密评测评实操专项：评分量化与结论判定完全手册

文档来源：

- GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》

- GM/T 0115-2021《信息系统密码应用测评要求》

- GM/T 0116-2021《信息系统密码应用测评过程指南》

- 《商用密码应用安全性评估量化评估规则》（2021年12月）

核心用途： 掌握密评实操打分逻辑、结论判定规则、实操方法（访谈/核查/测试）

---

一、测评工作四大阶段（完整流程）

`

┌─────────────────────────────────────────────────────┐

│ 密评工作四大阶段 │

├──────────┬──────────┬──────────┬───────────────────┤

│ ①测评准备 │ ②方案编制 │ ③现场测评 │ ④分析与报告编制 │

│ │ │ │ │

│ ·组建团队 │ ·确定测评 │ ·访谈 │ ·单元测评 │

│ ·签协议 │ 对象 │ ·文档核查 │ ·整体测评 │

│ ·信息收集 │ ·确定指标 │ ·实地察看 │ ·量化评估 │

│ ·工具准备 │ ·确定检查点│ ·配置检查 │ ·风险分析 │

│ │ ·编制方案 │ ·工具测试 │ ·形成结论 │

└──────────┴──────────┴──────────┴───────────────────┘

`

---

二、测评实施三大方法（★★★实操核心★★★）

每个测评指标通过以下三种方法获取证据：

| 方法 | 英文 | 具体操作 | 证据类型 |

|------|------|---------|---------|

| 访谈 | Interview | 与系统负责人/密钥管理员/审计员/操作员访谈 | 口头描述、管理制度文档 |

| 核查 | Examine | 查阅制度文档、配置记录、证书、密钥管理记录、操作日志 | 书面/电子文档证据 |

| 测试 | Test | 抓包分析、协议分析、配置验证、工具测试 | 技术实测证据 |

三种结果判定（四选一）

| 判定 | 含义 | 符号 |

|------|------|------|

| 符合 | 测评实施全部通过，证据充分 | ✅ |

| 不符合 | 测评实施第3项不通过，或未使用密码技术 | ❌ |

| 部分符合 | 测评实施通过但存在缺陷（如算法不合规但密钥管理安全） | ⚠️ |

| 不适用 | 信息系统无该测评指标相关的密码应用需求（经评估） | N/A |

★★★关键规则★★★： 当所有测评对象的判定均为"符合"时，测评单元结果=符合；均为"不符合"时=不符合；存在任何一个"不适用"且其余均为"符合"时=符合；其余情况=部分符合。

