商用密码应用安全性估量化评估规则
商用密码应用安全性评估
1基本情况1.1 商用密码应用安全性评估商用密码应用安全性评估(以下简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。
《密码法》第二十七条规定“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估”。
《商用密码应用安全性评估管理办法(试行)》第三条规定“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统”。
第十条规定“关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次,测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行”。
《国家政务信息化项目建设管理办法(国办发〔2019〕57 号)》中对政务信息系统的商用密码应用与评估工作提出了相应要求。
由此可知,关基、政务等领域必须开展商用密码应用建设与评估工作。
为了有效推进密评工作,在密码相关主管部门的推动下,GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》、GM/T 0115—2021《信息系统密码应用测评过程指南》、GM/T 0116—2021《信息系统密码应用测评要求》《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》和《商用密码应用安全性评估FAQ》等标准和指导性文件相继出台,为密评工作的快速开展奠定了良好基础。
1.2 密评目前存在的主要问题密码技术应用具有专业性较强、技术复杂度高的特点,通常与业务系统联系紧密。
商用密码应用安全性评估及其相关标准
商用密码应用安全性评估及其相关标准作者:谢宗晓董坤祥甄杰来源:《中国质量与标准导报》2022年第02期1 概述商用密码应用安全性评估(以下简称:密评),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
这是继网络安全等级保护(以下简称:等级保护)之后,信息安全领域又一体系化的制度,至于称为“评估”还是“测评”,并不重要,其框架大致都遵循了传统的检测认证工作,这一点也可以从相关公文1)中得到验证。
和等级保护一样,密评也有法律依据。
《中华人民共和国网络安全法》第二十一条明确指出:国家实行网络安全等级保护制度。
《中华人民共和国密码法》的第二十七条规定如下:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
2 密评相关标准检测认证的标准体系与ISO/IEC 27000标准族的设计基本都是一致的,其来源为ISO 9000标准族的框架,大致包括:要求类标准、指南类标准,如实施指南、测评(或检测、评估)等指南、机构要求(可能包括人员要求)类的认可标准。
例如,国家标准中的网络安全等级保护系列标准架构主要包括:GB/T 22240、GB/T 22239、GB/T 25058、GB/T 25070、GB/T 28448和GB/T 28449等。
其关系大致如图1所示。
密评标准体系的设计大致也遵循了这样的架构。
一般而言,要求类标准是其中最基础的。
GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》是密评体系中的要求类标准,其前身为GM/T 0054—2018,该标准沿用了GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》的框架,将信息系统密码应用自低向高划分为五个等级。
GM/T 0115—2021《信息系统密码应用测评要求》和GM/T 0116—2021《信息系统密码应用测评过程指南》则是针对测评的相关标准。
商用密码应用安全性评估
将任意长度的数据映射为固定长度的哈希值,具有不可逆性 和抗碰撞性,常用于数据完整性校验和密码存储等场景。典 型的哈希函数包括MD5、SHA-1、SHA-256等。
数字签名技术
利用非对称加密算法和哈希函数实现数据完整性验证和身份 认证,广泛应用于电子合同、安全认证等领域。常见的数字 签名算法包括RSA签名、ECDSA签名等。
密钥存储与保护安全性检测
评估密钥存储设备的物理安全性和逻辑安全性,确保密钥 在存储、使用、销毁等生命周期中不被泄露或滥用。
密钥使用与更新安全性检测
监控密钥使用过程,确保其在规定范围内使用,及时检测 和更新弱密钥或泄露密钥,降低安全风险。
智能卡及终端产品安全性检测技术研究
