2025密评详细解读——(一):量化评估规则
发布时间:2025.02.25
浏览数量:172人
1.评估技术对象DAK
参考 GM/T 0115—2021,该规则从三个方面进行量化评估:密码使用有效性D(Cryptography Deployment effectiveness)是指,密码技术是否被正确、有效使用,以满足信息系统的安全需求,有效提供机密性、完整性、真实性和不可否认性的保护。
密码算法/技术合规性A(Cryptography Algorithm/Technique compliance)是指,信息系统中使用的密码算法是否符合法律、行政法规、国家有关规定和密码相关国家标准、行业 标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或通过国家密码管理部门审查鉴定。密钥管理安全K(Key management security)是指,密钥的全生命周期管理是否安全,用于密码计算或密钥管理的密码产品/密码服务是否安全。 
值得注意的是,在《商用密码应用安全性评估管理办法》(2023)中,对于密评的定义是:商用密码应用安全性评估,是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。规则文件中的三个维度与之存在一定差异,但总体实施思路是一致的。2.评估内容 
密评的量化评估内容,主要是《GB/T 39786—2021信息安全技术-信息系统密码应用基本要求》附录A中提到的技术要求和管理要求,技术要求包括:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;管理要求包括:管理制度、人员管理、建设运行、应急处置。
3.1各测评对象的测评结果量化评估规则
密码应用技术要求中,第 i个安全层面的第 j 测评单元的第 k 测评对象 T( i,j,k),其量化评估结果 S (i,j,k)∈[0, 1],其中 0 表示不符合,1表示符合,其它表示部分符合。S (i,j,k)的取值见表1(涉及计算时,四舍五入,取小数点后 4 位)。通用要求和密码应用技术要求各安全层面的“密码服务”和“密码产品”指标不单独评价。
对于密码应用管理要求,不针对各个测评对象的测评结果进行量化评估,而是对测评单元进行整体评估。
3.2测评单元的测评结果量化评估规则
密码应用技术要求中,第i个安全层面的第j测评单元 U(i,j) 的量化评估结果 S(i,j )为该测评单元内所有 n(i,j )个测评对象测评结果的算术平均值(四舍五入,取小数点后 4 位),即: 
对于密码应用管理要求,第i个安全层面的第j测评单元,根据GM/T 0115—2021给出判定结果 S(i,j ),符合为1分,不符合为0分,部分符合为0.5分。因为管理要求的评定比较难以细粒度量化,所以其判断主要以符合、不符合、部分符合三种情况进行打分3.3安全层面的测评结果量化评估规则
该文件为每个测评单元分配了相应的权重W(i,j),如表 4 所示。第i个安全层面 L(i)的量化评估结果 Si 为该安全层面内所有 ni 个适用测评单元的测评结果S(i,j) 的加权平均值(四舍五入,取小数点后4位),即:
若某测评指标不适用,则不参与量化评估过程,不适用的判定方式参见 GM/T 0115— 2021)。3.4整体测评结果量化评估规则
该文件为每个安全层面分配了相应的权重W(i),如表 4 所示。量化评估结果 S 为所有 n 个安全层面测评结果 Si 的加权平均值(四舍五入,取小数点后 2 位),即:
该公式表明:技术要求与管理要求在评定量化时的权重分配相互独立,技术要求占70%,管理要求占30%。
其中,各测评单元的重要程度以权重进行划分。对于第三级密码应用,应用和数据安全这一安全层面的指标总权重为6.2,重要数据存储机密性的指标权重为1,重要数据存储完整性的指标权重为0.7。另外需要注意的是,若某个安全层面的所有测评指标都不适用,则该安全层面不参与量化评估过程。比如,如果信息系统中“物理和环境安全”层面所有测评指标都不适用,而其他各层面均有适用的测评指标,那么根据表 4 提供的安全层面权重,上述分值计算公式具体为:
也就是说,如果存在部分测评指标不适用,那么其他指标的权重将会被按一定比例放大。4.量化评估阈值
采用该规则文件进行量化评估时,GM/T 0115—2021“9.评估结论”中的得分阈值为60分。
