4006-555-883

天威诚信小课堂 | 想知道密评的要求和流程?安排!

发布时间:2022-05-19 18:29:00
  哈喽,艾瑞巴蒂,咱们又见面了!

  上回书我们说到了密评的一些基础知识,比如什么是密评?为嘛要做密评?以及密评的标准balabala……

  摸清楚了密评的底子,今天我们就可以重点聊一聊密评的要求和流程了,注意!这可都是干货噢!

  密评总体要求


  可以说这是所有信息系统在“过密评”时都需遵循的基本要求,包括密码算法、密码技术、密码产品、密码服务4个层面的相关要求,具体要求如下:

  密码算法:使用的密码算法应当符合法律、法规的规定和密码相关标准、行业标准的有关要求,重点关注密码算法的合规性。


  密码技术:使用的密码技术应遵循密码相关国家标准和行业标准。重点关注加密技术的合规性,密码技术应保证自身的安全性,可靠性,与信息系统的互联互通性。

  密码产品:使用的密码产品与密码模块应通过国家密码管理部门核准。“密码模块”可包括密码卡、密码机、定制密码模块、密码软件等多种形态。重点关注密码产品的合规性和有效性,密码产品和密码模块需根据国家相关规定进行密码产品安全等级确定、检测。

  密码服务:使用的密码服务应通过国家密码管理部门许可。如CA认证机构应获得《电子认证服务使用密码许可证》以及《电子认证服务许可证》。

  密码功能要求


  密码功能要求是对密码技术在信息系统中的使用场景起到什么作用的阐述,密码功能要求包括机密性、完整性、真实性和不可否认性。

  机密性:使用密码加密功能,保障信息系统重要数据在传输、存储过程中的保密性以及身份鉴别信息、密钥数据的机密性。

  完整性:使用消息校验码(MAC)或数字签名实现完整性,保障信息系统重要数据在传输、存储过程中的完整性以及身份鉴别信息、密钥数据、日志记录、访问控制信息、资源敏感标记、重要程序、可信信任链、视频监控记录、电子门禁出入记录的完整性。

  真实性:使用对称加密、动态口令、数字签名等实现真实性,保障信息系统中各类基础设施、软硬件设备以及业务应用系统的用户身份鉴别信息的真实性。

  不可否认性:使用数字签名等密码技术实现实体行为的不可否认性,保障信息系统中无法否认的操作行为,如发送、接收、审批、创建、修改、删除、添加、配置等。

  密码技术应用要求、密钥管理和安全管理


  密码技术应用要求包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;密钥管理主要从密钥的生成、存储、分发、导入、导出的安全性和正确性;使用的正确性;备份和恢复的可靠性;归档的安全性与正确性;紧急情况下的销毁等环节提出相应的要求。安全管理包括制度、人员、实施和应用四个维度。

  上述的这三个层面分别对信息系统(等级保护1级到4级系统)如何使用密码提出了要求,要求强度使用应、宜、可三个级别来表示。

  密评流程主要有哪些?


  “密评”的实施流程主要包括密码应用方案评估、测评准备、方案编制、现场测评、测评结论分析、密码测评报告编制。


  需要注意的是,测评双方之间的沟通与洽谈贯穿整个密码应用安全性评估过程。其中,测评对象包括安全人员、管理员、密码产品、网络设备、服务器、数据库、安全设备、操作系统、应用系统、业务系统、技术文档、管理制度文档等;测评工具涉及协议分析工具、端口扫描工具、渗透测试工具、算法和随机性检测工具、密码应用检测工具、密码安全协议检测工具等。

  2022“密评”大考在即,包括金融、电信、能源、教育、公安、交通等在内的各类基础信息网络和重要信息系统都应加强重视,以免影响正常业务的开展。

  作为拥有国家认可资质的电子认证服务机构,天威诚信始终以密码应用服务为核心,在遵循《密码法》等相关法律要求的前提下,依托深厚的密码服务能力和经验,为企业客户夯实密码建设基础,通过建设符合“密评”要求的密码应用体系,帮助客户顺利通过“密评”,持续助力客户线上化业务的开展。
最新发布
1
重大喜讯!天威诚信vTrus正式加入Adobe全球信任证书列表
2
天威诚信受邀参加DigiCert“2022年亚太区合作伙伴会议”,揽获最佳合作伙伴等三项大奖
3
最后7天!至高1000元!比世界杯更香的天威诚信SSL证书优惠,速抢!
4
亮相CIS 2022网络安全创新大会 DigiCert为天威诚信打call
5
天威诚信亮相“企业数字化转型发展大会”再获殊荣
6
延期至明年6月1日执行!事关代码签名证书私钥……
7
1元秒杀!天威诚信国密SM2 SSL证书超级大放送,只此3天!
8
天威诚信受邀加入云栖大会·云安全合作伙伴联盟,共建云上安全生态!
9
推进全国政务数据大一统,我们是这么干的!
10
天威诚信SSL证书直减2100元!这才是双十一的正确打开方式
相关推荐
天威诚信受邀加入云栖大会·云安全合作伙伴联盟,共建云上安全生态!
最后7天!至高1000元!比世界杯更香的天威诚信SSL证书优惠,速抢!
聚焦能力创新,护航企业发展,天威诚信入选《2022中国数字安全百强报告》“中坚力量”
强势上榜!天威诚信实力入选《CCSIP2022中国网络安全产业全景图(第四版)》多个领域
专治虚假诈骗网站,天威诚信SSL证书服务安全又省钱
亮相CIS 2022网络安全创新大会 DigiCert为天威诚信打call
天威诚信 | 关于代码签名证书私钥保护升级通知
天威诚信vTrus证书入根两款国密浏览器,共筑国密生态安全
守护金融信息安全,天威诚信国密改造持续推进中
天威诚信受邀参加DigiCert“2022年亚太区合作伙伴会议”,揽获最佳合作伙伴等三项大奖