智能卡芯片安全性检测
评估智能卡芯片的抗物理攻击能力、加密算法实现的安全性以及卡片操作系统的安全性。
模糊测试
通过向密码算法输入大量随机或异常数据,检测其异常处理、错误 反馈等机制是否健壮,评估算法实现的安全性。
侧信道分析
利用密码算法实现过程中的电磁辐射、功耗、声音等侧信道信息,分 析算法实现的安全性,防范物理攻击。
密钥管理系统安全性检测技术研究
密钥生成与分发安全性检测
检测密钥生成算法的安全性和随机性,确保密钥分发过程 中不被泄露或篡改。
商用密码应用安全性
评估
汇报人:
汇报时间:
• 密码学基础与商用密码概述 • 商用密码应用现状分析 • 安全性评估方法与标准体系介绍 • 商用密码产品安全性检测技术研
究
目录
• 风险评估与应对策略制定过程剖 析
• 总结与展望:提高商用密码应密码学基础与商用密码概述
密码学发展历程
01
02
03
商用密码应用安全性评估FAQ
商用密码应用安全性评估FAQ2021.12目录1.信息系统密码应用基本要求的等级 (1)2.应、宜、可测评指标把握 (1)3.经认证合格的密码产品中的密钥安全符合性判定 (2)4.物理和环境安全层面的测评对象识别和确定 (2)5.网络和通信安全层面的测评对象识别与确定 (3)6.设备和计算安全层面的测评对象 (5)7.设备和计算安全层面测评对象选取粒度 (5)8.远程管理通道安全 (6)9.合规密码产品身份鉴别、完整性相关指标的判定 (7)10.设备和计算安全层面的身份鉴别 (7)11.应用和数据安全层面的测评对象识别与确定 (8)12.访问控制信息的具体含义 (8)13.缺少密码应用方案的合规性判定 (9)14.商用密码产品认证证书过期的合规性判定 (9)15.具有认证证书型号的商用密码产品对应的模块等级 (9)16.有缓解措施的高风险判定 (10)17.报告中对于高风险缓解措施的体现 (10)18.双活机房的通信链路合规性判定 (11)19.云平台测评的责任和范围 (12)20.云平台和云上应用的测评方式和测评结论复用方式 (12)21.面向公众等网站的测评 (15)22.如何编写涉及应用和数据安全层面的测评内容报告 (15)1.信息系统密码应用基本要求的等级●背景:GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》对信息系统密码应用划分为自低向高的五个等级,参照GB/T 22239的等级保护对象应具备的基本安全保护能力要求,提出密码保障能力逐级增强的要求,用一、二、三、四、五表示。
其中,从密码算法、密码技术、密码产品和密码服务的合规性方面,提出了第一级到第五级的密码应用通用要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用管理要求。
浅谈商用密码应用安全性评估 (密评)
浅谈商用密码应用安全性评估 (密评)商用密码应用安全性评估,是对采用商用密码技术、产品和服务集成建设的网络和信息系统中,密码应用的合规性、正确性、有效性进行评估的过程。
密评是其简称。
密评工作在法律法规中有明确规定。
《中华人民共和国密码法》规定,要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,并且自行或者委托商用密码检测机构开展商用密码应用安全性评估。
此外,商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
为规范密评工作,XXX制定印发了《商用密码应用安全性评估管理办法(试行)》、《商用密码应用安全性测评机构管理办法(试行)》、《商用密码应用安全性测评机构能力评审实施细则(试行)》等管理文件。
其中,《商用密码应用安全性评估管理办法(试行)》规定,在重要领域网络与信息系统投入运行后,责任单位应当委托测评机构定期开展商用密码应用安全性评估。
如果评估未通过,责任单位应当限期整改并重新组织评估。
此外,关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次,测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。
对其他信息系统则要定期开展检查和抽查。
在参考标准方面,《中华人民共和国密码法》、《商用密码应用安全性评估管理办法(试行)》、《信息安全等级保护商用密码管理办法》都是必须遵守的参考标准。
这些标准的实施,有助于提高商用密码应用的安全性和有效性,保障关键信息基础设施的安全运行。
信息安全等级保护商用密码技术实施要求》、《信息安全等级保护商用密码技术要求》、《信息系统密码测评要求》以及GM/T0054-2018《信息系统密码应用基本要求》是商用密码领域的重要规范和标准。