---

三、量化评估三维框架（★★★核心打分系统★★★）

3.1 三个评估维度

| 维度 | 英文代号 | 评估内容 |

|------|---------|---------|

| 密码使用有效性 | D（Deployment） | 密码技术是否被正确、有效使用，满足安全需求 |

| 密码算法/技术合规性 | A（Algorithm） | 算法是否符合法律法规、标准和行业规范要求 |

| 密钥管理安全性 | K（Key） | 密钥全生命周期是否安全，产品/服务是否安全 |

3.2 量化评估三维赋分表（★★★最核心打分表★★★）

| 符合情况 | D | A | K | 分值 | 典型场景 |

|---------|---|---|---|------|---------|

| 完全符合 | ✅ | ✅ | ✅ | 1分 | 三维全部满足 |

| 部分符合A | ✅ | ❌ | ✅ | 0.5分 | 密码有效，密钥安全，但算法不合规 |

| 部分符合B | ✅ | ✅ | ❌ | 0.5分 | 密码有效，算法合规，但密钥管理有问题 |

| 部分符合C | ✅ | ❌ | ❌ | 0.25分 | 密码有效，但算法不合规+密钥管理也有问题 |

| 不符合 | ❌ | / | / | 0分 | 未使用密码技术，或无法满足安全需求 |

★★★判断题极高频考点★★★： 三个维度独立判定，互不影响。例如在判定"密码使用有效性"时，不考虑算法合规性和密钥管理导致的风险！单独维度打分！

3.3 量化评估三级加权算分（★★★计算步骤★★★）

第一步：测评对象（Object）赋分

• 每个测评对象 Ti,j,k 得分 Si,j,k ∈ {0, 0.25, 0.5, 1}

第二步：测评单元（Unit）汇总算分

• 技术要求：算术平均值（四舍五入，保留4位小数）
• 管理要求：符合=1分，不符合=0分，部分符合=0.5分

第三步：安全层面（Layer）加权算分

• 公式：Si = Σ(wi,j × Si,j) / Σwi,j
• 8个安全层面各有不同权重（见下表）

第四步：整体综合得分

• 公式：S = Σ(wi × Si) / Σwi
• 各层面权重见下表

---

四、八大测评层面权重分配表（★★★背熟这张表★★★）

| 维度 | 序号 | 安全层面 | 层面权重(wi) | 第一级 | 第二级 | 第三级 | 第四级 |

|------|------|---------|------------|--------|--------|--------|--------|

| 技术要求 | 1 | 物理和环境安全 | 10 | 权重表① | 权重表① | 权重表① | 权重表① |

| | 2 | 网络和通信安全 | 20 | 权重表② | 权重表② | 权重表② | 权重表② |

| | 3 | 设备和计算安全 | 10 | 权重表③ | 权重表③ | 权重表③ | 权重表Ⅲ |

| | 4 | 应用和数据安全 | 30 | 权重表④ | 权重表④ | 权重表Ⅳ | 权重表Ⅳ |

| 管理要求 | 5 | 管理制度 | 8 | 权重表⑤ | 权重表⑤ | 权重表Ⅴ | 权重表Ⅴ |

| | 6 | 人员管理 | 8 | 权重表⑤ | 权重表⑤ | 权重表Ⅴ | 权重表Ⅴ |

| | 7 | 建设运行 | 8 | 权重表⑤ | 权重表⑤ | 权重表Ⅴ | 权重表Ⅴ |

| | 8 | 应急处置 | 6 | 权重表⑤ | 权重表⑤ | 权重表Ⅴ | 权重表Ⅴ |

权重表详情（各等级测评单元权重）：

物理和环境安全（序号1）各测评单元权重：

| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |

|---------|--------|--------|--------|--------|

| ①身份鉴别 | 0.4 | 0.7 | 1 | 1 |

| ②电子门禁记录数据存储完整性 | 0.4 | 0.4 | 0.7 | 0.7 |

| ③视频监控记录数据存储完整性 | / | / | 0.7 | 0.7 |

网络和通信安全（序号2）各测评单元权重：

| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |

|---------|--------|--------|--------|--------|

| ①身份鉴别 | 0.4 | 0.7 | 1 | 1 |

| ②通信数据完整性 | 0.4 | 0.4 | 0.7 | 1 |

| ③通信过程中重要数据的机密性 | 0.4 | 0.7 | 1 | 1 |

| ④网络边界访问控制信息完整性 | 0.4 | 0.4 | 0.4 | 0.7 |

| ⑤安全接入认证 | / | / | 0.4 | 0.7 |

设备和计算安全（序号3）各测评单元权重：

| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |

