摘　要：《商用密碼應(yīng)用安全性評估量化評估規(guī)則》自 2020 年首次制定以來，先后經(jīng)歷了兩次修訂。為探討新的量化評估規(guī)則對信息系統(tǒng)測評的影響，通過對新舊版本中各測評對象的測評結(jié)果量化評估規(guī)則和整體測評結(jié)果量化評估規(guī)則的差異分析，采用定性和定量相結(jié)合的方法，對信息系統(tǒng)測評量化評估分值的計算，以及依據(jù)新舊量化評估規(guī)則得到的測評結(jié)果進行對比分析研究，結(jié)果表明，新的量化評估規(guī)則對量化評估分值處于閾值附近的系統(tǒng)影響較大。

內(nèi)容目錄：

1　背景介紹
1.1　密評的概念和測評流程
1.2　密評的量化評估規(guī)則
2　新舊量化評估規(guī)則對比分析
2.1　測評對象的測評結(jié)果量化評估
2.2　整體測評結(jié)果量化評估
3　結(jié)　語

2023 年 7 月 1 日，《商用密碼管理條例》（以下簡稱《條例》）正式施行，《條例》是貫徹實施《中華人民共和國密碼法》的重要舉措，是推進商用密碼高質(zhì)量發(fā)展的必然要求?！稐l例》的施行規(guī)范了商用密碼應(yīng)用和管理，進一步推動了商用密碼的安全應(yīng)用和推廣。而商用密碼應(yīng)用安全性評估（以下簡稱“密評”）作為加強和規(guī)范商用密碼應(yīng)用的重要抓手，愈發(fā)受到關(guān)注和重視，密評相關(guān)的法律法規(guī)、標(biāo)準(zhǔn)和指導(dǎo)文件也不斷迭代更新，日趨完善。為更好、更快地推動密評工作的開展，本文對 2023 年 7 月新修訂的《商用密碼應(yīng)用安全性評估量化評估規(guī)則》進行梳理解析，探討新的量化評估規(guī)則對密評過程和結(jié)果的影響，供密碼應(yīng)用單位和密評機構(gòu)參考。

1 背景介紹

1.1　密評的概念和測評流程

商用密碼應(yīng)用安全性評估，是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對其密碼應(yīng)用的合規(guī)性、正確性和有效性進行評估 。開展密評能發(fā)現(xiàn)網(wǎng)絡(luò)和信息系統(tǒng)中商用密碼應(yīng)用存在的問題和不足，為網(wǎng)絡(luò)和信息系統(tǒng)的安全提供科學(xué)評價方法，逐步規(guī)范商用密碼的使用和管理 ，確保商用密碼在網(wǎng)絡(luò)和信息系統(tǒng)中正確有效地使用，切實構(gòu)建起堅實可靠的網(wǎng)絡(luò)安全密碼屏障 。密評的測評流程如圖 1 所示。

圖 1　密評的測評流程

由圖 1 可知，密評主要分為 4 個階段：測評準(zhǔn)備階段、方案編制階段、現(xiàn)場測評階段、分析與報告編制階段。

（1）測評準(zhǔn)備階段。密評機構(gòu)與被測單位簽訂委托協(xié)議書，組建密評隊伍，編制測評計劃書。密評機構(gòu)通過查閱資料和發(fā)放系統(tǒng)調(diào)研表的方式了解被測系統(tǒng)的密碼應(yīng)用情況，并準(zhǔn)備相關(guān)表單和測試工具（如 WireShark、證書分析工具等）。

（2）方案編制階段。密評機構(gòu)根據(jù)了解到的被測系統(tǒng)的密碼應(yīng)用情況，確定具體的測評對象、測評指標(biāo)和現(xiàn)場檢查點，并確認現(xiàn)場測評的實施內(nèi)容，編制測評方案。

