通过对信息系统整体的商用密码应用安全进行专项测试和综合评估空间密码破解,形成科学准确的评估结果,为机构的密码应用方案提供建议和保证,确保商用密码在网络和信息系统中得到有效使用,切实构建起坚实可靠的网络空间安全密码屏障。(简称 “密评”)
一、密码应用存在的问题
1.密码应用不广泛
大量数据及应用系统没有使用密码技术进行保护
2.密码应用不规范
《商用密码管理条例》要求,任何单位和个人只能使用经认可的密码产品空间密码破解,不得使用自研或境外生产的密码产品
3.密码应用不安全
大量系统还在使用MD5、SHA1、RSA1024、DES等有风险的密码算法,使用的安全服务也不规范,给信息系统带来严重安全隐患
二、为什么要做密码应用安全性评估?
《中华人民共和国密码法》第三十七条:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
三、哪些领域要做密码应用安全性评估?
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位),应当健全密码保障体系,实施商用密码应用安全性评估。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
四、该服务的评估要求是什么?
1.物理环境安全
密码技术实现物理访问控制、监控记录完整性保护等要求。
2.应用和数据安全
密码技术实现身份真实性、数据传输和存储的机密性、完整性、不可否认性等要求。
3.网络和通信安全
密码技术实现网络传输过程的通信双方真实性、数据机密性、完整性保护等要求。
4.密钥管理安全
密钥全生命周期管理,包括密钥生成、存储、使用、分发、导入/导出、备份/恢复、归档、销毁。
5.设备和计算安全
密码技术实现设备用户身份真实性,远程鉴别信息机密性,重要文件的完整性保护要求。
6.安全管理安全
制度、人员、实施、应急要求。
五、信息系统密码应用基本要求
1、系统现状分析
2、安全风险分析
3、密码应用需求分析
4、方案总体设计
5、密码应用技术方案
6、密钥管理方案设计
7、安全管理方案设计
8、安全与合规评审
六、密码测评流程
1.测评准备
项目启动-信息收集和分析-工具和表单准备
2.方案编辑
测评对象确定/测评指标确定-测评检查点确定-测评内容确定-测评方案编辑
3.现场测评
现场测评准备-现场测评和结果记录-结果确认和资料归还
4.分析报告及编制
单项测评结果判定-单元测评结果判定-整体测评-风险测评-形成测评结论
娜娜项目网每日更新创业和副业教程
网址:nanaxm.cn 点击前往娜娜项目网
站 长 微 信: nanadh666