|---------|--------|--------|--------|--------|

| ①身份鉴别 | 0.4 | 0.7 | 1 | 1 |

| ②远程管理通道安全 | / | / | 1 | 1 |

| ③系统资源访问控制信息完整性 | 0.4 | 0.4 | 0.4 | 0.7 |

| ④重要信息资源安全标记完整性 | / | / | 0.4 | 0.7 |

| ⑤日志记录完整性 | 0.4 | 0.4 | 0.4 | 0.7 |

| ⑥重要可执行程序完整性+来源真实性 | / | / | 0.7 | 1 |

应用和数据安全（序号4）各测评单元权重：

| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |

|---------|--------|--------|--------|--------|

| ①身份鉴别 | 0.4 | 0.7 | 1 | 1 |

| ②访问控制信息完整性 | 0.4 | 0.4 | 0.4 | 0.7 |

| ③重要信息资源安全标记完整性 | / | / | 0.4 | 0.7 |

| ④重要数据传输机密性 | 0.4 | 0.7 | 1 | 1 |

| ⑤重要数据存储机密性 | 0.4 | 0.7 | 1 | 1 |

| ⑥重要数据传输完整性 | 0.4 | 0.7 | 0.7 | 1 |

| ⑦重要数据存储完整性 | 0.4 | 0.7 | 0.7 | 1 |

| ⑧不可否认性 | / | / | 1 | 1 |

---

五、整体结论判定（★★★最终结论怎么定★★★）

5.1 判定三步法

`

综合得分S计算

↓

├── S = 100分 ──→ 直接判定：符合 ✅

│

├── S < 100分

│ ↓

│ 存在高风险项？ ──→ 有 ──→ 不符合 ❌

│ ↓无

│ S ≥ 阈值？ ──→ 是 ──→ 基本符合 ⚠️

│ ↓否

│ 不符合 ❌

│

└── 特殊情况：S≥阈值但有高风险项 → 不符合 ❌

`

5.2 三种结论定义

| 结论 | 条件 | 综合得分 |

|------|------|---------|

| 符合 | 所有单元无安全问题，部分符合+不符合项=0 | S = 100分 |

| 基本符合 | 有安全问题（部分符合+不符合项不全为0），但无高风险，且S≥阈值 | S ≥ 阈值，无高风险 |

| 不符合 | 有高风险安全问题 或 S < 阈值 | S < 阈值 或 有高风险 |

★★★判断题最高频考点★★★： 整体得分不是100分 ≠ 不符合！低于阈值且有高风险才直接判定不符合！低于阈值但无高风险 → 基本符合！

5.3 密码应用"三性"原则（★★★贯穿全部测评★★★）

| 性质 | 定义 | 不符合表现 |

|------|------|---------|

| 合规性 | 符合国家标准（GB/GMT）、使用合规算法/技术/产品 | 使用了不合规算法（如RSA-1024）或未经核准产品 |

| 正确性 | 实现方式正确（技术正确部署） | 用了合规算法但配置错误 |

| 有效性 | 真正发挥安全保护作用 | 机制存在但不工作/被绕过 |

★★★三性必须全部满足，才算完全符合★★★

- 任一性不满足 → 部分符合或不符合

- 三性均不满足 → 不符合（0分）

---

六、整体测评（★★★弥补机制★★★）

6.1 什么是整体测评？

在单元测评完成后，对"部分符合"和"不符合"的测评项，引入单元间测评和层面间测评，分析是否存在弥补作用，调整纠正单元测评结果。

6.2 单元间弥补（同一安全层面内）

示例： 应用层"身份鉴别"不符合，但网络层通信信道有双向鉴别 → 可能弥补应用层缺陷。

6.3 层面间弥补（不同安全层面间）

示例： 设备层远程管理通道安全（网络和通信层面） → 可能弥补应用层部分缺陷。

6.4 整体测评修正规则

| 原判定 | 弥补效果 | 修正结果 |

|--------|---------|---------|

| 部分符合/不符合 | 上层/平层弥补使缺陷不影响整体安全 | 可调整为符合（+修正说明） |

| 部分符合/不符合 | 无法弥补，缺陷仍然存在 | 维持原判定（注明原因） |

★★★修正仅在最终报告中体现，不改变原始测评记录★★★

---

七、风险分析方法（★★★高风险判定★★★）

7.1 风险分析三要素

| 要素 | 取值 | 说明 |

|------|------|------|

| 威胁可能性 | 高/中/低 | 根据威胁类型和发生频率 |

| 影响程度 | 高/中/低 | 根据资产价值（高/中/低） |

| 风险值 | 高/中/低 | 综合前两者，由测评方赋值 |

7.2 高风险判定指引（GM/T 0053·12种高风险情形）

★★★满足任意一种即判定高风险★★★

| 序号 | 高风险情形 | 威胁利用难度 | 影响 |

|------|---------|-----------|------|

| 1 | 关键数据未采用密码技术保护 | 低（明文暴露） | 极高 |