商用密码应用安全性评估量化评估规则
商用密码应用安全性评估量化评估规则人们从事商用活动时,使用密码作为安全保障是必不可少的,而来设定安全的密码及量化评估密码的安全程度,就显得尤为重要。
以下便是一套能够评估商用密码安全性的量化评估规则。
首先,密码的长度影响着安全性,一般建议使用至少8位以上的密码,密码中大小写字母,数字和特殊字符应有一定的比例,以便提高密码的安全性。
其次,密码应该定期更换,防止过于频繁的更新,以免让用户记忆困难,但也不能太久不改,以免被黑客窃取,一般建议在三个月到一年之间更新密码。
再者,密码的相关安全策略也是重要的,比如要求强制用户于特定时间更改密码、不允许连续使用相同的密码、不允许使用明文存储等。
此外,还可以给不同级别的用户设定不同安全级别的密码,以便给不同数据应用程序按照不同的安全级别来保护数据的保密性,防止恶意攻击。
最后,有必要防止密码的泄露及窃取,比如可以使用社会安全号码作为加强登录安全的另一种方法,或者使用其他的两步验证技术来防止黑客的进入,而这将是非常有效的方法。
总而言之,量化评估商用密码安全性的规则至关重要,并不局限于上述说明,而是会随着科技更新而不断变化,因此,密码安全应该是商家企业实施网络安全时最首先考虑的事情。
因此,要加强和提升
网络安全工作,务必做好密码评估量化评估规则,以确保网络信息的安全。
商用密码应用与安全性评估
商用密码应用与安全性评估商用密码应用与安全性评估导语密码是国之重器,是网络空间安全体系的基石,在网络安全防护中具有不可替代的重要作用。
但密码技术只有得到合规、正确、有效应用,才能发挥安全支撑作用。
而在实际应用中,密码技术可能被弃用、乱用、误用,导致应用系统的安全性得不到有效保障,甚至一些不合规、不安全的密码产品和实现还会遭受攻击者的入侵和破坏,造成比不用密码技术更广泛、更严重的安全问题。
商用密码应用安全性评估(简称“密评”)正是为了避免或纠正密码应用过程中可能出现的安全性问题。
密评是指在采用商用密码技术、产品和服务集成建设的网络与信息系统中,对其密码应用的合规性、正确性、有效性等进行评估。
如同风险评估是信息安全管理过程的重要组成部分一样,密评也是密码应用管理过程的重要组成部分和不可缺失的环节。
密评的重要性和必要性还在于:密评是商用密码检测认证体系建设的重要组成部分,是衡量商用密码应用是否合规、正确、有效的重要抓手。
建立完善密评制度,开展密评工作,是贯彻落实密码法、维护网络空间安全、规范商用密码应用的客观要求,是深化商用密码“放管服”改革的重要手段,是商用密码管理的基础性和开创性工作,也是重要领域网络与信息系统运营者和主管部门必须承担的法定责任。
一、对商用密码的管理商用密码产品是指采用商用密码技术实现加密解密或安全认证操作等功能的专用硬件、软件。
1、密码的分类根据《中华人民共和国密码法》第6、7、8条:密码分为核心密码、普通密码、商用密码。
核心密码、普通密码:用于保护国家秘密信息。
核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
商用密码用于保护不属于国家秘密的信息。
由上述密码分类方式知,大众消费类产品所采用的密码,也属于商用密码。
2、旧条例对商用密码的专控管理对于商用密码产品的管理,我印象非常深刻的是:1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理,规定“商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格”,“任何单位或个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品”。
商用密码应用安全性评估
密评的内容包括密码应用安全的三个方面:合规性、正确性和有效性。
1.商用密码应用合规性评估
商用密码应用合规性评估是指判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定 和密码相关国家标准、行业标准的有关要求,使用的密码产品和密码服务是否经过国家密码管Biblioteka 部门核准或由具 备资格的机构认证合格。
第一阶段:制度奠基期(2007年 11月至 2016年 8月)。2007年 11月 27日,国家密码管理局印发 11号文 件《信息安全等级保护商用密码管理办法》,要求信息安全等级保护商用密码测评工作由国家密码管理局指定的 测评机构承担。2009年 12月 15日,国家密码管理局印发管理办法实施意见,进一步明确了与密码测评有关的要 求。