（3）現(xiàn)場測評階段。密評機構(gòu)根據(jù)測評方案，通過資料查閱、人員訪談、信息核查及工具測試等方式進行現(xiàn)場測評?，F(xiàn)場測評完成后，密評機構(gòu)歸還借閱的所有佐證資料。

（4）分析與報告編制階段。密評機構(gòu)對現(xiàn)場測評階段所獲得的測評結(jié)果進行單元測評、整體測評、量化評估和風(fēng)險分析，形成最終的評估結(jié)論，最后編制密評報告。

1.2　密評的量化評估規(guī)則

密評的量化評估使得信息系統(tǒng)的密碼應(yīng)用情況以分數(shù)的形式展現(xiàn)出來，能夠更加客觀直接地反映信息系統(tǒng)的密碼應(yīng)用現(xiàn)狀，更準(zhǔn)確地評價出信息系統(tǒng)密碼應(yīng)用的優(yōu)勢和不足。同時，在一定程度上也能提高密評工作的公平、公正及效率。密評的量化評估可分為 4 個級別：各測評對象的測評結(jié)果量化評估、測評單元的測評結(jié)果量化評估、安全層面的測評結(jié)果量化評估和整體測評結(jié)果量化評估。其中，整體測評結(jié)果量化評估結(jié)果是由物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全、管理制度、人員管理、建設(shè)運行和應(yīng)急處置8 個安全層面的量化評估結(jié)果按一定的權(quán)重分配計算所得。以物理和環(huán)境安全層面為例，其測評結(jié)果量化評估過程如圖 2 所示，其他層面的量化評估過程以此類推。

圖 2　物理和環(huán)境安全層面的測評結(jié)果量化評估過程

圖 2 中，各測評對象的測評結(jié)果量化評估結(jié)果圖片其中，0 表示不符合，1 表示符合，其他情況表示部分符合。當(dāng)測評對象 A彌補了測評對象 B 的不足時，測評對象 B 彌補后的量化評估分值圖片計算公式為：

式中：圖片為測評對象 A 的分值；圖片為測評對象B 的彌補前分值；圖片為取圖片和圖片之間的較大值（四舍五入，取小數(shù)點后 4 位）。

對各測評對象的測評結(jié)果量化評估結(jié)果取算術(shù)平均值便得到測評單元的測評結(jié)果量化評估分值。測評單元的測評結(jié)果量化評估分值計算公式為：

式中：圖片為第 i 個安全層面中第 j 個測評單元測評對象的個數(shù)；圖片為各測評對象的測評結(jié)果量化評估分值（四舍五入，取小數(shù)點后 4 位）。

對測評單元的測評結(jié)果量化評估分值取加權(quán)平均值，便能夠得到安全層面的測評結(jié)果量化評估分值。安全層面的測評結(jié)果量化評估分值計算公式為：

式中：圖片為第 i 個安全層面中第 j 個測評單元的權(quán)重；圖片為第 i 個安全層面中第 j 個測評單元的量化評估結(jié)果；圖片為第 i 個安全層面的量化評估結(jié)果（四舍五入，取小數(shù)點后 4 位）。

2 新舊量化評估規(guī)則對比分析

2.1　測評對象的測評結(jié)果量化評估

測評對象的測評結(jié)果量化評估主要從密碼使用有效性（Cryptography Deployment Effectiveness）、密碼算法 / 技術(shù)合規(guī)性（Cryptography Algorithm/Technique Compliance） 和 密 鑰 管 理 安 全（Key Management Security）3 個方面進行綜合評估。

