密码应用方案的合规性判定， 14.商用密码产品认证证书过期的合规性判定 15.具有认证证书型号的商用密码产品对应的模块等级 16.有缓解措施的高风险判定 10 17.报告中对于高风险缓解措施的体现， 18.双活机房的通信链路合规性判定 11 19.云平台测评的责任和范围.. 12 20.云平台和云上应用的测评方式和测评结论复用方式 12 21.面向公众等网站的测评， 15 22.如何编写涉及应用和数据安全层面的测评内容报告 说明 本文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解 答，以帮助相关人员更好的开展商用密码应用安全性评估工作。 本文件内容仅供参考，最终应以相关政策法规和标准规范为准。 编辑：张立花、肖秋林、郑防昱、贾世杰、黎水林、王勇、范佳奇、刘健、刘军荣、冀 利刚、杨宏志、李晨旸 审核：阎亚龙、马原、秦小龙、汪宗斌、罗鹏 本文件内容定期迭代更新发布，版本信息通过文件发布及更新日期记录表连续记录。 有关间题和建议，可发送邮件至mplwh@cacrnet.org.cn。 文件发布及更新日期记录表 首次发布日期 2021年12月 第一次更新日期 第二次更新日期 . 1.信息系统密码应用基本要求的等级 ·背景： GB/T397862021《信息安全技术信息系统密码应用基本要求》对信息系统密码应用 要求，提出密码保障能力遂级增强的要求，用一、二、三、四、五表示。其中，从密码算法、 密码技术、密码产品和密码服务的合规性方面，提出了第一级到第五级的密码应用通用要求， 从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技 术层面提出了第一级到第四级的密码应用技术要求，并从管理制度、人员管理、建设运行和 应急处置四个方面提出了第一级到第四级的密码应用管理要求。 ·问题： 如何确定被测信息系统密码应用等级？ ·解答： GB/T39786一2021中的密码应用等级一般由网络安全等级保护的级别确定。信息系统根 据GB/T22240一2020《信息安全技术网络安全等级保护定级指南》确定等级保护级别时， 同步对应确定密码应用等级，即等保定级为第一级的网络与信息系统应遵循GB/T39786第 级密码应用基本要求，等保定级为第二级的网络与信息系统应遵循GB/T39786第二级密 码应用基本要求，以此类推。对于未完成网络安全等级保护定级的重要信息系统，其密码应 用等级至少为第三级。 2.应、宜、可测评指标把握 ·背景： GB/T39786对密码应用各项指标要求的力度，主要通过应"%宜"可"加以区分，具体实 施时，需把握哪些是必须实现的、哪些是可以自行把握的。在“应"“宜”可”三个指标中，“可” 和应"的含义明确，但“宜”含义，在GB/T39786中有其特殊性。 . 问题： 在密评实施中，如何理解和把握“宜”的指标要求？ ·解答： 依据GM/T0115《信息系统密码应用测评要求》，据信息系统的密码应用方案和方案评 估报告/评审意见，决定是否将“宜”的指标要求纳入标准符合性测评范围，具体如下： （1）若信息系统未编制密码应用方案或在方案中未对“宜"的指标要求做明确说明，则 “宜”的指标要求纳入标准符合性测评范围。 （2）若信息系统编制了密码应用方案，且方案通过评估，方案中明确了不适用的“宜” 的指标要求项，且有对应的风险控制措施说明的情况下。密评人员在测评时，应根据信息系 统的密码应用方案和方案评估报告/评审意见，核实方案中的不适用指标要求项所采用的风 险控制措施的适用条件，在实际的信息系统中是否被满足，且信息系统的实施情况与方案中 1