商用密码应用与安全性评估测评内容

admin 2023年1月16日16:39:20制度法规评论12 views1934字阅读6分26秒阅读模式

商用密码应用与安全性评估测评内容

一、测评内容

1)通用测评要求

密码算法和密码技术合规性(第一级到第五级)、密钥管理安全性(第一级到第五级)。

2)密码应用测评

①物理和环境安全

身份鉴别(第一级到第四级)、电子门禁记录数据存储完整性(第一级到第四级)、视频监控记录数据存储完整性(第三级到第四级)。

②网络和通信安全

身份鉴别(第一级到第三级:采用密码技术对通信实体进行身份鉴别,保证同通信实体身份的真实性;第四级:采用密码技术对通信实体进行双向身份鉴别,保证通信实体身份的真实性)、通信数据完整性(第一级到第四级)、通信过程中重要数据的机密性(第一级到第四级)、网络边界访问控制信息的完整性(第一级到第四级)、安全接入认证(第三级到第四级)。

③设备和计算安全

身份鉴别(第一级到第四级)、远程管理通道安全(第三级到第四级)、系统资源访问控制信息完整性(第一级到第四级)、重要信息资源安全标记完整性(第三级到第四级)、日志记录完整性(第一级到第四级)、重要可执行程序完整性、重要可执行程序来源真实性(第三级到第四级)。

④应用和数据安全

身份鉴别(第一级到第四级)、访问控制信息完整性(第一级到第四级)、重要信息资源安全标记完整性(第三级到第四级)、重要数据传输机密性(第一级到第四级)、重要数据存储机密性(第一级到第四级)、重要数据传输完整性(第一级到第四级)、重要数据存储完整性(第一级到第四级)、不可否认性(第三级到第四级)。


3)管理测评要求

①管理制度

具备密码应用安全管理制度(第一级到第四级)、密钥管理规则(第一级到第四级)、建立操作规程(第二级到第四级)、定期修订安全管理制度(第三级到第四级)、明确管理制度发布流程(第三级到第四级)、制度执行过程记录留存(第三级到第四级)。

②人员管理

了解并遵守密码相关法律法规和密码管理制度(第一级到第四级)、建立密码应用岗位责任制度(第二级到第四级)、建立上岗人员培训制度(第二级到第四级)、定期进行安全岗位人员考核(第三级到第四级)、建立关键岗位人员保密制度和调离制度(第一级:及时终止离岗人员的所有密码应用相关的访问权限、操作权限;第二级到第四级:建立关键人员保密制度和调离制度,签订保密合同,承担保密义务)。

③建设运行

制定密码应用方(第一级到第四级)、制定密钥安全管理策略(第一级到第四级)、制定实施方案(第一级到第四级)、投入运行前进行密码应用安全性评估(第一级到第二级)、定期开展密码应用安全性评估及攻防对抗演习(第三级到第四级)。

④应急处置

应急策略(第一级:根据密码产品提供的安全策略,由用户自主处置密码应用安全事件;第二级:制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,按照应急处置措施结合实际情况及时处置;第三级到第四级:制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,立即启动应急处置措施,结合实际情况及时处置)、事件处置(第三级:事件发生后,及时向信息系统主管部门进行报告;第四级:事件发生后,及时向信息系统主管部门及归属的密码管理部门进行报告)、向有关主管部门上报处置情况(第三级到第四级)。

二、密评报告编制

密评工作是按照GB/T39786-2021《信息安全技术信息系统密码应用基本要求》的分级要求对信息系统开展评测工作,密评簸终的交付物是《XXX系统商用密码应用安全性评估报告》,报告的评估结论共计有三种:符合、基本符合、不符合。

系统评估结论符合性判断规则如下:

综合得分100分,结论为符合;综合得给小于100分、不低子60分,且系统密码应用无高风险,结论为基本符合,否则,结论为不符合

商用密码应用与安全性评估测评内容

三、信息系统密码应用过程中可能存在的高风险安全问题:

通用要求

密码算法:采用MD5、DES、SHA-1、RSA(不足2048比特)等存在安全问题或安全强度不足的密码算法对重要数据进行保护;采用安全性位置的密码算法。

密码技术:采用SSH 1.0、SSL2.0、SSL 3.0、TLS 1.0等存在缺陷或苟安全问题警示的密码技术;采用安全性未知的密码技术。

密码产品和密码服务:采用自实现E未提供安全性证据的密码产品;采用存在高危安全漏洞的密码产品;密码产品的使用不满足其安全运行的前提条件;选用的密码服务提供商不具有相关资质;存在密钥管理相关安全问题。

物理和环境安全

身份鉴别

网络和通信安全

身份鉴别

通信过程中重要数据的机密性

安全接入认证

设备和计算安全

身份鉴别

远程管理通道安全

应用和数据安全

身份鉴别

重要数据传输机密性

重要数据存储机密性

重要数据存储完整性

不可否认性

密码应用管理要求

未具备密码应用安全管理制度

未制定密码应用方案


原文始发于微信公众号(利刃信安):商用密码应用与安全性评估测评内容

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月16日16:39:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  商用密码应用与安全性评估测评内容 http://cn-sec.com/archives/1519446.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: