信息系统密码应用测评要求
中国密码学会密评联委会 二〇二〇年十二月
目 录
1 范围 ............................................................................................................................................................ - 1 - 2 规范性引用文件 ........................................................................................................................................ - 1 - 3 术语和定义 ................................................................................................................................................ - 1 - 4 概述 ............................................................................................................................................................ - 1 - 5 通用测评要求 ............................................................................................................................................ - 3 - 5.1 密码算法和密码技术合规性 ............................................................................................................. - 3 - 5.2 密钥管理安全性 ................................................................................................................................. - 3 - 6 密码应用测评要求 .................................................................................................................................... - 4 - 6.1 物理和环境安全 ................................................................................................................................. - 4 - 6.2 网络和通信安全 ................................................................................................................................. - 5 - 6.3 设备和计算安全 ................................................................................................................................. - 7 - 6.4 应用和数据安全 ............................................................................................................................... - 10 - 6.5 管理制度 ........................................................................................................................................... - 14 - 6.6 人员管理 ........................................................................................................................................... - 16 - 6.7 建设运行 ........................................................................................................................................... - 19 - 6.8 应急处置 ........................................................................................................................................... - 21 - 7 整体测评要求 .......................................................................................................................................... - 22 - 7.1 概述 ................................................................................................................................................... - 22 - 7.2 单元间测评 ....................................................................................................................................... - 23 - 7.3 层面间测评 ....................................................................................................................................... - 23 - 8 风险分析和评价 ...................................................................................................................................... - 23 - 9 测评结论 .................................................................................................................................................. - 23 - 附录A(资料性) 密钥生存周期管理检查要点 ..................................................................................... - 24 - 附录B(资料性) 典型密码产品应用测评技术 ..................................................................................... - 28 - 附录C(资料性) 典型密码功能测评技术 ............................................................................................. - 30 - 参考文献 ...................................................................................................................................................... - 32 -
