商用密码应用与安全性评估要点笔记（密评管理测评要求、测评过程指南）

4.5 密评管理测评要求

词条	内容
层面	管理制度（包括6个测评单元）
单元-1	具备密码应用安全管理制度（1-4级）
	测评指标：具备密码应用安全管理制度，包括人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度 测评对象：安全管理制度类文档 测评实施：核查各项安全管理制度文档是否包含人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度 结果判定：同上
单元-2	密钥管理规则（1-4级）
单元-3	建立操作规程（2-4级）
单元-4	定期修订阿暖管理制度（3-4级）
单元-5	明确管理制度发布流程（3-4级）
单元-6	制度执行过程记录留存（3-4级）
层面	人员管理（包括5个测评单元）
单元-1	了解并遵守密码相关法律法规和密码管理制度（1-4级）
单元-2	建立密码应用岗位责任制度（2-4级）
单元-3	建立上岗人员培训制度（2-4级）
单元-4	定期进行安全岗位人员考核（3-4级）
单元-5	建立关键岗位人员保密制度和调离制度（1-4级）
层面	建设运行（包括5个测评单元）
单元-1	制定密码应用方案（1-4级）
单元-2	制定密钥安全管理策略（1-4级）
单元-3	制定实施方案（1-4级）
单元-4	投入运行前进行密码应用安全性评估（1-4级 可宜应应）
单元-5	定期开展密码应用安全性评估及攻防对抗演习（3-4级）
层面	应急处置（包括3个测评单元）
单元-1	应急策略（1-4级）
单元-2	事件处置（3-4级）
单元-3	向有关主管部门上报处置情况（3-4级）

4.6 测评过程指南

词条	内容
密评时遵循原则	客观公正性原则（最小主观判断情形下） 可重用性原则（包括商用密码检测认证结果、密码应用安全性评估的测评结果） 可重复性和可再现性原则 结果完善性原则（GM/T0115各个要求项内容的基础上）
测评风险识别	验证测试可能影响被测信息系统正常运行 工具测试可能影响被测信息系统正常运行 可能导致被测信息系统敏感信息泄露 其他可能面临的风险（可能出现被测系统可用性、机密性和完整性的风险）
测评风险规避	签署委托测评协议书（测评工作正式开始之前，明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求以及双方的责任和义务等。 签署保密协议 签署现场测评授权书（对系统及数据进行备份、采用适当的方法进行风险规避，并针对可能出现的时间制定应急处置方案。 现场测评要求（避开业务高峰期在空闲时测试；在模拟/仿真环境下开展测评工作；需要上机验证时，密评人员提出需要验证的内容，由被测单位的技术人员进行实际操作；整个现场测评过程，由被测单位和测评方相关人员进行监督。完成后，密评人员交回所有权限及文档，并将测评现场环境恢复至测评前状态。）
测评过程前	需要对被测信息系统的密码应用方安进行评估，通过评估的密码应用方案可以作为测评实施的依据。（信息系统没有密码应用方案或者密码应用方案没通过评估，如何处理？？）尽快补齐，如确无则测评指标需要逐条核查、评估。
4项基本测评活动	测评准备活动（掌握详细情况，准备测评工具，为编制密评方案做好准备） 方案编制活动（关键活动，确定测评对象、测评指标、测评检测点击测评内容） 现场测评活动（核心活动，分步实施所有测评项目） 分析与报告编制活动（根据密评方案和GM/T0115的有关要求，通过单元测评、整体测评、量化评估和风险分析等方法）
测评准备活动	项目启动 信息收集和分析 工具和表单准备
（1）项目启动	输入：委托测评协议书、保密协议 动作：组建测评项目组，编制项目计划书：项目概述、工作依据、技术思路、工作内容和项目组织等，要求被测单位提供基本资料 输出：项目计划书
