商用密码应用安全性评估 FAQ （第二版） 中国密码学会密评联委会 首次发布日期：2021 年 12 月 最近更新日期：2022 年 8 月 目`录 说明 ................................................................................. 1 1.信息系统密码应用基本要求的等级 ...................................................... 1 2.应、宜、可测评指标把握 .............................................................. 1 3.经认证合格的密码产品中的密钥安全符合性判定 .......................................... 2 4.物理和环境安全层面的测评对象识别和确定 .............................................. 2 5.网络和通信安全层面的测评对象识别与确定 .............................................. 3 6.设备和计算安全层面的测评对象 ........................................................ 5 7.设备和计算安全层面测评对象选取粒度 .................................................. 5 8.远程管理通道安全 .................................................................... 6 9.合规密码产品身份鉴别、完整性相关指标的判定 .......................................... 7 10.设备和计算安全层面的身份鉴别 ....................................................... 8 11.应用和数据安全层面的测评对象识别与确定 ............................................. 9 12.重要数据完整性保护的实现方法问题 ................................................... 9 13.通过代码实现数据机密性、完整性保护的判定方法 ...................................... 10 14.访问控制信息的具体含义 ............................................................ 10 15.缺少密码应用方案的合规性判定 ...................................................... 11 16.商用密码产品认证证书过期的合规性判定 .............................................. 12 17.具有认证证书型号的商用密码产品对应的模块等级 ...................................... 12 18.有缓解措施的高风险判定 ............................................................ 12 19.报告中对于高风险缓解措施的体现 .................................................... 13 20.双活机房的通信链路合规性判定 ...................................................... 14 21.云平台测评的责任和范围 ............................................................ 14 22.云平台和云上应用的测评方式和测评结论复用方式 ...................................... 15 23.面向公众等网站的测评 .............................................................. 17 24.如何编写涉及应用和数据安全层面的测评内容报告 ...................................... 18 25.网络层安全接入认证和身份鉴别指标的差别 ............................................ 24 26.应用层身份鉴别是否可以缓解网络层身份鉴别的高风险 .................................. 24 说明 本文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解 答，以帮助密码应用以及商用密码应用安全性评估人员更好的开展商用密码应用安全性评估 工作。 本文件内容仅供参考，最终应以相关政策法规和标准规范为准。 