商用密码应用安全性评估 FAQ （第三版） 中国密码学会密评联委会 首次发布日期：2021 年 12 月 最近更新日期：2023 年 10 月 目 录 前 言 ............................................................................... I 第三版修订情况说明 ................................................................. II 一、通用类 .......................................................................... 1 1.信息系统密码应用基本要求的等级 ................................................. 1 2.应、宜、可测评指标把握 ......................................................... 2 3.具有认证证书的商用密码产品对应的模块等级 ....................................... 3 4.经认证合格的密码产品的产品合规性、密钥安全符合性的判定要点 ..................... 3 5.通过代码实现数据机密性、完整性保护的判定方法 ................................... 5 6.组合密码算法的量化评估和风险判定 ............................................... 6 7.如何开展分期规划、改造的信息系统的密码应用安全性评估 ........................... 7 8.已有通过评估的密码应用方案，在实际密评时的注意事项 ............................. 7 二、密码应用技术类 .................................................................. 8 （一）物理和环境安全 .............................................................. 8 9.物理和环境安全层面的测评对象识别和确定 ......................................... 8 10.电子门禁记录数据存储完整性测评时的注意事项 ................................... 10 （二）网络和通信安全 ............................................................. 10 11.网络和通信安全层面的测评对象识别与确定 ....................................... 10 12.网络和通信安全层面的身份鉴别 ................................................. 14 13.网络层安全接入认证和身份鉴别指标的差别 ....................................... 14 （三）设备和计算安全 ............................................................. 15 14.设备和计算安全层面的测评对象识别与确定 ....................................... 15 15.设备和计算安全层面测评对象选取粒度 ........................................... 15 16.设备和计算安全层面的身份鉴别 ................................................. 16 17.远程管理通道安全的测评要点 ................................................... 18 18.合规密码产品的设备层身份鉴别、完整性相关指标的判定 ........................... 19 （四）应用和数据安全 ............................................................. 20 19.应用和数据安全层面的测评对象识别与确定 ....................................... 20 20.应用和数据安全层面的身份鉴别 ................................................. 21 21.重要数据机密性、完整性保护的实现方法问题 ..................................... 22 22.如何编写涉及应用和数据安全层面的测评内容报告 ................................. 23 （五）综合 ....................................................................... 29 23.访问控制信息的具体含义 ....................................................... 29 24.跨网络调用密码资源实现相应密码功能的测评要点 ................................. 30 三、密码应用管理类 ................................................................. 31 25.缺少密码应用方案的合规性判定 ................................................. 31 26.投入运行前未进行密码应用安全性评估的合规性判定 ............................... 31 27.如何开展信息系统密码应用成熟度极低情况下的密码应用管理测评 ................... 32 四、量化评估类 ..................................................................... 33 28.《量化评估规则（2023 版）》中，密码使用有效性 D 项的判定 ...................... 33 五、风险判定类 ..................................................................... 34 29.有缓解措施的高风险判定 ....................................................... 34 30.报告中对于高风险缓解措施的体现 ............................................... 34 31.应用层身份鉴别是否可以缓解网络层身份鉴别的高风险 ............................. 35 32.如何理解高风险判定指引中的“适用时” ......................................... 36 六、特殊场景类 ..................................................................... 36 33.云平台测评的责任和范围 ....................................................... 36 34.云平台和云上应用的测评方式和测评结论复用方式 ................................. 37 35.面向公众等网站的测评 ......................................................... 42 36.特殊网络系统的测评对象选取 ................................................... 43 附录 ............................................................................... 44 第三版对应第二版题目索引 ........................................................... 44 前 言 本文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解 答，以帮助密码应用以及商用密码应用安全性评估人员更好的开展商用密码应用安全性评估 工作。 本文件内容仅供参考，最终应以相关政策法规和标准规范为准。 编辑组： 第一版：张立花、肖秋林、郑昉昱、贾世杰、黎水林、王勇、范佳奇、刘健、刘军荣、 冀利刚、杨宏志、李晨旸； 第二版：李智虎、王洋、朱凌、李海滨、高岩、李海涛、高锐、唐启楠、张腾标、李 艳俊、陈爽、刘烨、佟鑫、管彩霞； 第三版：陈天宇、刘军荣、翟峰、秦琦、吕娜、郑峥、王正临、苏欧煜、张晓溪、朱 凌、江寰、亢康、杨龙、佟鑫、李昊宸、陈爽、姚莹、王海涛、史汝辉、宋松、刘烨、卢秋 如、邓福彪、薛涛。 本版本由阎亚龙、马原、秦小龙、汪宗斌、罗鹏、刘尚焱等专家负责审核。 本文件内容不定期迭代更新发布，本版本已全部包含之前版本的内容。 有关问题和建议，可发送邮箱至mplwh@cacrnet.org.cn。 I 第三版修订情况说明 序号 章节 修改情况 备注 调整题目顺序 1 对于未完成网络安全等级保护定级的重要信息系 统，单独作为问题 1.2 进行说明 2 1.1 完善答案 3 1.2 新增问题 4 1.3 新增问题 5 3 完善答案 完善了答案描述中《商用密码应用安全性评估量化 评估规则》的年号版本 6 4.1 完善问题 第二版中问题 16 位置调整，并完善问题 7 4.2 新增问题 8 4.3 新增问题 9 5 完善答案 完善了采用自研软件、第三方开源密码库实现数据 机密性和完整性保护时的判定说明 10 6 新增问题 同时调整后续问题编号顺序 11 7 新增问题 同时调整后续问题编号顺序 12 8 新增问题 同时调整后续问题编号顺序 13 9.1 完善答案 针对被测信息系统部署在被测系统单位管辖范围