| 2 | 使用不符合国标/行标的密码算法 | 低（已淘汰/不安全） | 高 |

| 3 | 密钥管理存在严重漏洞（明文存储/弱密钥） | 低 | 极高 |

| 4 | 密码模块未通过安全认证 | 低 | 高 |

| 5 | 身份鉴别机制失效或弱化 | 低 | 极高 |

| 6 | 重要数据传输未加密（机密性缺失） | 低 | 高 |

| 7 | 重要数据存储未加密（机密性缺失） | 低 | 高 |

| 8 | 完整性保护机制缺失 | 低 | 高 |

| 9 | 密码服务使用不合规 | 低 | 中高 |

| 10 | 密码设备管理不规范 | 低 | 中 |

| 11 | 应急处置机制缺失 | 低 | 高 |

| 12 | 安全审计机制缺失 | 低 | 高 |

7.3 风险评价与等级保护挂钩

根据被测信息系统的网络安全保护等级判断风险影响范围：

• 涉及国家安全、社会秩序、公共利益 → 高风险项影响极大
• 多个中低风险叠加也可能形成组合高风险

---

八、测评单元逐项操作规程（★实操方法论★）

8.1 典型测评单元：三步判定模板

以"应用系统用户身份鉴别"（第一级~第四级）为例：

步骤1：核查通用要求

• 核查密码算法合规性（SM系列算法？国标？经核准？）
• 核查密钥管理安全性（密钥是否加密存储？生命周期？）

步骤2：核查技术实现

• 采用了哪种鉴别技术？（动态口令/SM2数字签名/SM3 MAC）
• 技术实现是否正确且有效？

步骤3：证据判定

| 证据结果 | 测评对象判定 |

|---------|------------|

| 步骤1+2+3全部通过 | 符合 ✅ |

| 步骤3不通过（未采用密码技术） | 不符合 ❌ |

| 步骤1+2通过，步骤3部分通过 | 部分符合 ⚠️ |

8.2 典型测评场景：密钥管理全生命周期检查（附录A）

| 环节 | 检查要点 | 常见问题 |

|------|---------|---------|

| 产生 | 随机数发生器是否经核准？密钥长度？ | 使用非国密RND |

| 分发 | 是否加密传输？身份真实性保护？ | 明文分发 |

| 存储 | 是否密文存储？是否在安全区域？ | 明文存储★最高频★ |

| 使用 | 用途是否明确？是否按用途正确使用？ | 密钥混用 |

| 更新 | 是否有更新策略？过期/泄露时是否更新？ | 从不更新 |

| 归档 | 归档密钥是否安全？仅用于历史验证？ | 归档密钥混用 |

| 撤销 | 公钥证书是否有撤销机制？ | 无CRL |

| 备份 | 备份是否加密？审计记录？ | 无备份记录 |

| 恢复 | 是否有恢复机制？ | 无恢复测试 |

| 销毁 | 销毁是否不可逆？ | 简单删除即可恢复 |

---

九、测评报告结构（★★★报告模板★★★）

密评报告必须包含以下章节：

`

1. 概述（测评目的/依据/范围/对象）
2. 被测信息系统描述（网络拓扑/业务/部署）
3. 测评对象说明
4. 测评指标说明
5. 测评内容和方法说明
6. ★单元测评（逐单元判定结果+证据）
7. ★整体测评（弥补分析+修正结果）
8. ★量化评估（综合得分计算过程）
9. ★风险分析（威胁/影响/风险值+高风险项）
10. ★评估结论（符合/基本符合/不符合）
11. 改进建议

`

---

十、综合得分计算实例（★★★计算题必考★★★）

示例场景：某三级系统

| 层面 | 测评单元 | 测评对象数 | 各对象得分 | 单元得分 | 权重 | 加权贡献 |

|------|---------|-----------|-----------|---------|------|---------|

| 物理环境(10) | 身份鉴别 | 2 | [1, 0.5] | 0.75 | 1.0 | 0.75 |

| 网络通信(20) | 身份鉴别 | 1 | [1] | 1.0 | 1.0 | 1.0 |

| 网络通信(20) | 通信机密性 | 2 | [1, 0.25] | 0.625 | 1.0 | 0.625 |

| 应用数据(30) | 身份鉴别 | 3 | [1, 1, 0] | 0.667 | 1.0 | 0.667 |

| 管理制度(8) | 密钥管理制度 | 1 | [1] | 1.0 | 0.7 | 0.7 |

层面得分：

• 物理环境：0.75 × 1.0 / 1.0 = 0.75
• 网络通信：[(1.0×1.0) + (0.625×1.0)] / (1.0+1.0) = 0.8125
• 应用数据：0.667（仅1个适用单元）
• 管理制度：1.0（符合）

综合得分：

• S = (0.75×10 + 0.8125×20 + 0.667×30 + 1.0×8 + 1.0×8 + 1.0×8 + 1.0×6) / (10+20+30+8+8+8+6)
• S = (7.5 + 16.25 + 20.01 + 8 + 8 + 8 + 6) / 90
• S = 73.76 / 90 = 81.96分