與 2021 版《商用密碼應(yīng)用安全性評估量化評估規(guī)則》相比，2023 版本在各測評對象的測評結(jié)果量化評估規(guī)則中增加了密碼算法 / 技術(shù)合規(guī)性修正參數(shù)圖片和密鑰管理安全修正參數(shù)圖片其中，圖片 的取值由所使用的密碼算法的安全強度決定。當(dāng)所使用的密碼算法的安全強度小于80 比特時，圖片 取值為 0.2；當(dāng)所使用的密碼算法的安全強度大于或等于 80 比特且小于 112 比特時，圖片 取值為 0.5；當(dāng)所使用的密碼算法的安全強度大于或等于 112 比特時，圖片 取值為 1。Rk的取值由是否使用相應(yīng)等級密碼模塊和密鑰管理的安全性決定。具體地，以三級系統(tǒng)為例，當(dāng)使用一級密碼模塊且密鑰管理符合 GM/T 0115—2021《信息系統(tǒng)密碼應(yīng)用測評要求》中“5.5 密鑰管理安全性”的其他要求時，圖片取值為 1.2，其他情況 圖片取值均為 1。各種類型的常用密碼算法的安全強度如表 1 所示。

表 1　各種類型常用密碼算法的安全強度

為了能更直觀地反映《商用密碼應(yīng)用安全性評估量化評估規(guī)則》修訂前后各測評對象的測評結(jié)果量化評估分值變化情況，本文通過具體示例，計算了《商用密碼應(yīng)用安全性評估量化評估規(guī)則》修訂前后各測評對象的測評結(jié)果量化評估分值，對比分析了各測評對象的測評結(jié)果量化評估分值的變化。以三級系統(tǒng)為例，修訂前后各測評對象的測評結(jié)果量化評估分值對比如表 2 所示。

表 2　修訂前后各測評對象的測評結(jié)果量化評估分值對比

由表 2 可知，《商用密碼應(yīng)用安全性評估量化評估規(guī)則》修訂前后各測評對象的測評結(jié)果量化評估分值對于符合情況為符合和不符合的保持不變，量化評估分值發(fā)生變化的均屬于部分符合這種情況。當(dāng)所使用的密碼算法的安全強度小于 112 比特時，無論密鑰管理機制是否存在問題，2023 版的測評對象的測評結(jié)果量化評估分值相較于 2021 版均會有所降低。對于使用安全強度大于或等于 112 比特的密碼算法且使用的一級密碼模塊滿足 GM/T 0115—2021《信息系統(tǒng)密碼應(yīng)用測評要求》中“5.5 密鑰管理安全性”的其他要求時，2023 版的測評對象的測評結(jié)果量化評估分值相較于 2021 版會有所增加。

綜上所述，修訂后的《商用密碼應(yīng)用安全性評估量化評估規(guī)則》對各測評對象的測評結(jié)果量化評估更加科學(xué)和嚴謹，能更合理地指導(dǎo)商用密碼應(yīng)用安全性評估工作，提高密評工作的準(zhǔn)確率。

2.2　整體測評結(jié)果量化評估

相比于 2021 版《商用密碼應(yīng)用安全性評估量化評估規(guī)則》，2023 版中將整體測評結(jié)果量化評估分值的計算拆分為密碼應(yīng)用技術(shù)要求和密碼應(yīng)用管理要求兩個部分的加權(quán)求和。

2021 版《商用密碼應(yīng)用安全性評估量化評估規(guī)則》中，整體測評結(jié)果量化評估分值計算公式為：

式中：圖片為第 i 個安全層面的量化評估分值；圖片為第 i 個安全層面分配的權(quán)重；S 為所有安全層面測評結(jié)果圖片的加權(quán)平均值（四舍五入，取小數(shù)點后 2 位）。

2023 版《商用密碼應(yīng)用安全性評估量化評估規(guī)則》中，整體測評結(jié)果量化評估分值計算公式為：

物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全、管理制度、人員管理、建設(shè)運行和應(yīng)急處置 8 個安全層面的權(quán)值分別如圖 3 所示。

