密评FAQ第四版新增要点解读

一、新增解答

8.自建CA签发数字证书的合规性判定要点

问题：企业通过自建 CA 为信息系统签发用于加密通信和身份认证的数字证书，是否合规？ 

重点关注解答：可以使用自建CA为自身信息系统签发加密通信和身份认证的数字证书，但企业自建CA所使用的密码产品应具有商用密码产品认证证书。其使用的密码产品安全等级应与信息系统密码应用要求的等级相符，且采取相应的技术和管理措施保障自建 CA 安全运行。

9.对于被测方没有改造和管理权限的接口进行密评的注意事项

问题：是否可以因为无改造和管理权限、接口责任方不在本系统范围等原因将这类互联通道论证为不适用？

重点关注解答：不能仅仅因为无改造和管理权限、接口责任方不在本系统范围等原因就将这类互联通道论证为不适用。确因客观原因无法取得关键证据，可考虑系统实际情况，酌情采用非关键证据对系统指标进行判定，并注意结合实际安全控制措施进行风险判定。

12.网络和通信安全层面的测评对象识别与确定

12.6 问题： 如果服务端同时支持国外和国密算法，如何选择该通道的测评对象？

重点关注解答： 明确就低原则，若客户端同一个用户可以选择核准的算法套件也可以选择非核准的算法套件，则现场测评时选择该通道最不符合测评条款的算法类型进行测试和量化评估，按照该通道最弱的算法套件计分；若客户端和服务端采用了技术措施限制算法使用的类型，但仍存在用户客户端支持国密浏览器建立国密通道，同时也支持非国密浏览器建立非国密通道，明确支撑不同用户使用，两类通道就作为两个对象测评。

13.网络和通信安全层面的身份鉴别等指标

13.1 问题：采用合规的SSL VPN安全网关建立TLCP连接，但客户端采用的浏览器（插件）或客户端软件未获得商用密码产品认证证书，此时网络和通信安全层面的“身份鉴别”指标该如何进行判定？ 

重点关注解答：对合规的SSL VPN安全网关建立TLCP连接身份鉴别和通信数据保护明确了量化给分，如果客户端的浏览器与服务端建立TLCP连接，且是客户端对服务端的单向身份鉴别，最高可判定为“D(√)、A(√)、K(√)。” 针对网络和通信安全层面的“双向身份鉴别”，由于在客户端需要进行私钥管理，如果采用的是不具备商用密码产品认证证书（或密码模块等 级不符合）的浏览器或客户端软件，则密钥管理K应判为“不符合”，且明确高风险判定指引的结合分析。

13.2 问题：当用户使用“合规”的SSL VPN安全网关建立TLS连接，且使用的国外密码算法套件安全强度足够，此时网络和通信安全层面的“通信数据完整性”、“通信过程中重要数据的机密性”指标该如何进行量化和风险判定？ 

重点关注解答：具有商用密码产品认证证书的SSL VPN安全网关，在产品检测和认证时并不对其向业务用户提供的TLS连接功能进行检测，在对该功能进行密评时不能复用 SSL VPN产品检测认证的结果。量化评估时，D、A、K最高可判定为“D （√）、 A（×）、 K（×）”，同时开展高风险判定。

22.重要数据机密性、完整性保护的实现方法问题

22.3 问题： 鉴别数据使用SM3加盐（salt）杂凑实现口令存储机密性保护，如何进行判定。

重点关注解答：口令使用SM3加盐（salt）杂凑，在保证盐值唯一（每个用户盐值不同）、口令强度和登录次数限制的情况下，口令本身的机密性保护可判定符合。推荐采用国家密码管理部门核准的密码模块实现SM3杂凑算法，同时保证盐的长度和算法迭代轮数满足GM/T 0091-2020《基于口令的密钥派生规范》的要求。为防止口令被整体 或部分篡改、替换等，还需要加入对口令的完整性，以及访问控制等保护措施。

23.应用和数据安全层面的存储机密性问题 

问题： 在实现服务端数据的存储机密性保护时，未对数据内容（信源）进行加密，而是使用加解密模块等产品对数据整体加密，达到加解密过程对应用软件“无感”的效果。对这种情况进行测评时，应重点关注哪些内容。 