第二阶段:再次集结期(2016年 9月至 2017年 4月)。国家密码管理局成立起草小组,研究起草《商用密 码应用安全性评估管理办法(试行)》。2017年 4月 22日,正式印发《关于开展密码应用安全性评估试点工作 的通知》(国密局〔2017〕138号文),在七省五行业开展密评试点。
第三阶段:体系建设期(2017年 5月至 2017年 9月)。国家密码管理局成立密评领导小组,研究确定了密 评体系总体架构,并组织有关单位起草 14项制度文件。经征求试点地区、部门意见和专家评审,2017年 9月 27 日,国家密码管理局印发《商用密码应用安全性测评机构管理办法(试行)》《商用密码应用安全性测评机构能 力评审实施细则(试行)》《信息系统密码应用基本要求》(后以密码行业标准 GM/T0054形式发布)和《信息 系统密码测评要求(试行)》,密评制度体系初步建立。
2.商用密码应用正确性评估
商用密码应用正确性评估是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确,即系统 中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现,自定 义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求,密码保障系统建设或改造过程中密码 产品和服务的部署和应用是否正确。
商用密码应用于安全性评估(Word版)
商用密码应用与安全性评估2020年1月法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
——摘自《中华人民共和国密码法》第二十七条PREFACE序当今,数字化、网络化、智能化深入发展,网络空间与物理空间的边界正在逐渐消融,以网络安全为代表的非传统安全威胁与传统安全威胁融合交织,深刻改变网络安全需求,深刻影响网络安全格局。
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的网络与信息系统是经济社会运行的神经中枢,是网络安全的重中之重,其安全稳定运行关乎国家安全、国计民生、公共利益,一旦遭到破坏、丧失功能或者数据泄露,后果不堪设想。
物联网、大数据、云计算等技术的飞速发展激发了前所未有的科技创新动力,正在重塑世界科技创新版图,万物互联、天地一体成为必然趋势。
网络威胁泛在化和复杂化程度不断加深,被动式防御、增量式修补、局部式治理已不能适应严峻多变的网络安全形势,必须建立一个足够强大的自主可控安全防御体系。
密码是国之重器,是保障网络安全的核心技术和基础支撑,在网络安全防护中具有不可替代的重要作用。
利用密码在安全认证、加密保护、信任传递等方面的重要作用,构建网络空间安全保障体系、实现国家网络空间安全自主可控,必须坚持以密码为基石,推动密码全面规范应用,有效控制或消除网络安全问题,实现从被动防御向主动免疫的战略转变。
当前,我国重要网络与信息系统密码应用仍存在不科学、不规范等突出问题,给国家安全和社会发展造成重大隐患。
《密码法》对密码应用和安全性评估作出了规范。
落实该法有关要求,确保密码在网络与信息系统中安全、规范使用,亟需提升密码测评能力,完善密码应用安全性评估审查机制,构建自主可控的密码应用安全性评估体系。
商用密码应用安全评估人员考核
商用密码应用安全评估人员考核
商用密码应用的安全评估是一项关键任务,需要高质量的人员进
行考核。
以下是对安全评估人员的要求和考核标准:
1. 熟悉密码学基础知识:评估人员应具备深入的密码学知识,
包括密码算法、密钥管理、密码协议等方面的理论与实践。
2. 掌握安全评估方法和技术:评估人员应熟悉商用密码应用的
安全评估方法和流程,包括威胁建模、风险评估、安全性测试、漏洞
分析等方面的技术。
3. 具备丰富的实践经验:评估人员应具备在商用密码应用领域
的实践经验,能够熟练运用各种安全评估工具和技术手段。
4. 准确分析和评估安全风险:评估人员应能够准确地分析商用
密码应用中的安全风险,并提出有效的风险缓解措施。
5. 了解业界最新安全威胁和攻击技术:评估人员应保持对业界
最新的安全威胁和攻击技术的了解,能够根据最新趋势进行评估工作。
6. 良好的沟通和报告能力:评估人员应具备良好的沟通能力,
能够清晰地向相关方面展示评估结果,并提出建设性的改进建议。
7. 严格的保密和职业道德:评估人员应具备严格的保密能力,
能够保护评估过程和结果的机密性,并且遵守职业道德准则。
综上所述,商用密码应用安全评估人员需要具备密码学知识、评
估方法技术、实践经验、分析能力、新知识掌握、沟通能力以及保密
职业道德等方面的能力。
其目标是确保商用密码应用的安全性和可信性,并提供风险缓解和改进建议。
