商用密码应用安全性评估 FAQ （第四版）

FAQ （第四版） 中国密码学会密评联委会 首次发布日期：2021年12月最近更新日期：2026年3月 目录 前言.......................................................................I 1.信息系统密码应用基本要求的等级........................................12.具有认证证书的商用密码产品对应的模块等级...............................23.经认证合格的密码产品的产品合规性、密钥安全符合性的判定要点.............34.通过代码实现数据机密性、完整性保护的判定方法...........................65.组合密码算法的量化评估和风险判定.......................................76.如何开展分期规划、改造的信息系统的密码应用安全性评估...................87.已有通过评估的密码应用方案，在实际密评时的注意事项.....................98.自建CA签发数字证书的合规性判定要点....................................99.对于被测方没有改造和管理权限的接口进行密评的注意事项..................10 二、密码应用技术类..........................................................11 10.物理和环境安全层面的测评对象识别和确定...............................1111.电子门禁记录数据存储完整性测评时的注意事项...........................13 （二）网络和通信安全........................................................14 12.网络和通信安全层面的测评对象识别与确定...............................1413.网络和通信安全层面的身份鉴别等指标...................................2014.网络层安全接入认证和身份鉴别指标的差别...............................21 15.设备和计算安全层面的测评对象识别与确定...............................2216.设备和计算安全层面测评对象选取粒度...................................2317.设备和计算安全层面的身份鉴别.........................................2418.远程管理通道安全的测评要点..........................................2619.合规密码产品的设备层身份鉴别、完整性相关指标的判定...................27 （四）应用和数据安全........................................................28 20.应用和数据安全层面的测评对象识别与确定...............................2821.应用和数据安全层面的身份鉴别.........................................3022.重要数据机密性、完整性保护的实现方法问题.............................3123.应用和数据安全层面的存储机密性问题...................................33（五）综合..................................................................3424.访问控制信息的具体含义..............................................3425.跨网络调用密码资源实现相应密码功能的测评要点.........................36三、密码应用管理类..........................................................3726.缺少密码应用方案的合规性判定.........................................3727.投入运行前未进行密码应用安全性评估的合规性判定.......................3728.定期开展密码应用安全性评估及攻防对抗演习指标的合规性判定.............3829.应急处置指标的合规性判定............................................39四、整体测评类..............................................................4030.测评对象间的弥补场景................................................40五、量化评估类..............................................................4131.《商用密码应用安全性评估量化评估规则（2023版）》中，密码使用有效性D项的判定...................................................................41六、风险判定类..............................................................4232.有缓解措施的高风险判定..............................................4233.应用层身份鉴别是否可以缓解网络层身份鉴别的高风险.....................4334.如何理解高风险判定指引中的“适用时”.................................4535.不涉及高风险的指标使用了高风险算法、技术或产品进行保护时，如何判定风险.......................................................................45七、特殊场景类..............................................................4636.云平台测评的责任和范围..............................................4637.云平台和云上应用的测评方式和测评结论复用方式.........................4738.面向公众等网站的测评................................................5239.特殊系统的测评对象选取..............................................5240.如何开展信息系统密码应用成熟度极低情况下的密码应用管理测评...........53 41.特定行业或具有特殊密码应用需求的信息系统测评.........................54 前言 本文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解答，以帮助密码应用以及商用密码应用安全性评估人员更好的开展商用密码应用安全性评估工作。 本文件内容仅供参考，最终应以相关政策法规和标准规范为准。 编辑组： 第一版：张立花、肖秋林、郑昉昱、贾世杰、黎水林、王勇、范佳奇、刘健、刘军荣、冀利刚、杨宏志、李晨旸； 第二版：李智虎、王洋、朱凌、李海滨、高岩、李海涛、高锐、唐启楠、张腾标、李艳俊、陈爽、刘烨、佟鑫、管彩霞； 第三版：陈天宇、刘军荣、翟峰、秦琦、吕娜、郑峥、王正临、苏欧煜、张晓溪、朱凌、江寰、亢康、杨龙、佟鑫、李昊宸、陈爽、姚莹、王海涛、史汝辉、宋松、刘烨、卢秋如、邓福彪、薛涛。 第四版：张立花、李智虎、苏欧煜、王微、王建峰、陈小庆、刘烨、赵雨雨、张晓溪、唐启楠、吴栋、牛莹姣、刘琛、卢秋如、宋兴博、刘芝影、王海涛、李昊宸、谢孟凯。 审核组：刘平、秦小龙、罗鹏、阎亚龙、汪宗斌、马原、刘尚焱。 本文件内容不定期迭代更新发布。 有关问题和建议，可发送邮箱至mplwh@cacrnet.org.cn 第四版与第三版FAQ对照情况表 一、通用类 1.信息系统密码应用基本要求的等级 背景： GB/T39786-2021《信息安全技术信息系统密码应用基本要求》对信息系统密码应用划分为自低向高的五个等级，参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》的等级保护对象应具备的基本安全保护能力要求，提出密码保障能力逐级增强的要求，用一、二、三、四、五表示。其中，从密码算法、密码技术、密码产品和密码服务的合规性方面，提出了第一级到第五级的密码应用通用要求，从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求，并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用管理要求。 1.1问题： 如何确定被测信息系统密码应用等级？ 解答： GB/T39786-2021中的密码应用等级一般由网络安全等级保护的级别确定。信息系统根据GB/T22240-2020《信息安全技术网络安全等级保护定级指南》确定等级保护级别时，同步对应确定密码应用等级，即等保定级为第一级的网络与信息系统应遵循GB/T39786-2021第一级密码应用基本要求，等保定级为第二级的网络与信息系统应遵循GB/T39786-2021第二级密码应用基本要求，以此类推。 1.2问题： 如果新建信息系统在规划阶段尚未完成网络安全等级保护备案工作，被测单位只有一个拟定的信息系统等级，针对此情况如何确定被测信息系 统的密码应用等级？ 解答： 对于未完成网络安全等级保护定级的重要信息系统，优先以被测单位拟定等级开展密评，但应尽量保证拟定等级与后期备案等级的一致性；如果拟定等级低于后期备案等级时，需要按备案等级重新开展密评。对于无拟定等级的重要信息系统，其密码应用等级至少为第三级。需要说明的是，GB/T39786-2021只是密码应用基本要求，被测系统有高安全保护需求或高安全标准等特殊情况，信息系统的密码应用等级可以高于等保定级。 1.3问题： 目前，部分系统责任单位由于上级单位或者政策的要求，希望能够尽可能以高安全标准要求来进行信息系统的安全防护，特别是老旧系统。针对网络安全保护等级为二级的信息系统，被测单位希望能以GB/T39786-2021中的第三级密码应用要求进行改造和测评，此时该如何把握？ 解答： 目前，GB/T39786-2021中的密码应用等级一般与网络安全等级保护的级别持平。所以，在信息系统不存在额外密码应用需求的前提下，原则上被测系统密码应用等级的选取与网络安全等级保护的级别保持一致。但是，针对被测单位以高安全标准规划、建设信息系统的密码应用，并希望能够按照GB/T39786-2021中更高密码应用等级进行密评的情形，密评机构在测评前，应在确认该做法符合被测信息系统所属密码管理部门相关要求的前提下，加以确认其密码应用等级是否等于或者高于等级保护备案等级，进而开展测评工作。 2.具有认证证书的商用密码产品对应的模块等级 背景： 在信息系统中密评时，使用的商用密码产品对应的认证证书分为两种，一种 是认证证书上会标注有此密码产品对应的密码模块安全等级，一种是认证证书没有标注有