重点关注解答：服务端对重要数据加密或完整性保护可能实施在不同层次上，包括物理层（如磁盘加密）、设备层（操作系统或数据库直接加密）、应用层（文件/数据库表加密）以及以上多层方式的组合等。对于不同层次的加密措施，其防护的对象和面临的风险也不同，因此需要根据实际情况综合判断。重要数据的存储机密性和传输机密性，均为对数据资源本身提出的密码应用要求，因此，对于该项指标实现的符合性判定，应以应用对数据资源（信源）本身是否进行加密为准。

28.定期开展密码应用安全性评估及攻防对抗演习指标的合规性判定

问题：被测信息系统为试运行阶段开展密评的新建系统，建设运行层面“在运行过程中，应严格执行既定的密码应用安全管理制度，应定期开展密码应用安全性评估及攻防对抗演习，并根据评估结果进行整改”测评项应如何判定？ 

重点关注解答：若被测系统处于试运行阶段开展密评工作，则仅需查看相关的管理制度中是否有对信息系统投入运行后定期开展密码应用安全性评估及攻防对抗演习的要求，若管理制度中提及相应的要求，则可判定为“符合”。

29.应急处置指标的合规性判定

问题：在部分信息系统从未发生任何密码安全事件的情况下，“事件发生后，应及时向信息系统主管部门进行报告”和“事件处置完成后，应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况” 指标该如何判定？是否可以判定为不适用？ 

重点关注解答：在未发生任何密码安全事件的情况下，指标仍判定为“适用”，无论是否有安全事件发生，均应具有相应的体系、制度、执行表单等文档材料。

30.测评对象间的弥补场景

问题：测评对象间弥补的场景有哪些？在什么情况下，测评对象A可以弥补测评对象B的分值？

重点关注解答：明确目前可能存在弥补关系的测评项仅包括“网络和通信安全层面-通信数据完整性”和“应用和数据安全层面-重要数据传输完整性”、“网络和通信安全层面-通信过程中重要数据的机密性”和“应用和数据安全层面-重要数据传输机密性”。明确应用系统重要数据A在多条通信信道中传输，当多条通信信道均采用密码技术实现通信过程中重要数据A的机密性保护时，应采取“就低原则”对测评对象A的分值进行量化评估；当其中某条通信信道未采用密码技术时，测评对象A 无法被“网络和通信安全层面”的测评对象弥补。

32.有缓解措施的高风险判定

32.2 问题： 许多特殊行业的场景（如工控、医疗）不支持直接改造，但依然采用了严格的管理措施来保障风险缓解，高风险判定指引中提到的通用要求和缓解措施无的情况，能否通过严格的管理措施来缓解？

重点关注解答：针对特殊行业的场景不支持改造但《信息系统密码应用高风险判定指引（2021版）》中未提供可能的缓解措施的情况，不能直接依据“采用了严格的管理措施”来缓解风险。对于面向互联网的信息系统不支持改造的情况，涉及到的风险建议客观评估。

35.不涉及高风险的指标使用了高风险算法、技术或产品进行保护时，如何判定风险

问题：《信息系统密码应用高风险判定指引（2021版）》不涉及高风险的指标使用了高风险判定指引中列出的高风险算法、技术或产品，例如二级系统的网络和通信层面通信数据完整性，但密码套件的完整性算法出现了高风险算法，应如何判定风险。 

重点关注解答：非高风险指标用高风险算法等，明确使用的密码算法、技术或产品本身存在的风险等级，不等同于指标项的风险等级。某一特定指标所对应的测评对象，即便在未采用密码技术实施保护措施的情况下，依据风险分析及相关标准判定，其本身也不会形成高风险的话，若该测评对象使用了高风险的算法、技术或产品，建议测评人员还是按照原来的风险等级进行判定。

37.云平台和云上应用的测评方式和测评结论复用方式

37.3 问题： 如果已经取得符合性密评报告的云平台、密码服务平台超期未复评，是否可以被云上应用复用？

重点关注解答：不能结论复用的情况。在对租户信息系统进行测评时，云平台、密码服务平台不能提供定期复评的报告，云平台、密码服务平台的早期测评报告不能作为租户信息系统测评依据，仍需对平台侧相关指标进行补充测评。·  

41.特定行业或具有特殊密码应用需求的信息系统测评

问题：特定行业的密码应用标准规范与GB/T 39786-2021不一致时（存在特殊指标时）应如何确定测评指标、进行量化评估与风险判定？ 

重点关注解答：特殊指标与基本指标类似，参考GB/T 43206-2023及其相关标准进行测评，对被测系统在特殊指标方面的表现给出“符合”、 “部分符合”或“不符合”的结论；并对其可能带来的安全风险进行全面、 深入的风险评价，给出“高”“中”“低”的风险评价，但特殊指标不参与量化评估环节。特殊指标的风险分析结果可能影响整体测评结论。如果确实存在行业标准中的密码应用要求低于 GB/T 39786-2021 的情形，应按照GB/T 39786-2021中相应要求开展信息系统的密码应用建设与安全性评估。