一文读懂商用密码应用性评估流程
一文读懂商用密码应用性评估流程由海量数据、复杂结构、多样应用共同组成的“网络空间”,已经成为继陆地、海洋、天空、太空之后的“第五空间”,并且已经演变成各个国家争抢的新领域,以及未来军事较量的新战场。
网络空间已经纳入国家安全战略范围。
由海量数据、复杂结构、多样应用共同组成的“网络空间”,已经成为继陆地、海洋、天空、太空之后的“第五空间”,并且已经演变成各个国家争抢的新领域,以及未来军事较量的新战场。
网络空间已经纳入国家安全战略范围。
一、法律规定《中华人民共和国密码法》第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
二、密评的意义密评是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性、有效性进行评估的活动。
密评是衡量商用密码应用是否合规、正确、有效的重要手段,也是维护网络空间安全、规范商用密码应用的客观要求,同时也是加强事中和事后监管的方法,是网络信息系统运营者和主管部门必须承担的法律责任。
三、密评职责1、网络信息系统责任单位•规划阶段依据商密技术标准制定合规的密码应用方案。
•系统建设完成后,开展密评,合格后投入运行。
•运行期间定期开展密评,不断整改优化。
•发生安全事件时,开展密评,进行应急处置和安全方案措施。
•完成密评工作后,要在30个工作日内到本地密码管理部门备案。
2、测评机构和测评人员•经过国家密码管理部门审核,取得资格,纳入测评机构目录。
•按照法律法规和标准要求科学、公正的开展密评。
•不泄露测评对象的秘密和数据,不妨碍被测系统正常运行。
•完成密评工作后,要在30个工作日内报国家密码管理部门备案。
3、密码管理部门•国家密码管理部门指导、监督、检查全国密评工作。
•省(部)密码管理部门指导、监督、检查本地区、本部门、本行业的密评工作。
•对评估结果的客观、公允和真实性进行评判;对评估工作的客观、规范和独立性进行检查商用密码应用安全性评估的工作流程1四、测评准备活动。
2023年商用密码应用安全性评估工作指南
2023年商用密码应用安全性评估工作指南下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by the editor. I hope that after you download them, they can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!In addition, our shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!当前,随着信息技术的不断发展,商用密码应用在各行各业中扮演着至关重要的角色。
密码应用安全性评估方案
一、密码应用安全性评估方案(一)背景随着网络与信息技术的高速发展,尤其是互联网的广泛普及和应用,网络正深刻影响并改变着人类的生活和工作方式,我们已经身处信息时代,“计算机和网络”已经成为组织重要的生产工具,“信息”成为主要的生产资料和产品,组织的业务越来越依赖计算机、网络和信息,它们共同成为组织赖以生存的重要信息资产。
我国信息化建设在不断深入,信息化的水平也在不断提升,同时导致了对信息系统的依赖程度也越来越高。
越来越多的政府机构、企事业单位建立了依赖于网络的业务信息系统,比如门户WEB应用、电子政务、电子商务、网上银行、网络办公等;同时也利用互联网提供给用户各类Web应用服务,如提供信息发布、信息搜索、电子政务、电子商务等业务,便利了工作,也极大丰富了人们的生活。
网络技术对社会各行各业产生了巨大深远影响的同时,随之而来的网络安全问题亦凸现出来。
计算机、网络、信息等系统资产在服务于各部门业务的同时,也受到越来越多的安全威胁,如病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈等利用计算机网络实施的各种犯罪行为。
密码技术作为网络安全的基础性核心技术,保障信息资产和网络信任体系,保障网络空间安全的关键技术。
密码保障系统有效抵御网络攻击,有效保护数据和系统安全,体现了密码使用的合规性、正确性、有效性,涉及典型的密码技术包括密码算法、密钥管理、密码协议。
安全测评通过静态评估、现场测试、综合评估等相关环节和阶段,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理等六个方面,对信息系统进行综合测评。
