2020-信息系统密码应用测评要求

信息系统密码应用测评要求中国密码学会密评联委会二〇二〇年十二月目录 1 范围 ............................................................................................................................................................ - 1 2 规范性引用文件 ........................................................................................................................................ - 1 3 术语和定义 ................................................................................................................................................ - 1 4 概述 ............................................................................................................................................................ - 1 5 通用测评要求 ............................................................................................................................................ - 3 5.1 密码算法和密码技术合规性 ............................................................................................................. - 3 5.2 密钥管理安全性 ................................................................................................................................. - 3 6 密码应用测评要求 .................................................................................................................................... - 4 6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 物理和环境安全 ................................................................................................................................. - 4 网络和通信安全 ................................................................................................................................. - 5 设备和计算安全 ................................................................................................................................. - 7 应用和数据安全 ............................................................................................................................... - 10 管理制度 ........................................................................................................................................... - 14 人员管理 ........................................................................................................................................... - 16 建设运行 ........................................................................................................................................... - 19 应急处置 ........................................................................................................................................... - 21 - 7 整体测评要求 .......................................................................................................................................... - 22 7.1 概述 ................................................................................................................................................... - 22 7.2 单元间测评 ....................................................................................................................................... - 23 7.3 层面间测评 ....................................................................................................................................... - 23 8 风险分析和评价 ...................................................................................................................................... - 23 9 测评结论 .................................................................................................................................................. - 23 附录 A（资料性）密钥生存周期管理检查要点 ..................................................................................... - 24 附录 B（资料性）典型密码产品应用测评技术 ..................................................................................... - 28 附录 C（资料性）典型密码功能测评技术 ............................................................................................. - 30 参考文献 ...................................................................................................................................................... - 32 - I 信息系统密码应用测评要求 1 范围本文件规定了信息系统不同等级密码应用的测评要求，从密码算法和密码技术合规性、密钥管理安全性方面，提出了第一级到第五级的密码应用通用测评要求；从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个技术层面提出了第一级到第四级密码应用技术的测评要求；从管理制度、人员管理、建设运行和应急处置等四个管理方面提出了第一级到第四级密码应用管理的测评要求。本文件适用于指导、规范信息系统密码应用在规划、建设、运行环节的商用密码应用安全性评估工作。注：第五级密码应用测评要求只在本文件中描述通用测评要求。 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 37092 信息安全技术密码模块安全要求 GB/T AAAAA 信息安全技术信息系统密码应用基本要求 GM/Z 4001 密码术语 3 术语和定义 GB/T AAAAA和GM/Z 4001中界定的相关术语和定义，以及下列术语和定义适用于本文件。 3.1 商用密码应用安全性评估人员 commercial cryptography application security evalua