I
信息系统密码应用测评要求
1 范围
本文件规定了信息系统不同等级密码应用的测评要求,从密码算法和密码技术合规性、密钥管理安全性方面,提出了第一级到第五级的密码应用通用测评要求;从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个技术层面提出了第一级到第四级密码应用技术的测评要求;从管理制度、人员管理、建设运行和应急处置等四个管理方面提出了第一级到第四级密码应用管理的测评要求。
本文件适用于指导、规范信息系统密码应用在规划、建设、运行环节的商用密码应用安全性评估工作。
注:第五级密码应用测评要求只在本文件中描述通用测评要求。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 37092 信息安全技术 密码模块安全要求
GB/T AAAAA 信息安全技术 信息系统密码应用基本要求 GM/Z 4001 密码术语 3 术语和定义
GB/T AAAAA和GM/Z 4001中界定的相关术语和定义,以及下列术语和定义适用于本文件。 3.1
商用密码应用安全性评估人员 commercial cryptography application security evaluation staff
是指商用密码应用安全性评估机构中从事商用密码应用安全性评估的人员,简称“密评人员”。 3.2
核查 examine
密评人员对测评对象进行观察、查验和分析,以帮助密评人员理解、澄清或取得证据的过程。 4 概述
本文件根据GB/T AAAAA,将信息系统密码应用测评要求分为通用测评要求和密码应用测评要求。其中,第5章通用测评要求对“密码算法和密码技术合规性”和“密钥管理安全性”提出测评要求,适用于第一级到第五级的信息系统密码应用测评。第6章密码应用测评要求,对信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级密码应用技术
- 1 -
的测评要求,并对管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级密码应用管理的测评要求。
本文件第5章通用测评要求的内容不单独实施测评,也不单独体现在密码应用安全性评估报告的单元测评结果和整体测评结果中,仅供第6章密码应用测评要求的测评实施引用。资料性附录A密钥生存周期管理检查要点供第6.7.2节“制定密钥安全管理策略”的测评实施参考。资料性附录B给出了典型密码产品应用测评技术,资料性附录C给出了典型密码功能测评技术,供密评人员在对信息系统中具体使用的密码产品或应用的密码功能进行测评实施时参考。
本文件中的测评单元对应一组相对独立和完整的测评内容,由测评指标、测评对象、测评实施和结果判定组成。
a) 测评指标:来源于GB/T AAAAA中各级的要求项;
b) 测评对象:信息系统密码应用测评过程中不同测评方法作用的对象,包括相关配套密码产品、
通用设备、人员、制度文档等;
c) 测评实施:针对某个测评指标,规定了信息系统密码应用的测评要点; d) 结果判定:根据测评实施取得的证据,判定信息系统的密码应用是否满足某个测评指标要求的
方法和原则。
若测评单元涉及两个及以上测评对象,则每个测评对象需要分别进行测评实施并结果判定。测评单元的结果由该单元涉及的所有测评对象的测评实施结果汇总得出。
密评人员在开展实际测评时,对于GB/T AAAAA中的不同安全保护等级的“可”“宜”“应”的条款,按照如下方法确定是否将其纳入测评范围。
——对于“可”的条款,由信息系统责任单位自行决定是否纳入标准符合性测评范围。若纳入测评
范围,则密评人员应按照第6章相应的测评指标要求进行测评和结果判定;否则,该测评指标为“不适用”。
——对于“宜”的条款,密评人员根据信息系统的密码应用方案和方案评审意见决定是否纳入标准
符合性测评范围;若信息系统没有通过评估的密码应用方案或密码应用方案未做明确说明,则“宜”的条款默认纳入标准符合性测评范围。若纳入测评范围,则密评人员应按照第6章相应的测评指标要求进行测评和结果判定。否则,密评人员应根据信息系统的密码应用方案和方案评审意见,在测评中进一步核实密码应用方案中所描述的风险控制措施使用条件在实际的信息系统中是否被满足,且信息系统的实施情况与所描述的风险控制措施是否一致,若满足使用条件,该测评指标为“不适用”,并在密码应用安全性评估报告中体现核实过程和结果;若不满足使用条件,则应按照第6章相应的测评指标要求进行测评和结果判定。
——对于“应”的条款,密评人员应按照第5章和第6章相应的测评指标要求进行测评和结果判定;
若根据信息系统的密码应用方案和方案评审意见,判定信息系统确无与某项或某些项测评指标相关的密码应用需求,则相应测评指标为“不适用”。 根据信息系统的密码应用方案和方案评审意见,若通过评估的密码应用方案中的要求,高于信息系统相对应的密码应用基本要求等级的指标要求,则应按照密码应用方案中的要求进行测评。例如,根据密码应用需求,对安全保护等级第三级的信息系统,选取了安全保护等级第四级信息系统的相关指标要求。对上述特殊情况进行测评实施的结论应体现在密码应用安全性评估报告中。
信息系统的商用密码应用测评的最终输出是密码应用安全性评估报告,在报告中应给出各个测评单元(见第6章)的测评结果、整体测评结果(见第7章),以及在进行风险分析和评价(见第8章)后给出的测评结论(见第9章)。其中,整体测评结果是以测评单元的判定结果为基础,经单元间、层面间测评相互弥补后得出的纠正结果;风险分析和评价是对整体测评结果中的不符合项和部分符合项,判断信息系统密码应用在合规性、正确性和有效性方面的不符合所产生的安全问题被威胁利用后对信息系
- 2 -
统造成影响的程度;测评结论是由综合得分以及风险分析和评价共同决定,表示信息系统达到相应密码等级保护要求的程度。 5 通用测评要求
5.1 密码算法和密码技术合规性
具体测评单元如下: a) 测评指标
? 信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有
关要求。(第一级到第五级)
? 信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。(第一级到第五级) b) 测评对象
信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现。 c) 测评实施
了解系统使用的算法名称、用途、何处使用、执行设备及其实现方式(软件、硬件或固件),核查密码算法是否以国家标准或行业标准形式发布,或取得国家密码管理部门同意其使用的证明文件。核查系统所使用的密码技术是否以国家标准或行业标准形式发布。 d) 结果判定
本单元测评指标不单独判定符合性。 5.2 密钥管理安全性
具体测评单元如下: a) 测评指标
? 信息系统中使用的密码产品、密码服务应符合法律法规的相关要求。(第一级到第五级) ? 采用的密码产品,达到GB/T 37092一级及以上安全要求。(第二级) ? 采用的密码产品,达到GB/T 37092二级及以上安全要求。(第三级) ? 采用的密码产品,达到GB/T 37092三级及以上安全要求。(第四级)
? 采用的密码服务,符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证
机构认证合格。(第一级到第四级)
b) 测评对象
信息系统中的密钥体系,以及相应的密码产品、密码服务以及密码算法实现和密码技术实现。 c) 测评实施
1) 核查信息系统中密钥体系中的密钥(除公钥外)是否不能被非授权的访问、使用、泄露、
修改和替换,公钥是否不能被非授权的修改和替换;
2) 核查信息系统中用于密钥管理和密码计算的密码产品是否符合法律法规的相关要求,需
依法接受检测认证的,核查是否经商用密码认证机构认证合格;了解密码产品的型号和版本等配置信息,核查密码产品是否符合GB/T 37092相应安全等级及以上安全要求,并核查密码产品的使用是否满足其安全运行的前提条件,如其安全策略或使用手册说明的部署条件;
3) 核查信息系统中用于密钥管理和密码计算的密码服务是否符合法律法规的相关要求,需
依法接受检测认证的,核查是否经商用密码认证机构认证合格。
d) 结果判定
- 3 -
信息系统密码应用测评要求
