本系列指导思想:当我们要理解一个复杂问题,不妨将它拆解成一个个微小问题单元。
向上滑动阅览目录
二、什么是密评?
密评全称:商用密码应用安全性评估
定义:对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
这句话精简一下,即:对网络和信息系统密码应用进行评估。在网络和信息系统中,密码几乎无处不在,用户登录、管理员操作、业务系统之间互相调用数据…全都跟密码息息相关,因此在做密评的时候,需要针对整个网络和信息系统进行测评。
1、评估对象:网络和信息系统
■ 电信网、广播电视网、互联网等基础信息网络;
■ 能源、教育、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统;
■ 石油石化、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统电力系统、石油天然气、油气管道等重要信息系统和重要工业控系统;
■ 党政机关和使用财政资金的事业单位、团体组织使用的面向社会服务的信息系统;
■ 基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统。
国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、等保三级及以上系统、国家政务等重要信息系统要开展密评工作。并且,密评管理办法也明确规定:关键信息基础设施、网络安全等级保护第三级及以上信息系统,需要每年至少评估一次。
2、评估内容:密码应用安全性
i
机密性技术要求
1)身份鉴别信息
2)密钥数据
3)传输的重要数据
4)信息系统应用中所有存储的重要数据
ii
真实性技术要求
1)进入重要物理区域人员的身份鉴别
2)通信双方的身份鉴别
3)网络设备接入时的身份鉴别
4)重要可执行程序的来源真实性保证
5)登录操作系统和数据库系统的用户身份鉴别
6)应用系统的用户身份鉴别
iii
完整性技术要求
1)身份鉴别信息
2)密钥数据
3)日志记录
4)访问控制信息
5)重要可执行程序
6)视频监控音像记录
7)电子门禁系统进出记录
8)传输的重要数据
9)信息系统应用中所有存储的重要数据
iv
不可否认性技术要求
使用基于公钥密码算法的数字签名机制等密码技术来保证数据原发行为的不可否认性和数据接收行为的不可否认性
3、评估标准:合规性、正确性、有效性
对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用,需要满足合规性、正确性、有效性的要求,具体内容如下:
合规性:信息系统使用的密码技术、产品和服务是否符合国密要求
正确性:受保护对象是否明确,密码功能是否实现准确,密码产品参数是否配置正确
有效性:检验或验证密码应用是否合规、正确,是否真正实现了受保护对象的安全防护需求
技术要求:
- 保障信息系统的实体身份真实性、重要数据的机密性和完整性/操作行为的不可否认性
- 密钥全生命周期的各个环节:密钥生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁的安全要求
管理要求:
- 密码应用安全管理相关流程制度的制定、发布、修订的规范性要求;
- 密码相关安全人员的密码安全意识以及关键密码安全岗位员工的密码安全能力的培养,人员工作流程要求等;
- 建设运行过程中密码应用安全要求及方案落地执行的一致性和有效性要求;
- 处理密码应用安全相关的应急突发事件的能力要求。
4、评估流程:四个阶段
密评流程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动;在整个密码应用安全性评估过程中,测评双方将会持续进行沟通和改造。
测评准备阶段:测评项目启动 / 信息收集与分析 / 工具和表单准备
方案编制阶段:测评对象和指标确定 / 测评工具切入点确定 / 测评方案编制
现场测评阶段:现场测评实施准备 / 现场测评和结果记录 /结果确认和资料归还
报告编制阶段:测评结果判定 / 结果风险分 / 报告编制
■ 本章小结
1、商密评估对象:企业、政府、组织机构的网络和信息系统
2、商密评估内容:机密性技术、真实性技术、完整性技术、不可否认性技术
3、商密评估标准:合规性、正确性、有效性
4、评估流程:测评准备、方案编制、现场测评、报告编制
↑↑↑长按图片识别二维码关註↑↑↑
原文始发于微信公众号(全栈网络空间安全):从入门到精通:密评科普系列(二)看懂密评只需四步
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论