密評之技術要求(實戰篇)
編輯:2023-05-12 09:41:31
密評簡介
密評定義:全稱商(shāng)用密碼應用安全評估, 是指對采用商(shāng)用密碼技術、産品和服務集成建設的網絡和信息系統密碼應用的合規性、正确性、有效性進行評估。 密評對象:重要信息系統、關鍵信息基礎設施、網絡安全等保三級及以上的系統。 評測依據:GB/T 39786-2021《信息安全技術 信息系統密碼應用基本要求》參考标準:
《信息系統密碼應用測評要求》 《信息系統密碼應用測評過程指南(nán)》 《信息系統密碼應用高風險判定指引》 《商(shāng)用密碼應用安全性評估量化評估規則》
基本要求 密評基本要求主要包含兩部分(fēn):技術要求和管理要求。
基本要求框架
密評評分(fēn)
評測過程:
評測報告:評測***後階段由評測機構編寫評測報告,評測報告一(yī)般一(yī)式4份,1份提交國家密碼管理局、1份提交被評測單位所屬省部密碼管理部門、1份提交委托單位、1份由評測機構留存。
密評技術要求
密評主要針對涉及到商(shāng)用密碼的網絡和信息系統。這裏的商(shāng)用密碼指對不涉及國家秘密内容的信息進行加密保護或者安全認證所使用的密碼技術、密碼産品和密碼服務。
密碼技術:采用特定變換的方法對信息進行加密保護、安全認證的技術。如SM3哈希算法、SM4分(fēn)組密碼算法、SM2公鑰密碼算法等。 密碼産品:實現密碼功能、承載密碼技術的實體(tǐ),包括密碼機、密碼芯片和模塊等。 密碼服務:基于密碼技術和産品,實現密碼功能,提供密碼保障的行爲。
密改:又(yòu)稱國密改造,是通過密評的重要一(yī)步,被評測信息系統需要經過密改,從而支持國産商(shāng)用密碼,并達到安全、合規、正确、有效的要求。從密評技術要求上分(fēn)析,需要在物(wù)理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全四個方面上借助商(shāng)用密碼技術、産品或服務,實現密改。
業界主推的密改技術路徑主要有三條:“免”改造、“重”改造和“易”改造。
免改造:信息系統無需進行密改,隻需簡單配置 重改造:信息系統調用複雜(zá)的基礎密碼産品接口完成密改,如對接服務器密碼機、簽名驗證服務器等 易改造:信息系統使用針對密評研發的專業密碼服務産品,無改動或較少改動信息系統來實現密改。
密碼應用技術架構
物(wù)理和環境安全:對重要物(wù)理區域(如:機房)出入人員(yuán)采用密碼技術進行身份鑒别,并對門禁進出記錄、視頻(pín)監控數據進行完整性保護。物(wù)理和環境安全
網絡和通信安全:對業務系統網絡通信實體(tǐ),采用密碼技術進行身份鑒别,并對傳輸數據進行機密性和完整性保護。網絡和通信安全
設備和計算安全:運維管理員(yuán)在對業務系統進行運維時,需要采用密碼技術進行身份鑒别,并保障網絡環境中(zhōng)服務器、應用程序、訪問記錄等重要數據的完整性。設備和計算安全
應用和數據安全:用戶和管理員(yuán)在訪問業務系統時,需要采用密碼技術進行身份鑒别,對重要業務數據傳輸的機密性和完整性、重要業務數據存儲的機密性和完整性進行保護。應用和數據安全是密改的重要一(yī)環。應用和數據安全
雙因子認證UKey流程:
本文未對密評管理要求做深入介紹,隻針對技術要求中(zhōng)需要進行密改的地方進行了詳細介紹。密評重點考察信息系統中(zhōng)商(shāng)用密碼使用的合規性、正确性和有效性。應用和數據安全是密改的重中(zhōng)之重,也是重改造的地方,其他方面可以通過采購合規的密碼産品或服務達到易改造、免改造的效果。 文章來源:密碼應用技術實戰結語
咨詢熱線:0351-4073466
地址:(北(běi)區)山西省太原市迎澤區新建南(nán)路文源巷24号文源公務中(zhōng)心5層
(南(nán)區)太原市小(xiǎo)店(diàn)區南(nán)中(zhōng)環街529 号清控創新基地A座4層