当前位置:首页 > 相关知识

商用密码安全性评估量化评估规则解读

  时间:   来源:
【字体: 】【打印】 【关闭
  2024商用密码应用安全性评估会议在京举行,推动密评工作。新修订的《量化评估规则》更科学地评估商用密码应用,强调密码算法合规性和密钥管理安全,促进密码事业发展。

  2024年5月8日至10日,由中国密码学会商用密码应用安全性评估联合委员会(简称“密评联委会”)主办的“2024商用密码应用安全性评估技术交流会议”在北京成功举办。本次会议对密评政策与标准宣传普及和实践能力提升起到了积极的推动作用。商用密码应用安全性评估(以下简称“密评”)作为加强和规范商用密码应用的重要抓手,愈发受到全社会的关注和重视,密评相关的法律法规、标准和指导文件也不断迭代更新,日趋完善。为更好、更快地推动密评工作的开展,本文将对2023年7月新修订的《商用密码应用安全性评估量化评估规则》进行梳理解析,探讨新的量化评估规则对密评过程和结果的影响。

  背景介绍

  01密评的概念和测评流程

  商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。开展密评能发现网络和信息系统中商用密码应用存在的问题和不足,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理,确保商用密码在网络和信息系统中正确有效地使用,切实构建起坚实可靠的网络安全密码屏障。密评主要分为4个阶段:测评准备阶段、方案编制阶段、现场测评阶段、分析与报告编制阶段,整体流程如下图所示:

  02密评的量化评估规则

  密评的量化评估使得信息系统的密码应用情况以分数的形式展现出来,能够更加客观直接地反映信息系统的密码应用现状,更准确地评价出信息系统密码应用的优势和不足。同时,在一定程度上也能提高密评工作的公平、公正及效率。密评的量化评估可分为4个步骤:各测评对象的测评结果量化评估、测评单元的测评结果量化评估、安全层面的测评结果量化评估和整体测评结果量化评估。其中,整体测评结果量化评估结果是由物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置8个安全层面的量化评估结果按一定的权重分配计算所得。以物理和环境安全层面为例,其测评结果量化评估过程如下图所示,其他层面的量化评估过程以此类推。

  02新旧量化评估规则对比

  01测评对象测评结果量化评估

  测评对象的测评结果量化评估主要从密码使用有效性、密码算法/技术合规性和密钥管理安全3个方面进行综合评估。

  与 2021 版《商用密码应用安全性评估量化评估规则》相比,2023 版本在各测评对象的测评结果量化评估规则中增加了密码算法/技术合规性修正参数Ra和密钥管理安全修正参数其中Rk。其中,Ra的取值由所使用的密码算法的安全强度决定;Rk的取值由是否使用相应等级密码模块和密钥管理的安全性决定。以三级系统为例,修订前后各测评对象的测评结果量化评估分值对比如下表所示。

  修订后的《商用密码应用安全性评估量化评估规则》对各测评对象的测评结果量化评估更加科学和严谨,能更合理地指导商用密码应用安全性评估工作,提高密评工作的准确率。

  02整体测评结果量化评估

  比于 2021 版《商用密码应用安全性评估量化评估规则》,2023 版中将整体测评结果量化评估分值的计算拆分为密码应用技术要求和密码应用管理要求两个部分的加权求和。

  当信息系统的8个安全层面中存在某个安全层面的测试指标均不适用时,信息系统依据2023版《商用密码应用安全性评估量化评估规则》计算得到的整体测评结果量化评估分值在一般情况下会略低于2021版的分值。随着系统密码安全应用水平的提高,分值的相对误差会逐步降低。实际上,《商用密码应用安全性评估量化评估规则》修订前后对类似系统A和系统C的信息系统的整体评估结论无较大影响。但对于类似系统B的信息系统的整体评估结论可能有决定性的影响。

  假设系统B在2022年通过了商用密码应用安全性评估,系统综合得分为61.26分(阈值为60分,系统无高风险项),评估结论为基本符合。若该系统后期不存在密码应用整改情况,则系统B在2023年商用密码应用安全性评估的综合得分为59.59分,评估结论为不符合。这也提醒了类似系统B的责任单位,按照2021版《商用密码应用安全性评估量化评估规则》低分通过密评的信息系统,仍然需要进一步进行密码应用建设,提高密码应用的合规性、正确性和有效性,才能保证系统顺利通过之后的商用密码应用安全性评估。

  03结语

  随着商用密码在涉及国家安全和社会公共利益的重要网络与信息系统中的广泛应用,依托密评工作保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益变得愈发重要。本文通过具体的密评实例,对《商用密码应用安全性评估量化评估规则》修订前后各测评对象的测评结果量化评估分值和整体测评结果量化评估分值进行了对比分析,修订后的《商用密码应用安全性评估量化评估规则》为信息系统的密评提供了更加科学的评价依据,通过对不同强度密码算法、不同密码模块等级进行进一步区分已达到更细粒度化的量化评估,更合理地指导信息系统密评过程中量化评估结果的获取,鼓励使用认证合格的高等级密码模块和安全强度更高的密码算法和技术,进一步促进了商用密码安全有效地应用,助力商用密码事业的发展走深向实。