为全面贯彻总体国家安全观和网络强国战略,深入贯彻落实习近平总书记关于核心技术自主可控重要批示精神和工作安排,落实中共中央办公厅、国务院办公厅推进重要领域密码应用与创新发展的相关要求,在重要信息系统密码应用情况普查工作基础上,对重点行业重要信息系统开展密码应用安全性评估。
通过密码应用安全性评估深入查找密码应用的薄弱环节和安全隐患,分析面临的风险,为提升我国信息系统密码安全奠定基础。
商用密码应用安全性评估
商用密码应用安全性评估题库现如今,随着数字化时代的到来,各种商用密码应用越来越广泛地应用于各行各业。
然而,密码泄露、密码破解等安全事件时有发生,给企业和用户带来了不可估量的损失。
为了保障商用密码应用的安全性,国家发布了《商用密码应用安全性评估题库》。
该题库是国家密码管理局在多年的实践基础上制定的一套评估商用密码应用安全性的标准和指南。
下面我们来详细了解一下这些标准和指南。
一、安全性评估要素商用密码应用安全性评估要素主要包括密码算法、密钥管理、密码存储、密码传输、密码使用等五个方面。
在评估过程中,应根据具体的应用场景和需求进行选择和评估。
在密码算法方面,应选择安全性高、可靠性强的密码算法,如AES、RSA等。
在密钥管理方面,应采用合理的密钥生成、存储和分发机制,确保密钥的安全性。
在密码存储和传输方面,应采用合适的加密和解密机制,避免密码泄露和破解。
在密码使用方面,应严格控制密码的使用权限和使用方式,确保密码的安全性和可靠性。
二、安全性评估流程商用密码应用安全性评估流程主要包括需求分析、评估计划制定、评估实施、评估报告编制等四个阶段。
在评估过程中,应根据具体的应用场景和需求,制定合适的评估计划和实施方案。
在评估实施方面,应采用先进的评估方法和技术,如随机测试、模糊测试、代码审计等技术,提高评估的精度和效率。
在评估报告编制方面,应详细记录评估过程和结果,并提出具体的改进意见和建议,为商用密码应用的安全性提供参考和指导。
三、安全性评估结论商用密码应用安全性评估结论主要包括评估结论、安全建议和评估等级等三个方面。
在评估结论方面,应根据评估结果,对商用密码应用的安全性进行评估,给出相应的评估结论。
在安全建议方面,应提出具体的改进意见和建议,为商用密码应用的安全性提供参考和指导。
在评估等级方面,应根据评估结果,给出相应的评估等级,为商用密码应用的安全性提供参考和指导。
总之,《商用密码应用安全性评估题库》为商用密码应用的安全性提供了重要的标准和指南。
商用密码量化评估规则2023
商用密码量化评估规则2023
2023版的商用密码应用安全性评估量化评估规则主要在以下方面进行了更新:
1.微调部分:更新了5处内容,包括对特定场景下的密码应用安全性评估要求、对不同类型密码应用的安全性评估要求、对密码设备配置和管理的要求、对密码服务的安全性要求以及测试评估方法等。
2.较大更新部分:同样更新了5处内容,包括对密码应用系统的安全性要求、对密码应用的安全性设计要求、对密码应用的安全性测试要求、对密码应用安全性评估的周期和流程要求以及对商用密码应用安全性评估的管理要求等。
此外,《商用密码应用安全性评估管理办法》已于2023年9月11日通过国家密码管理局局务会议审议,自2023年11月1日起正式施行。
该办法旨在规范商用密码应用安全性评估工作,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。
以上信息仅供参考,如有需要,建议您查阅官方公告。
制表:审核:批准:。
商业密码安全评估流程
商业密码安全评估流程
商业密码安全评估流程包括以下步骤:
1. 确定评估目标:确定评估的范围、重点和目的。
例如,评估公司的密码策略和实施情况,密码管理流程的有效性等。
2. 收集信息:收集与密码安全相关的信息,包括密码策略文件、密码保护措施的文档、密码管理系统的配置等。
3. 评估密码策略:检查密码策略文件和实施情况,评估其是否具备安全性和合规性。
例如,是否要求员工使用强密码、是否有密码定期更换和锁定账户的要求等。
4. 评估密码保护措施:评估密码保护措施的强度和有效性,包括密码加密、密码存储、身份验证等措施。
例如,检查密码是否以加密的方式存储、是否有多重身份验证等。
5. 评估密码管理流程:评估密码管理流程的完整性和有效性,包括密码重置、密码找回、密码共享等流程。
例如,检查是否有明确定义的密码重置流程、密码共享是否受限制等。
6. 漏洞分析和风险评估:识别可能存在的漏洞和风险,并评估其对密码安全的影响程度。
例如,密码存储明文可能导致密码泄露风险、弱密码可能易受攻击等。
7. 提出建议:根据评估结果,提出改进密码安全的建议和措施,以提升密码安全性和保护信息资产的能力。
8. 实施改进措施:根据建议和评估结果,制定并实施改进措施,修复潜在的漏洞和强化密码安全。