圖 3　各安全層面權(quán)值

由圖 3 可知，網(wǎng)絡(luò)和通信安全層面及應(yīng)用和數(shù)據(jù)安全層面的權(quán)重分別為 20 和 30，均高于其他安全層面的權(quán)重。這說明信息系統(tǒng)應(yīng)當(dāng)重點關(guān)注上述兩個安全層面密碼技術(shù)的應(yīng)用。與應(yīng)用和數(shù)據(jù)層面的密碼應(yīng)用相比，網(wǎng)絡(luò)和通信安全層面的密碼應(yīng)用對信息系統(tǒng)的業(yè)務(wù)應(yīng)用透明程度更高，更易于實現(xiàn)。

當(dāng)信息系統(tǒng) 8 個安全層面的測試指標(biāo)均適用時，式（4）和式（5）計算得到的整體測評結(jié)果量化評估分值相等。當(dāng)信息系統(tǒng) 8 個安全層面中存在某個安全層面的測試指標(biāo)均不適用時，則該安全層面不參與量化評估過程。以信息系統(tǒng)的“物理和環(huán)境安全”層面不適用為例，整體測評結(jié)果量化評估分值計算方法在 2021 版《商用密碼應(yīng)用安全性評估量化評估規(guī)則》中的計算公式為：

整體測評結(jié)果量化評估分值計算方法在2023 版《商用密碼應(yīng)用安全性評估量化評估規(guī)則》中的計算公式為：

假設(shè)存在 3 個正在進行商用密碼應(yīng)用安全性評估的三級信息系統(tǒng) A、B、C，且 3 個信息系統(tǒng)的物理和環(huán)境安全層面的測試指標(biāo)均不適用。其 中， 系 統(tǒng) A 在 其 他 7 個 安 全 層 面 的 量 化 評估分值為 {0.099 3,0.048 8,0.045 0,0.266 7,0.592 1,0.159 1,0.350 0}。系統(tǒng) B 在其他 7 個安全層面的量化評估分值為 {0.523 2,0.442 9,0.385 4,1,1,0.840 9,1}。系統(tǒng) C 在其他 7 個安全層面的量化評估分值為{1,0.477 0,0.739 6,1,1,1,1}。為了反映兩種整體測評結(jié)果量化評估分值計算方式的差異，本文分別按照式（6）和式（7）計算了信息系統(tǒng) A、B、C 的整體測評結(jié)果量化評估分值及其相對誤差。不同計算方式下信息系統(tǒng) A、B、C 的整體測評結(jié)果量化評估分值及其相對誤差如圖 4 所示。

圖 4　不同計算方式下信息系統(tǒng) A、B、C 的整體測評結(jié)果量化評估分值及其相對誤差

由圖 4 可知，對于系統(tǒng) A，其商用密碼應(yīng)用情況較差，在2021版下的量化評估分值為15.59 分，在 2023 版下的量化評估分值為 14.66 分?！渡逃妹艽a應(yīng)用安全性評估量化評估規(guī)則》修訂前后系統(tǒng)整體測評結(jié)果量化評估分值相差0.93分，分值相對誤差為 5.97%。對于系統(tǒng) B，其商用密碼應(yīng)用情況一般，在 2021 版下的量化評估分值為 61.26 分，在 2023 版下的量化評估分值為59.59 分?！渡逃妹艽a應(yīng)用安全性評估量化評估規(guī)則》修訂前后系統(tǒng)整體測評結(jié)果量化評估分值相差 1.67 分，分值相對誤差為 2.73%。對于系統(tǒng) C，其商用密碼應(yīng)用情況良好，在 2021 版下的量化評估分值為 85.51 分，在 2023 版下的量化評估分值為 84.79 分?！渡逃妹艽a應(yīng)用安全性評估量化評估規(guī)則》修訂前后系統(tǒng)整體測評結(jié)果量化評估分值相差 0.72 分，分值相對誤差為 0.84%。