（2）信息收集和分析	输入：调查表格 动作：收集测评所需资料（系统总体描述文件、系统密码应用总体描述文件、网络安全等级保护定级报告、安全需求分析报告、安全总体方案、安全详细设计方案、密码应用方案、相关密码产品的用户操作指南、各种密码应用安全规章制度以及相关过程管理记录和配置管理文档等）；给被测单位送达调查表格协助并督促准确填写；分析调查表格（可以采信自查结果、上次网络等保测评报告或密评报告中的可信结果）；若调查表格中有不准确、不完善或存在相互矛盾的情况，现场核实沟通确认，确保调查信息的正确性和完整性。 输出：完成的调查表格，各种与被测信息系统相关的技术资料
（3）工具和表单准备	输入：完成的调查表格、各种与被测信息系统相关的技术资料 动作：校准本次测评过程中将用到的测评工具；若具备条件，可模拟搭建被测评环境，进行前期准备和验证；准备并打印表单（现场测评授权书、风险告知书、文档交接单、会议记录表单、会议签到表单等）。 输出：工具清单；打印的各类表单。
方案编制活动	测评对象确定 测评指标确定 测评检测点确定 测评内容确定 密评方案编制
（1）测评对象确定	输入：完成的调查表格、各种与被测信息系统相关的技术资料 动作：识别被测信息系统的基本情况；描述被测信息系统；确定测评对象；资产和威胁评估；描述测评对象。 输出：密评方案的测评对象部分
（2）测评指标确定	（根据被测信息系统定级结果，确定本次测评的测评指标） 输入：完成的调查表格、GM/T0115、通过评估的密码应用方案、相关行业标准规范 动作：根据定级结果，根据GM/T-115选择相应等级对应的测评指标；根据行业标准规范以及密码应用需求，确定特殊测评指标；进行逐项确认各项指标的适用性；确无密码应用方案的，对所有不适用项进行逐条核查、评估、详细论证。 输出：密评方案的测评指标部分
（3）测评检测点确定	（对一些关键安全点进行现场检测确认） 输入：被测信息系统详细网络结构、选用的密码算法、技术、产品和服务等详细信息、通过评估的密码应用方案和GM/T0115。 动作：关键设备检测，一般为承载核心资产流转、进行密钥管理的设备；使用工具进行测评时，采用图示的方式描述测评工具的接入点、测试目的、测试途径和测试对象等相关内容。（从系统边界外接入时，接在系统边界设备交换机上；内部不同网段时，接在与被测对象不在同一网段的核心交换机上；内部同网段时，接在同网段的交换机上；工具接入不成熟时，生成必要的离线数据） 输出：密评方案的测评检查点部分。
（4）测评内容确定	（确定现场测评的具体实施内容，即单元测评内容） 输入：完成的调查表格、密评方案的测评对象、测评指标、测评检查点部分、通过评估的密码应用方案和GM/T0115。 动作：测评指标和测评对象结合起来，测评对象与具体测评方法结合起来。现场单元测评实施通常以表格的形式给出，表格内容包括测评指标、测评内容描述等。 输出：密评方案的单元测评实施部分。
（5）密评方案编制	输入：委托测评协议书、项目计划书、完成的调查表格、通过评估的密码应用方案和GM/T0115、密评方案中测评对象、指标、检查点、测评内容等 动作：项目概述（注意被测系统与其他系统之间的连接情况）；明确相关的标准规范；估算现场工作量（配置检测的节点数量、工具接入点、测试内容等）；项目组成员分工，编制工作安排；编制具体测评实施计划，包括现场工作人员分工和时间安排（所需保障也应一并提出）；汇总形成密评方案，经评测方内部评审通过后，提交被测单位签字确认。 输出：经过评审和确认的密评方案文本。
现场测评活动	现场测评准备 现场测评和结果记录 结果确认和资料归还
（1）现场测评准备	输入：现场测评授权书、风险告知书、经过评审和确认的密评方案 动作：测评现场首次会，进一步明确测评计划和内容，说明安排和可能存在的安全风险；确认所需的各种资源，包括被测单位的配合人员和需要提供的测评条件等，确认被测信息系统已备份过系统及相关数据；被测单位签署现场测评授权书和风险告知书；做可能的更新。 输出：会议记录、更新确认的密评方案、签署过的测评授权书和风险告知书