二、补充解答

2.具有认证证书的商用密码产品对应的模块等级

问题：未标注密码模块安全等级的商用密码产品在测评时如何判定？

重点关注解答：2025年4月30 日，国家密码管理局发布《关于调整商用密码检测认证业务实施的公告》， 2025 年 6 月 30 日前，持证单位可对有效期内《商用密码产品认证证书》 申请更换为商用密码检测认证中心颁发的《商用密码产品认证证书》。2025年7月1日之后采购的商用密码产品，其认证证书颁发单位应为“商用密码检测认证中心”，如果仍持商用密码检测中心颁发的认证证书，则可能为过期失效的证书，其产品应判定为不合规。

3.经认证合格的密码产品的产品合规性、密钥安全符合性的判定要点

问题：如何确定密码产品的密码功能边界，例如，签名验签服务器实现了加解密功能，在测评时如何判定其合规性？

重点关注解答：在检测过程中签名验签服务器送检厂商会选择支持三类接口（GM/T 0029附录A 定义的接口；GM/T 0029 附录 B 定义的接口和GM/T 0020 标准定义的接口）中的一类或多类进行检测。其中符合GM/T 0020标准接口中包含了加解密接口，测评时需要确认是否实现了GM/T 0020的接口，如果实现了，则可以提供加解密功能。

12.网络和通信安全层面的测评对象识别与确定

12.2 问题：当被测系统使用第三方电子认证服务机构提供的认证服务完成系统功能时，被测系统与第三方电子认证服务相关系统之间的通信信道是否需要纳入测评范围？

重点关注解答：若应用系统使用GM/T 0148《证书认证注册子系统证书服务接口规范》与CA系统进行通信，需要遵循GM/T 0148 的要求将该安全通信信道纳入“网络和通信安全”层面的测评对象进行测评。

12.4 问题：针对双活机房之间通信的通信链路，是否可作为网络和通信层面的一条通信信道？

重点关注解答：双活机房之间的通信链路采用运营商专线：由于运营商专线中间经过运营商的各类路由交换设备，存在非授权访问篡改的安全风险，该通信链路应作为网络和通信安全测评的重点对象。双活机房之间的通信链路采用裸光纤，分短距离和跨区域、长距离链路分别明确了可不作为测评对象的情况。但注意短距离在密码应用方案中明确链路的实际安全控制措施，跨区域、长距离在密码应用方案中详细说明的实际情况包括但不限于自建或租用情况、传输数据的方式、传输数据的内容、链路的物理位置和节点受控情况等。均经密评机构审定后按实际情况处理。

17.设备和计算安全层面的身份鉴别

17.2 问题：设备和计算安全层面，如果信息系统通过堡垒机统一运维管理设备，堡垒机及其被运维设备的身份鉴别指标如何进行判定？

重点关注解答：在风险判定方面，遇有以下情况可以酌情降低风等级： (1)直接通过堡垒机运维，如果堡垒机的身份鉴别没有高风险，则通过堡垒机进行统一管理的设备，其身份鉴别可视为采取了风险缓解措施；删除了第三版中堡垒机的身份鉴别指标的测评结论为“符合”或“部分符合”要求。

19.合规密码产品的设备层身份鉴别、完整性相关指标的判定

增加问题：合规密码产品网络和通信安全层面的“网络边界访问控制信息完整性”指标应该如何测评？

重点关注解答：明确网络和通信安全层面采用了合规网络密码产品，“网络边界访问控制信息完整性”指标判定同“系统资源访问控制信息完整性”等三个指标判定实施。在确认密码产品具有合格的商用密码产品认证证书，且可以确定实际部署的密码产品与获认证产品一致，并且部署产品的密码模块等级符合 GB/T 39786-2021中规定的对各级信息系统的安全等级要求的情况下，可判定为“符合”。

20.应用和数据安全层面的测评对象识别与确定

20.4 问题：信息系统的关键数据，通常以生产数据（存储在生产环境中）和备份数据（存储在备份环境或备份介质中）的形式呈现。信息系统使用了第三方提供的数据异地备份的服务，例如备份在第三方提供的异地机房中，此类备份数据是否纳入测评范围？

