商用密码应用与安全性评估要点笔记（FAQ）

原创

已于 2023-03-11 13:47:39 修改 · 7.8k 阅读

35 ·

CC 4.0 BY-SA版权

文章标签：

#密码学 #网络安全 #系统安全 #安全

于 2023-03-11 13:44:58 首次发布

文章详细阐述了商用密码在信息系统中的应用安全性评估，包括密码应用等级要求、密码产品安全等级、密钥管理、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等多个层面的测评对象和标准。强调了密码产品认证、身份鉴别、数据完整性保护以及风险缓解措施的重要性，并提到了云平台和云上应用的密评责任和范围。

5 商用密码应用安全性评估FAQ汇编

词条	内容
密钥应用基本要求的等级	一般按照信息系统网络安全等级保护的级别确定。对于未完成网络安全等级保护定级的重要信息系统，其密码应用等级至少为第三级。
【宜】测评指标	系统没有密码应用方案或方案未对【宜】指标明确说明，则纳入测评范围。系统有密码应用方案且通过评估。在方案中明确说明了不适用的【宜】指标，且有对应的风险控制措施说明的情况下。测评是应根据实际情况做出合理评估，定为不适用或纳入测评范围。
密码产品中密钥安全符合性判定	密码产品经认证合格核查密码产品的安全等级是否满足相应等级要求（如三级系统要求密码产品二级及以上）核查密码产品的密钥管理机制是否与系统密码应用方案一致；若无密码应用方案，则分析其密钥体系设计是否合理、实现是否正确。密钥在密码产品外出管理是否有相应保护（如密钥在外部数据库中存储/备份/归档时是否进行了机密性和完整性保护）密码产品是否按照产品配套的安全策略文档进行部署和使用信息系统的密钥管理制度是否能够保证该密码产品被正确的部署和使用
物理和环境安全层面测评对象的确定	物理机房（门禁和视频监控）。针对信息系统涉及的所有物理机房，密评人员需现场取证若所在的IDC机房、运营商机房或云服务商机房通过了商用密码应用安全性评估，则可以复用相关测评结论。若...未通过或未展开商用密码应用安全性评估，则需要现场取证。条件不允许的，可要求对应方提供相关说明文件和证据以支撑测评结论。
门禁内置的进出记录数据存储的完整性保护	门禁产品经检测认证的密码产品需门禁厂商提供门禁系统进出记录数据存储完整性保护的相关证据。
网络和通信安全层面测评对象的确定	主要是针对跨网络访问的通信信道（从不受保护的网络区域访问被测系统），可以从从通信主体和网络类型两个方面来确定（网络类型：互联网、政务外网、企业专网等）；通信主体（如服务器/客户端）