量化评估框架

参考GM/T BBBB《信息系统密码应用测评要求》，本规则从三个方面进行量化评估：

密码使用安全（CryptographyDeployment security）是指，密码技术是否被正确、有效使用，以满足信息系统的安全需求，有效提供机密性、完整性、真实性和不可否认性的保护；

密钥管理安全（Key management security）是指，密钥管理的全生命周期是否安全，用于密码计算或密钥管理的密码产品/密码服务是否安全。

密码算法/技术安全（CryptographyAlgorithm/Technique security）是指，信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。

量化规则

（1）各测评对象的测评结果量化规则

密码应用技术要求中，第个安全层面的第测评单元的第测评对象，其量化评估结果，其中 0 表示不符合，1 表示符合，其它表示部分符合。的取值分别见表1。通用要求和密码应用技术要求各安全层面的“密码服务”和“密码产品”指标不单独评价。

密码应用管理要求不针对各个测评对象的测评结果进行量化评估。

（2）测评单元的测评结果量化规则

第 个安全层面的第 测评单元的量化评估结果 为该测评单元内所有 个测评对象测评结果的算术平均值（四舍五入，取小数点后 4 位），即：

密码应用管理要求中，第个安全层面的第测评，根据GM/T BBBB给出判定结果，符合为 1 分，不符合为 0 分，部分符合为 0.5 分。

（3）安全层面的测评结果量化规则

本文件为每个测评单元分配了相应的权重 ，如表 2 所示。第 个安全层面 的量化评估结果 为该安全层面内所有 个适用测评单元测评结果 的加权平均值（四舍五入， 取小数点后 4 位），即：

若某测评指标不适用，则不参与量化评估过程，不适用的判定方式参见GM/T BBBB。

（4）整体测评结果量化规则

本文件为每个安全层面分配了相应的权重，如表 2 所示。量化评估结果 为所有 个安全层面测评结果 的加权平均值（四舍五入，取小数点后 2 位），即：

若某个安全层面的所有测评指标都不适用，则该安全层面不参与量化评估过程。

如果觉得《商用密码应用安全性评估量化评估规则（版）》对你有帮助，请点赞、收藏，并留下你的观点哦！