结论判定：

• S=81.96 < 100 → 不是完全符合
• 假设无高风险项，且阈值通常为60-70分（具体以当年规则为准）→ 基本符合 ⚠️

★★★考试技巧：判断题可直接用"有高风险=不符合"或"100分=符合"快速判断★★★

---

十一、管理要求测评要点速查（★四级分别记忆★）

管理制度（第一级~第四级）

| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |

|---------|--------|--------|--------|--------|

| 密码应用安全管理制度 | 应具备 | 应具备 | 应具备 | 应具备 |

| 密钥管理规则 | 应建立 | 应建立 | 应建立 | 应建立 |

| 建立操作规程 | — | 应建立 | 应建立 | 应建立 |

| 定期修订安全管理制度 | — | — | 应定期 | 应定期 |

| 明确管理制度发布流程 | — | — | 应明确 | 应明确 |

| 制度执行过程记录留存 | — | — | 应留存 | 应留存 |

人员管理（第一级~第四级）

| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |

|---------|--------|--------|--------|--------|

| 了解并遵守法规和制度 | 应了解 | 应了解 | 应了解 | 应了解 |

| 岗位责任制度 | — | 应建立 | 应建立+关键岗位设置+多人共管+审计员不可兼任 | 同三级+背景调查 |

| 上岗人员培训制度 | — | 应建立 | 应建立 | 应建立 |

| 定期考核 | — | — | 应定期 | 应定期 |

| 关键岗位保密+调离制度 | 应及时终止权限 | 应建立 | 应建立 | 应建立 |

建设运行（第一级~第四级）

| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |

|---------|--------|--------|--------|--------|

| 制定密码应用方案 | 应制定 | 应制定 | 应制定 | 应制定 |

| 密钥安全管理策略 | 应制定 | 应制定 | 应制定 | 应制定 |

| 制定实施方案 | 应制定 | 应制定 | 应制定 | 应制定 |

| 运行前密评 | 可进行 | 可进行 | 应通过 | 应通过 |

| 定期密评+攻防演习 | — | — | 应定期 | 应定期 |

应急处置（第一级~第四级）

| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |

|---------|--------|--------|--------|--------|

| 应急策略 | 用户自主处置 | 制定策略+处置 | 制定策略+立即启动 | 同三级 |

| 事件上报 | — | — | 向主管部门报告 | 向主管部门+密码管理部门报告 |

| 上报处置情况 | — | — | 应上报处置情况 | 同三级 |

---

十二、判断题最高频陷阱TOP20（实操专项）

| # | 错误表述 | 正确答案 |

|---|---------|---------|

| 1 | "综合得分=90分=符合" | 必须=100分才算符合！90分属于基本符合或不符！ |

| 2 | "密码三维评估中，算法不合规可以直接判定密钥管理不合格" | 三个维度独立判定，互不影响！ |

| 3 | "部分符合=0.5分，部分符合的单元直接取0.5" | 管理要求才直接给0.5分！技术要求是对所有对象算术平均！ |

| 4 | "等保三级运行前密评'可'进行" | 三级和四级都是"应通过"！不是可！ |

| 5 | "密钥管理员可以兼任审计员" | 三级起：审计员不得与密钥管理员、操作员兼任！ |

| 6 | "密码审计员可以兼任操作员" | 审计员不可与任何密钥相关岗位兼任！ |

| 7 | "第二级需要关键岗位背景调查" | 第二级只需明确职责；第三级起需多人共管+背景调查！ |

| 8 | "整体测评可以降低分值" | 整体测评是弥补机制，可能上调也可能维持原判定！ |

| 9 | "S<100一定有高风险" | S<100不一定高风险！低于阈值且有高风险才算不符合！ |

| 10 | "不符合=100分" | 不符合是指有高风险或S<阈值，与100分无关！ |

| 11 | "第一级必须建立操作规程" | 第一级无操作规程要求！从第二级开始！ |

| 12 | "第一级运行前密评'应'通过" | 第一级是"可"！从第三级才强制要求！ |

| 13 | "网络边界访问控制信息完整性，第一级也需要测试" | 第一级测评单元权重0.4，属于"宜"的要求（非强制）！ |

| 14 | "测评中算法合规性和密钥管理可以互相弥补" | 不能弥补！两个维度独立判定！ |

| 15 | "不适用项直接算符合" | 不适用项不参与计算（分子分母均不计入）！ |

| 16 | "定期开展攻防演习从第一级开始" | 从第三级开始！第一二级无此要求！ |

| 17 | "三级系统只需要向主管部门报告安全事件" | 三级向主管部门；四级还需向密码管理部门报告！ |

| 18 | "三级要求审计员不得兼任" | 审计员不得与密钥管理员和操作员同时兼任（三者互斥）！ |

| 19 | "测评对象不符合，该测评单元直接得0分" | 测评单元取所有对象得分的算术平均值！ |

| 20 | "现场测评只需要核查文档" | 必须包括：访谈+文档审查+实地察看+配置检查+工具测试！ |