【原创】四项密码指导性文件更新之解读（三）||《商用密码应用安全性评估FAQ》解读

2021年12月17日，中国密码学会更新发布了《商用密码应用安全性评估FAQ》等 4项密码应用与安全性评估指导性文件。《商用密码应用安全性评估FAQ》文件中共列了22个问题，前两期对文件的1-15条进行了解读，本期继续对《商用密码应用安全性评估FAQ》进行解读。

首先检查被测系统是否使用了相应的缓解措施，然后评估确认缓解措施是否有效，如果有效则最终可以酌情降低风险等级，从而导致测评结论发生改变，但是测评分数不变。

总结就是，采取缓解措施并评估有效的高风险项可以降低为中风险项，从而避免因为该项导致测评不通过，但是得不到相应测评分数。

附录A中，针对该测评项判定为不符合。

第六章风险分析中将缓解高风险的理由进行描述，同时将风险等级进行重新评估。

该项主要针对密评机构的密评报告。

如果双活机房之间通过运营商专线进行数据通信，则需要作为网络和通信安全层面的测评对象；

如果双活机房之间通信的通信链路是纯物理传输的裸光纤（提供证明、有安全保护措施等），则无需作为网络和通信安全层面的测评对象。

云平台需要通过测评，责任主体是云平台的运营者。

云上应用需要通过测评，责任主体是云上应用的运营者。

原则上（也就是非必须）：

云平台通过密评后，云上应用才能通过密评。

云平台的安全级别应不低于云上应用。

云平台测评过程中，除了基本测评，在测评结论中还须包含“云平台密码支撑能力说明”，有两类：

被完全评估的支撑能力：

测评对象同时用于支撑云平台和云上应用，进行完全评估，有明确测评结果。

云平台通过测评且安全等级不低于云上应用，则云上应用的测评对象为“不适用”。

被部分评估的支撑能力：

支撑服务仅用于云上应用而不用于云平台，或者将服务于云平台和云上应用的不同测评对象，进行部分评估，无明确测评结果，有相应适应情况分析。

云上应用的测评对象根据相应适应情况进行充分测评并给定测评结果。

说明：

云平台通过密评，但是其安全级别低于云上应用，此时对云上应用测评时，仍需要对云平台相关的密码应用进行重新测评。

云平台未通过密评（未开展或未符合），此时对云上应用测评时，仍需要对云平台相关的密码应用进行（重新）测评。

对于管理员用户，身份鉴别、传输通道安全等遵循相应的测评指标进行测评。

对于公众用户，网络和通信安全层面的身份鉴别、通信数据完整性、通信过程中重要数据的机密性等指标需要进行测评，身份鉴别侧重对网站的身份鉴别。

密评报告第3.3.2.1节的“表3-7应用和数据安全测评对象”和第4章节的“表4-4应用和数据安全测评结果汇总”中，可以都只列系统大的业务应用。

而针对该层面身份鉴别、重要数据传输和存储保护的较为细粒度的测评对象，可以在第4章节“表4-4应用和数据安全测评结果汇总”下方，针对应用和数据安全层面身份鉴别情况、关键数据的机密性和完整性保护情况、不可否认性情况进行说明，以及附录中的测评结果记录中来体现。

该项主要针对密评机构的密评报告。

  本期专题分享结束啦~

海泰方圆提供内容支持