编辑：张立花、肖秋林、郑昉昱、贾世杰、黎水林、王勇、范佳奇、刘健、刘军荣、冀 利刚、杨宏志、李晨旸；李智虎、王洋、朱凌、李海滨、高岩、李海涛、高锐、唐启楠、张 腾标、李艳俊、陈爽、刘烨、佟鑫、管彩霞。 审核：阎亚龙、马原、秦小龙、汪宗斌、罗鹏 本文件内容定期迭代更新发布。 有关问题和建议，可发送邮箱至mplwh@cacrnet.org.cn 1 第二版修订情况说明 序号 章节 修改情况 1 说明 新增修订情况说明 2 3 完善答案 3 5.2 新增问题 4 5.3 新增问题 5 9.1 完善答案 6 9.2 新增问题 7 10.2 新增问题 8 10.3 新增问题 9 11.2 新增问题 10 12 新增问题 11 13 新增问题 12 15.2 新增问题 13 17 完善答案 14 18 完善答案 15 20 完善答案 16 25 新增问题 17 26 新增问题 备注 增加了密钥管理测评中，与密码应用方案一致性的 要求 设备与计算安全层面指标测评中，增加了“是否按 照密码产品使用”的要求 对密码产品认证证书中缺少密码模块等级如何进 行判定提出了具体判定要求 明确了测评对象的例外情况需根据实际情况经专 家判定 2 1.信息系统密码应用基本要求的等级 ⚫ 背景： GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》对信息系统密码应用划 分为自低向高的五个等级，参照GB/T 22239的等级保护对象应具备的基本安全保护能力要 求，提出密码保障能力逐级增强的要求，用一、二、三、四、五表示。其中，从密码算法、 密码技术、密码产品和密码服务的合规性方面，提出了第一级到第五级的密码应用通用要求， 从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技 术层面提出了第一级到第四级的密码应用技术要求，并从管理制度、人员管理、建设运行和 应急处置四个方面提出了第一级到第四级的密码应用管理要求。 ⚫ 问题： 如何确定被测信息系统密码应用等级？ ⚫ 解答： GB/T 39786-2021中的密码应用等级一般由网络安全等级保护的级别确定。信息系统根 据GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》确定等级保护级别时，同 步对应确定密码应用等级，即等保定级为第一级的网络与信息系统应遵循GB/T 39786-2021 第一级密码应用基本要求，等保定级为第二级的网络与信息系统应遵循GB/T 39786-2021第 二级密码应用基本要求，以此类推。对于未完成网络安全等级保护定级的重要信息系统，其 密码应用等级至少为第三级。 2.应、宜、可测评指标把握 ⚫ 背景： GB/T 39786-2021对密码应用各项指标要求的力度，主要通过“应”“宜”“可”加以区分，具 体实施时，需把握哪些是必须实现的、哪些是可以自行把握的。在“应”“宜”“可”三个指标中， “可”和“应”的含义明确，但“宜”含义，在GB/T 39786-2021中有其特殊性。 ⚫ 问题： 在密评实施中，如何理解和把握“宜”的指标要求？ ⚫ 解答： 依据GM/T 0115-2021《信息系统密码应用测评要求》，据信息系统的密码应用方案和 方案评估报告/评审意见，决定是否将“宜”的指标要求纳入标准符合性测评范围，具体如下： （1）若信息系统未编制密码应用方案或在方案中未对“宜”的指标要求做明确说明，则 “宜”的指标要求纳入标准符合性测评范围。 （2）若信息系统编制了密码应用方案，且方案通过评估，方案中明确了不适用的“宜” 的指标要求项，且有对应的风险控制措施说明的情况下。密评人员在测评时，应根据信息系 统的密码应用方案和方案评估报告/评审意见，核实方案中的不适用指标要求项所采用的风 险控制措施的适用条件，在实际的信息系统中是否被满足，且信息系统的实施情况与方案中 1 所描述的风险控制措施是否一致，若满足适用条件，该测评指标为“不适用”；若不满足适用 条件，则应纳入标准符合性测评范围，进行测评和结果判定。 3.经认证合格的密码产品中的密钥安全符合性判定 ⚫ 背景： GM/T 0115-2021《信息系统密码应用测评要求》中，在通用测评要求中提出了“5.2密钥 管理安全性”测评要求，其指标主要涉及密码产品/服务相关的内容。 ⚫ 问题： 经认证合格的密码产品，《信息系统密码应用测评要求》中“5.2密钥管理安全性”测评 是否可以直接判定为“符合”？ ⚫ 解答： 不能直接判定为“符合”。信息系统采用经认证合格的密码产品仅仅是密钥管理安全性判 定为“符合”的必要条件，还应当对以下内容进行核查： （1）该密码产品的安全级别是否满足GB/T 39786-2021 相应等级的要求，如GB/T 39786 第三级的信息系统应当采用满足GB/T 37092-2018第二级及以上安全要求的密码产品； （2）如果被测系统有密码应用方案，应核查系统密钥管理机制是否与方案一致；如果 被测系统无密码应用方案，应分析其密钥体系设计是否合理、实现是否正确； （3）由密码产品产生的密钥在该密码产品外部进行管理，是否进行了相应保护，如密 钥在外部数据库中存储/备份/归档时是否进行了机密性和完整性保护； （4）该密码产品是否按照产品配套的安全策略文档进行部署和使用，信息系统的密钥 管理制度是否能够保证该密码产品被正确地