綜上所述，當(dāng)信息系統(tǒng)的 8 個安全層面中存在某個安全層面的測試指標(biāo)均不適用時，信息系統(tǒng)依據(jù) 2023 版《商用密碼應(yīng)用安全性評估量化評估規(guī)則》計算得到的整體測評結(jié)果量化評估分值在一般情況下會略低于 2021 版的分值。隨著系統(tǒng)密碼安全應(yīng)用水平的提高，分值的相對誤差會逐步降低。實際上，《商用密碼應(yīng)用安全性評估量化評估規(guī)則》修訂前后對類似系統(tǒng) A 和系統(tǒng) C 的信息系統(tǒng)的整體評估結(jié)論無較大影響。但對于類似系統(tǒng) B 的信息系統(tǒng)的整體評估結(jié)論可能有決定性的影響。

假設(shè)系統(tǒng) B 在 2022 年通過了商用密碼應(yīng)用安全性評估，系統(tǒng)綜合得分為 61.26 分（閾值為60 分，系統(tǒng)無高風(fēng)險項），評估結(jié)論為基本符合。若該系統(tǒng)后期不存在密碼應(yīng)用整改情況，則系統(tǒng) B 在 2023 年商用密碼應(yīng)用安全性評估的綜合得分為 59.59 分，評估結(jié)論為不符合。這也提醒了類似系統(tǒng) B 的責(zé)任單位，按照 2021 版《商用密碼應(yīng)用安全性評估量化評估規(guī)則》低分通過密評的信息系統(tǒng)，仍然需要進一步進行密碼應(yīng)用建設(shè)，提高密碼應(yīng)用的合規(guī)性、正確性和有效性，才能保證系統(tǒng)順利通過之后的商用密碼應(yīng)用安全性評估。

3 結(jié)　語

隨著商用密碼在涉及國家安全和社會公共利益的重要網(wǎng)絡(luò)與信息系統(tǒng)中的廣泛應(yīng)用，依托密評工作保障網(wǎng)絡(luò)與信息安全，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權(quán)益變得愈發(fā)重要。本文通過具體的密評實例，對《商用密碼應(yīng)用安全性評估量化評估規(guī)則》修訂前后各測評對象的測評結(jié)果量化評估分值和整體測評結(jié)果量化評估分值進行了對比分析，修訂后的《商用密碼應(yīng)用安全性評估量化評估規(guī)則》為信息系統(tǒng)的密評提供了更加科學(xué)的評價依據(jù)，能夠更合理地指導(dǎo)信息系統(tǒng)密評過程中量化評估結(jié)果的獲取，進一步促進了商用密碼安全有效地應(yīng)用，助力商用密碼事業(yè)的發(fā)展走深向?qū)崱?/span>

引用格式：劉昕宇 , 蔡一鳴 , 李琳 , 等 .《商用密碼應(yīng)用安全性評估量化評估規(guī)則》解析 [J]. 信息安全與通信保密 ,2024(2):14-21.
作者簡介 >>>
劉昕宇，男，碩士，助理工程師，主要研究方向為網(wǎng)絡(luò)空間安全；
蔡一鳴，男，碩士，工程師，主要研究方向為網(wǎng)絡(luò)空間安全；
李　琳，男，博士，高級工程師，主要研究方向為網(wǎng)絡(luò)空間安全；
周睿康，男，碩士，高級工程師，主要研究方向為密碼學(xué)、網(wǎng)絡(luò)空間安全；
杜俊卓，男，學(xué)士，助理工程師，主要研究方向為信息安全；
黃晶晶，通信作者，女，博士，高級工程師，主要研究方向為網(wǎng)絡(luò)空間安全。
選自《信息安全與通信保密》2024年第2期（為便于排版，已省去原文參考文獻）
重要聲明：本文來自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點，轉(zhuǎn)載的目的在于傳遞更多知識和信息。

相關(guān)閱讀：
什么是商用密碼？商用密碼產(chǎn)品有哪些？
《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法》發(fā)布，要求使用商用密碼進行保護