《中国密码学会：2026商用密码应用安全性评估FAQ（第四版）（64页）.pdf》由会员分享，可在线阅读，更多相关《中国密码学会：2026商用密码应用安全性评估FAQ（第四版）（64页）.pdf（64页珍藏版）》请在三个皮匠报告上搜索。

1、 商用密码应用安全性评估商用密码应用安全性评估 FAQ（第四版）（第四版）中国密码学会密评联委会中国密码学会密评联委会 首次首次发布日期：发布日期：2021 年年 12 月月 最近最近更新日期：更新日期：2026 年年 3 月月 目目 录录 前 言.I 第四版与第三版第四版与第三版 FAQFAQ 对照情况表对照情况表.IIII 一、通用类.1 1.信息系统密码应用基本要求的等级.1 2.具有认证证书的商用密码产品对应的模块等级.2 3.经认证合格的密码产品的产品合规性、密钥安全符合性的判定要点.3 4.通过代码实现数据机密性、完整性保护的判定方法.6 5.组合密码算法的量化评估和风险判定.7

2、6.如何开展分期规划、改造的信息系统的密码应用安全性评估.8 7.已有通过评估的密码应用方案，在实际密评时的注意事项.9 8.自建 CA 签发数字证书的合规性判定要点.9 9.对于被测方没有改造和管理权限的接口进行密评的注意事项.10 二、密码应用技术类.11（一）物理和环境安全（一）物理和环境安全.11 10.物理和环境安全层面的测评对象识别和确定.11 11.电子门禁记录数据存储完整性测评时的注意事项.13（二）网络和通信安全（二）网络和通信安全.14 12.网络和通信安全层面的测评对象识别与确定.14 13.网络和通信安全层面的身份鉴别等指标.20 14.网络层安全接入认证和身份鉴别指标

3、的差别.21（三）设备和计算安全（三）设备和计算安全.22 15.设备和计算安全层面的测评对象识别与确定.22 16.设备和计算安全层面测评对象选取粒度.23 17.设备和计算安全层面的身份鉴别.24 18.远程管理通道安全的测评要点.26 19.合规密码产品的设备层身份鉴别、完整性相关指标的判定.27（四）应用和数据安全（四）应用和数据安全.28 20.应用和数据安全层面的测评对象识别与确定.28 21.应用和数据安全层面的身份鉴别.30 22.重要数据机密性、完整性保护的实现方法问题.31 23.应用和数据安全层面的存储机密性问题.33（五）综合（五）综合.34 24.访问控制信息的具体含

4、义.34 25.跨网络调用密码资源实现相应密码功能的测评要点.36 三、密码应用管理类.37 26.缺少密码应用方案的合规性判定.37 27.投入运行前未进行密码应用安全性评估的合规性判定.37 28.定期开展密码应用安全性评估及攻防对抗演习指标的合规性判定.38 29.应急处置指标的合规性判定.39 四、整体测评类.40 30.测评对象间的弥补场景.40 五、量化评估类.41 31.商用密码应用安全性评估量化评估规则（2023 版）中，密码使用有效性 D 项的判定.41 六、风险判定类.42 32.有缓解措施的高风险判定.42 33.应用层身份鉴别是否可以缓解网络层身份鉴别的高风险.43 3

5、4.如何理解高风险判定指引中的“适用时”.45 35.不涉及高风险的指标使用了高风险算法、技术或产品进行保护时，如何判定风险.45 七、特殊场景类.46 36.云平台测评的责任和范围.46 37.云平台和云上应用的测评方式和测评结论复用方式.47 38.面向公众等网站的测评.52 39.特殊系统的测评对象选取.52 40.如何开展信息系统密码应用成熟度极低情况下的密码应用管理测评.53 41.特定行业或具有特殊密码应用需求的信息系统测评.54 I 前 言 本文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解答，以帮助密码应用以及商用密码应用安全性评估人员更好的开展商用密码

6、应用安全性评估工作。本文件内容仅供参考，最终应以相关政策法规和标准规范为准。编辑组：第一版：张立花、肖秋林、郑昉昱、贾世杰、黎水林、王勇、范佳奇、刘健、刘军荣、冀利刚、杨宏志、李晨旸；第二版：李智虎、王洋、朱凌、李海滨、高岩、李海涛、高锐、唐启楠、张腾标、李艳俊、陈爽、刘烨、佟鑫、管彩霞；第三版：陈天宇、刘军荣、翟峰、秦琦、吕娜、郑峥、王正临、苏欧煜、张晓溪、朱凌、江寰、亢康、杨龙、佟鑫、李昊宸、陈爽、姚莹、王海涛、史汝辉、宋松、刘烨、卢秋如、邓福彪、薛涛。第四版：张立花、李智虎、苏欧煜、王微、王建峰、陈小庆、刘烨、赵雨雨、张晓溪、唐启楠、吴栋、牛莹姣、刘琛、卢秋如、宋兴博、刘芝影、王海涛、李