重点关注解答： 备份数据作为生产数据的副本，其数据属性和安全等级不因存储位置变化而发生改变，其密码应用需求原则上应与生产数据一致。在测评时，应分别核查原始生产数据和备份数据的密码应用需求是否得到满足。特别地，若采用第三方提供的数据异地备份服务，由于涉及系统间通信，还应注意核查数据备份时跨网络传输的安全性。明确了合并处理的结果判定规则，以及数据有差别必须作为两个测评对象分别测评。

22.重要数据机密性、完整性保护的实现方法问题

22.2 问题：使用经检测认证合格的服务器密码机（符合相应等级的密码模块安全要求）中的SM4-ECB算法（密钥管理由服务器密码机完成）对重要数据进行机密性保护，能否判定为“符合”？

重点关注解答：给出了可以使用ECB模式的情况，但也明确了风险判定要求。对于超过一个分组长度的明文一般建议不使用ECB工作模式，并根据《信息系统密 码应用高风险判定指引（2021版）》给出风险判定。对于可接受重复性（例如，输入分组绝不重复），必须单独访问或随机访问各个分组的特殊使用情况，按照现行准则，可以酌情考虑允许使用ECB模式，并进一步核实是否采取了必要的风险缓解措施，给出符合性判定和风险判定。

25.跨网络调用密码资源实现相应密码功能的测评要点

问题：针对于跨网络边界调用密码资源的情况，在测评时应重点关注哪些问题？

重点关注解答：跨网络边界调用密码资源打破了传统密码设备本地调用的安全假设，非必要情况不建议跨网络边界调用密码资源。被测信息系统跨网络边界调用密码资源（如服务器密码机、统一密码服务平台等）时，该调用通道应作为网络和通信安全层面的测评对象进行测评，同时应结合系统现状综合分析远程调用密码资源带来的数据泄露等安全风险。

31.《商用密码应用安全性评估量化评估规则（2023 版）》中，密码使用有效性D项的判定

问题：被测信息系统在实现其密码应用安全需求时，如果使用了存在安全问题或安全强度不足的密码算法，密码算法/协议合规性如何进行量化评估？ 

重点关注解答：安全强度大于等于112比特的密码算法，增加了HMAC-SHA1及以上。

33.应用层身份鉴别是否可以缓解网络层身份鉴别的高风险

问题：“网络和通信安全”“应用和数据安全”的身份鉴别指标有何区别？在测评时如何把握两者的关系？

重点关注解答：如果网络和通信安全层面接入的用户设备能够表征应用和数据安全层面客户端身份，则可以缓解“应用和数据安全”身份鉴别的风险。反之亦然，“应用和数据安全”层面对服务端进行了身份鉴别，“网络和通信安全”未采用密码技术实现身份鉴别，在应用和数据安全层面客户端（用户）身份能够表征网络和通信安全层面接入的用户设备身份情况 下，可缓解“网络和通信安全”的身份鉴别的风险，“网络和通信安全” 身份鉴别指标判定仍为“不符合”。明确网络层和应用层身份鉴别仅缓解风险、不弥补分数。

39.特殊系统的测评对象选取

问题：针对这种纯网络系统，如何开展密评工作？网络和通信安全、设备和计算安全、应用和数据安全层面的测评对象如何选取？

重点关注解答：应用和数据安全层面可分析是否存在网络管理等相关的应用，若存在可考虑作为应用和数据安全层面的测评对象，重要数据的测评对象需要考虑网络本身相关重要数据，例如网络中存储的用户身份标识信息和用户签约策略数据；网络和通信安全层面的测评对象可根据信息系统网络连接情况，从通信主体和网络类型这两个方面进行确定，包括跨安全边界的外联通信信道，如网络相关系统与业务运营支撑(计费)系统之间的通信信道。另外，用户侧系统涉及的重要数据不在测评范围内，只用于转发用户数据的用户侧通道可不列为网络与通信安全层面测评对象。如果单独定级的网络系统仅涉及核心路由器、交换机、防火墙等网络基础设备且不含有任何应用，可将应用和数据安全层列为“不适用”。

总体来看，FAQ第四版强化了以数据资源保护为核心，明确了就低原则，弥补的适用情况，细化了风险判定的逻辑。针对当前商用密码应用中的自建 CA、无权限接口、备份数据、工控、医疗、裸光纤等热点难点场景，结合最新政策法规与行业实践，明确了合规判定和测评要求。