例如,改进密码策略文件、加强密码保护措施、优化密码管理流程等。
9. 定期评估和持续改进:定期进行密码安全评估,及时发现和修复新的漏洞和风险,并持续改进密码安全措施,提升密码安全水平。
以上是一个常见的商业密码安全评估流程,具体评估流程可根据实际情况进行调整和优化。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商用密码应用安全性评估量化评估规则
中国密码学会密评联委会
二〇二〇年十二月
目录
1. 范围 (1)
2. 规范性引用文件 (1)
3. 原则 (1)
4. 量化评估框架 (1)
5. 量化规则 (2)
6. 整体结论判定 (3)
商用密码应用安全性评估量化评估规则
1.范围
本文件依据GB/T AAAAA《信息安全技术信息系统密码应用基本要求》和GM/T BBBB 《信息系统密码应用测评要求》,对信息系统的密码应用情况给出定量评估结果。
本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。
2.规范性引用文件
1)GB/T AAAAA《信息安全技术信息系统密码应用基本要求》
2)GM/T BBBB《信息系统密码应用测评要求》
3.原则
本文件按如下原则设计量化评估规则:
1)遵循法律法规和最新相关指导性文件的总体要求;
2)遵循GB/T AAAAA和GM/T BBBB;
3)鼓励使用密码技术;
4)特别鼓励使用合规的密码算法/技术/产品/服务;
5)优先在网络和通信安全层面、应用和数据安全层面进行密码技术应用。
4.量化评估框架
参考GM/T BBBB,本规则从三个方面进行量化评估:
●密码使用安全(Cryptography D eployment security)是指,密码技术是否被正确、有效使
用,以满足信息系统的安全需求,有效提供机密性、完整性、真实性和不可否认性的保护;
●密钥管理安全(K ey management security)是指,密钥管理的全生命周期是否安全,用
于密码计算或密钥管理的密码产品/密码服务是否安全。
●密码算法/技术安全(Cryptography A lgorithm/Technique security)是指,信息系统中使用
的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,信
息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。
5.量化规则
(1)各测评对象的测评结果量化规则
密码应用技术要求中,第i个安全层面的第j测评单元的第k测评对象T i,j,k,其量化评估结果S i,j,k∈{0, 0.25, 0.5, 1},其中0表示不符合,1表示符合,其它表示部分符合。
S i,j,k的取值分别见表1。
通用要求和密码应用技术要求各安全层面的“密码服务”和“密码产品”指标不单独评价。
密码应用管理要求不针对各个测评对象的测评结果进行量化评估。
(2)测评单元的测评结果量化规则
第i个安全层面的第j测评单元U i,j的量化评估结果S i,j为该测评单元内所有n i,j个测评对象测评结果的算术平均值(四舍五入,取小数点后4位),即:
S i,j=∑S i,j,k 1≤k≤n i,j
n i,j
密码应用管理要求中,第i个安全层面的第j测评单元,根据GM/T BBBB给出判定结果S i,j,符合为1分,不符合为0分,部分符合为0.5分。
(3)安全层面的测评结果量化规则
本文件为每个测评单元分配了相应的权重w i,j,如表2所示。
第i个安全层面L i的量化评估结果S i为该安全层面内所有n i个适用测评单元测评结果S i,j的加权平均值(四舍五入,取小数点后4位),即:
S i=∑w i,j S i,j 1≤j≤n i
∑w i,j
1≤j≤n i
若某测评指标不适用,则不参与量化评估过程,不适用的判定方式参见GM/T BBBB)。
(4)整体测评结果量化规则
本文件为每个安全层面分配了相应的权重w i,如表2所示。
量化评估结果S为所有n 个安全层面测评结果S i的加权平均值(四舍五入,取小数点后2位),即:
S=∑w i∙S i
1≤i≤n
∑w i
1≤i≤n
×100
若某个安全层面的所有测评指标都不适用,则该安全层面不参与量化评估过程。
6.整体结论判定
整体量化评估结果S为100分,则判定被测信息系统符合GB/T AAAAA相应等级要求;S低于100分、不低于阈值,且经风险评估发现没有高风险,则判定被测信息系统基本符合GB/T AAAAA相应等级要求;否则,判定被测信息系统不符合GB/T AAAAA相应等级要求。
表1量化评估表
密码使用
安全
D
表 2 测评指标权重表。