（2）现场测评和结果记录	输入：更新确认后的密评方案、测评结果记录表格、各种与被测信息系统相关的技术资料 动作：在约定的测评时间，与有关人员（个人群体）访谈、文档审查、实地查看以及在检查点进行配置检查和工具测试；对取得相应证书的密码产品主要进行符合性核验和配置检查；进行配置检查时，先确认实际部署的密码产品与声称情况的一致性，再查看配置的正确性，并记录相关证据；在配置检查无法提供有力证据情况下，应通过工具测试抓取并分析被测信息系统相关数据。 （1）重点采集被测信息系统与外界通信的数据，以及内部传输和存储的数据。在条件允许的情况下，可以重放采改传输的数据验证被测系统是否对传输数据进行完整性保护。 （2）采集密码产品和其调用者之间的通信数据。若无法接入测试工具（如密码产品是软件密码模块），且无法提供源代码时，可使用逆向分析。 （3）探测IPsec VPN和SSL VPN等密码协议所对应的特定端口服务是否开启，利用漏洞扫描、渗透测试等工具对被测信息系统进行分析，查看是否存在与密码相关的安全漏洞。 输出：各类测评结果记录。
（3）结果确认和资料归还	输入：测评结果记录、工具测试完成后的电子输出记录 动作：首先汇总现场测评记录，对遗漏和需要进一步验证的内容实施补充测评；测评现场结束会，对测评结果记录进行现场沟通和确认；归还所有文档，将环境恢复至测评前状态，并由被测单位文档资料提供者签字确认。 输出：经过被测单位确认的各类测评结果记录。
分析和报告编制活动	单元测评 整体测评 量化评估 风险分析 评估结论形成 密评报告编制
（1）单元测评	输入：经过被测单位确认的各类测评结果记录、GM/T0115 动作：针对各测评单元涉及的各个测评对象，得到每个测评对象对应的测评结果（符合、部分符合、不符合、不适用）；汇总各测评单元涉及的所有测评对象的测评实施结果，对各测评单元进行结果判定（符合、部分符合、不符合、不适用） 输出：密评报告的单元测评部分。
（2）整体测评	（针对测评结果为部分符合和不符合的测评对象，采取逐条判定的方法，给出整体测评的具体结果） 输入：密评报告的单元测评部分 动作：针对测评对象“部分符合”及“不符合”要求的单个测评项，分析与该测评项相关的其他单元/其他层面的测评对象能否和它发生关联关系、发生何种关联关系、是否可以“弥补”该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。结合单元测评结果汇总和整体测评结果，将物理和环境安全、网络和通信安全、设备和计算安全测评结果再次汇总分析，统计符合情况。 输出：密评报告的单元测评结果修正部分。
（3）量化评估	输入：密评报告的单元测评的结果汇总及整体测评部分 动作：根据整体测评结果，计算修正后各测评指标的各测评对象的测评结果符合程度得分；计算各测评单元得分；计算各安全层面得分；计算整体得分；总体评价被测信息系统已采取的有效保护措施和存在的密码应用安全问题情况。 输出：密评报告中整体测评结果和量化评估部分，以及总体评价部分。
（4）风险分析	输入：完成的调查表格、密评报告的整体测评结果和量化评估部分、相关风险评估标准。 动作：根据威胁类型和威胁发生频率，判断测评结果中部分符合或不符合项所产生的安全问题被威胁利用的可能性（高、中、低）；根据资产价值的高低，分析安全问题被威胁利用后，影响程度取值（高、中、低）；综合前2步，对安全风险赋值（高、中、低）；对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险进行评价。注意多个中低风险的叠加可能导致高风险。 输出：密评报告的风险分析部分。
（5）评估结论形成	输入：密评报告中被测信息系统的综合得分和总体评价部分、风险分析部分。 动作：得到三种结论（符合-100分，基本符合-60分以上，无高等级风险，不符合-其他情况。） 输出：密评报告的评估结论部分。
（6）密评报告编制	输出密评报告，报告应符合信息系统密码应用安全性评估模板要求。 对每一个定级的被测信息系统应单独形成一份密评报告。 对存在的安全问题，提出相应改进建议。 采用列表方式，给出现场测评文档清单和测评记录。 对密评报告进行内部评审，由授权签字人进行签发，提交被测单位。 输出：经过评审和确认的密评报告