从入门到精通:密评科普系列(二)看懂密评只需四步

admin 2022年5月7日08:50:37安全闲碎 安全百科评论11 views2208字阅读7分21秒阅读模式

本系列指导思想:当我们要理解一个复杂问题,不妨将它拆解成一个个微小问题单元。


向上滑动阅览目录

从入门到精通:密评科普系列

一、什么是商用密码

1、从理解“密码”开始

2、从“密码”到“商用密码”

3、密码算法的分类和性质

4、商用密码的四大特性

二、什么是密评

1、评估对象

2、评估内容

3、评估标准

4、评估流程

三、为什么要做密评

1、密评发展史

2、商密市场现状

3、密评必做的六个原因

4、不做密评的后果

四、密评实施方案

五、过密评之要点、难点、得分点

1、要点

2、难点

3、得分点

六、关于密评的常见问题

1、运营单位怎么判定是否需要开展密评?

2、不做密评或测评结果不合规有什么影响?

3、等保中的密码要求有哪些(以等保三级系统为例)




二、什么是密评?


密评全称:商用密码应用安全性评估


定义:采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。


这句话精简一下,即:对网络和信息系统密码应用进行评估。在网络和信息系统中,密码几乎无处不在,用户登录、管理员操作、业务系统之间互相调用数据…全都跟密码息息相关,因此在做密评的时候,需要针对整个网络和信息系统进行测评。


1、评估对象:网络和信息系统


■  电信网、广播电视网、互联网等基础信息网络;

■  能源、教育、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统;

■  石油石化、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统电力系统、石油天然气、油气管道等重要信息系统和重要工业控系统;

■  党政机关和使用财政资金的事业单位、团体组织使用的面向社会服务的信息系统;

■  基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统。


国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、等保三级及以上系统、国家政务等重要信息系统要开展密评工作。并且,密评管理办法也明确规定:关键信息基础设施、网络安全等级保护第三级及以上信息系统,需要每年至少评估一次。



面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

——商用密码应用安全性评估管理办法(试行)




2、评估内容:密码应用安全性


i

机密性技术要求

1)身份鉴别信息

2)密钥数据

3)传输的重要数据

4)信息系统应用中所有存储的重要数据

ii

真实性技术要求

1)进入重要物理区域人员的身份鉴别

2)通信双方的身份鉴别

3)网络设备接入时的身份鉴别

4)重要可执行程序的来源真实性保证

5)登录操作系统和数据库系统的用户身份鉴别

6)应用系统的用户身份鉴别

iii

完整性技术要求

1)身份鉴别信息

2)密钥数据

3)日志记录

4)访问控制信息

5)重要可执行程序

6)视频监控音像记录

7)电子门禁系统进出记录

8)传输的重要数据

9)信息系统应用中所有存储的重要数据

iv

不可否认性技术要求

使用基于公钥密码算法的数字签名机制等密码技术来保证数据原发行为的不可否认性和数据接收行为的不可否认性



3、评估标准:合规性、正确性、有效性


对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用,需要满足合规性、正确性、有效性的要求,具体内容如下:

合规性:信息系统使用的密码技术、产品和服务是否符合国密要求

正确性:受保护对象是否明确,密码功能是否实现准确,密码产品参数是否配置正确

有效性:检验或验证密码应用是否合规、正确,是否真正实现了受保护对象的安全防护需求

从入门到精通:密评科普系列(二)看懂密评只需四步


技术要求:

-  保障信息系统的实体身份真实性、重要数据的机密性和完整性/操作行为的不可否认性

-  密钥全生命周期的各个环节:密钥生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁的安全要求


管理要求:

-  密码应用安全管理相关流程制度的制定、发布、修订的规范性要求;

-  密码相关安全人员的密码安全意识以及关键密码安全岗位员工的密码安全能力的培养,人员工作流程要求等;

-   建设运行过程中密码应用安全要求及方案落地执行的一致性和有效性要求;

-  处理密码应用安全相关的应急突发事件的能力要求。



法规/政策依据:

GB/T39786-2021 信息安全技术 信息系统密码应用基本要求

信息系统密码应用测评要求

信息系统密码应用测评过程指南

信息系统密码应用高风险判定指引

商用密码应用安全性评估量化评估规则

GB/T 32907-2016 信息安全技术 SM4分组密码算法

GB/T 32918-2016 信息安全技术 SM2椭圆曲线公钥密码算法

GB/T 32905-2016 信息安全技术 SM3密码杂凑算法




4、评估流程:四个阶段


密评流程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动;在整个密码应用安全性评估过程中,测评双方将会持续进行沟通和改造。


测评准备阶段:测评项目启动 / 信息收集与分析 / 工具和表单准备

方案编制阶段:测评对象和指标确定 / 测评工具切入点确定  / 测评方案编制

现场测评阶段:现场测评实施准备 / 现场测评和结果记录  /结果确认和资料归还

报告编制阶段:测评结果判定 / 结果风险分  / 报告编制


■ 本章小结

1、商密评估对象:企业、政府、组织机构的网络和信息系统

2、商密评估内容:机密性技术、真实性技术、完整性技术、不可否认性技术

3、商密评估标准:合规性、正确性、有效性

4、评估流程:测评准备、方案编制、现场测评、报告编制









从入门到精通:密评科普系列(二)看懂密评只需四步从入门到精通:密评科普系列(二)看懂密评只需四步

↑↑↑长按图片识别二维码关註↑↑↑



原文始发于微信公众号(全栈网络空间安全):从入门到精通:密评科普系列(二)看懂密评只需四步

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月7日08:50:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  从入门到精通:密评科普系列(二)看懂密评只需四步 http://cn-sec.com/archives/982775.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: