商用密码应用安全性评估量化评估规则中国密码学会密评联委会二〇二〇年十二月目录1.范围.....................................................................12.规范性引用文件...........................................................13.原则.....................................................................14.量化评估框架.............................................................15.量化规则.................................................................26.整体结论判定.............................................................3I商用密码应用安全性评估量化评估规则1.范围本文件依据GB/TAAAAA《信息安全技术信息系统密码应用基本要求》和GM/TBBBB《信息系统密码应用测评要求》，对信息系统的密码应用情况给出定量评估结果。本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。2.规范性引用文件1)GB/TAAAAA《信息安全技术信息系统密码应用基本要求》2)GM/TBBBB《信息系统密码应用测评要求》3.原则本文件按如下原则设计量化评估规则：1)遵循法律法规和最新相关指导性文件的总体要求；2)遵循GB/TAAAAA和GM/TBBBB；3)鼓励使用密码技术；4)特别鼓励使用合规的密码算法/技术/产品/服务；5)优先在网络和通信安全层面、应用和数据安全层面进行密码技术应用。4.量化评估框架参考GM/TBBBB，本规则从三个方面进行量化评估：密码使用安全（CryptographyDeploymentsecurity）是指，密码技术是否被正确、有效使用，以满足信息系统的安全需求，有效提供机密性、完整性、真实性和不可否认性的保护；密钥管理安全（Keymanagementsecurity）是指，密钥管理的全生命周期是否安全，用于密码计算或密钥管理的密码产品/密码服务是否安全。密码算法/技术安全（CryptographyAlgorithm/Techniquesecurity）是指，信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，信1