什麼是密評?密評有哪些流程?
密評是商用密碼應用安全性評估的簡稱,是指在採用商用密碼技術、產品和服務整合建設的網路和資訊系統中,對其密碼應用的合規性、正確性和有效性進行評估。簡單地說,就是對使用了商業密碼的系統進行評估,從而確保其密碼應用的合規、正確、有效。
密評的物件有哪些?
密評物件主要包括四個方面:
(1)基礎資訊網路:電信網路、廣播電視網、網際網路;
(2)涉及國計民生和基礎資訊資源的重要資訊系統:能源、教育、公安、測繪地理、社保、交通、衛生計生、金融等資訊系統
(3)重要工業控制系統:核設施、航空航天、先進製造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等工業控制系統;
(4)面向社會服務的政務資訊系統:黨政機關和使用財政性資金的事業單位和團體組織使用的面向社會服務的資訊系統。
關鍵資訊基礎設施、網路安全等級保護第三級及以上的資訊系統,密碼應用安全性評估每年至少一次。
密評有哪些要求?
資訊系統透過密評必須遵循密碼演演算法、密碼技術、密碼產品和密碼服務4個層面的要求。
密碼演演算法:密碼演演算法應符合法律法規規定和密碼標準和行業標準的有關要求。
密碼技術:密碼技術應遵循密碼相關國家標準和行業標準,重點關注加密技術的合規性。
密碼產品:密碼產品應透過國家密碼管理部門核准,需根據國家相關規定進行密碼產品安全等級確定和檢測。
密碼服務:用的密碼服務應透過國家密碼管理部門許可。如電子認證機構應獲得《電子認證服務使用密碼許可證》以及《電子認證服務許可證》。
密評的流程有哪些?
密評工作主要包括密碼應用方案評估、測評準備、方案編制、現場測評、分析和報告編制五個環節。
1.密碼應用方案評估
密碼應用方案評估是根據系統的定級情況,審查系統密碼應用設計方案或系統安全設計方案中密碼應用設計部分密碼防護措施是否滿足密碼使用要求或規定。
2.測評準備
被測評單位編制專案計劃書,提供基本資料,如管理架構、技術體系、執行情況、各種密碼安全管理制度及相關管理記錄等,填寫系統調查表,調查被測系統的基本資訊、行業特徵、密碼管理策略、網路及裝置部署情況,以供測評人員和機構初步瞭解被測資訊系統的實際情況。同時準備好相關測評工具,如漏掃工具、效能測試工具、協議分析工具等。
3.方案編制
根據政策基本要求,確定測評物件和測評指標,合理選擇測試接入點,分析系統內部演演算法、密碼協議應用的合規性和正確性,整理測評準備階段中獲取的資訊系統相關資料,為現場測評提供基本的檔案和指導方案,並最終繪製成密碼測評方案。
4.現場測評
開展訪談、檔案審查、實地檢視、工具測試等,並做好過程與結果的記錄;確認具備測評開展的條件,測評物件工作正常,系統處於相對良好的狀況。測評結束後,確認測評工作是否對測評物件造成影響,測評物件及系統是否工作正常。
5.分析和報告編制
現場測評完成後,根據現場的測評結果記錄進行分析,輸出測評結果,並準備編制測評報告,包括單項測評結論、整體測評結論、風險分析結論及最終的評估結論。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69996004/viewspace-2944798/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 【等保小知識】等保二級是否需要做密評?什麼是密評?
- 國密瀏覽器是什麼?有哪些?有什麼特點?瀏覽器
- 什麼是等保測評?等保測評資質有哪些?
- 什麼是等保測評?解決方案有哪些?
- 解讀 | 為什麼要做“密評”?(中科三方)
- 360度評估的基本流程是什麼?
- 國密是什麼意思?屬於商密還是普密?
- 等保測評主要評測的內容有哪些?主要包含什麼?
- 什麼是風險評估?風險評估需要分析哪些內容?
- 什麼是網路安全風險評估?需要評估哪些內容?
- 什麼是等保測評?哪些單位需要做等保測評?
- 網路安全評估方式有哪些?為什麼要進行安全評估?
- 【工具】好用的密評工具CyberChef
- 什麼是開標、評標?
- 什麼是國密SSL協議?國密證書與傳統SSL證書有什麼區別?協議
- 等保測評是什麼意思?APP有必要進行等保測評嗎?APP
- 網路安全中三保一評分別是什麼?有什麼作用?
- 什麼是國密SSL證書?和普通SSL證書有什麼區別?
- win10進入安全模式需要密碼初始密碼是什麼Win10模式密碼
- 等級保護和風險評估分別是什麼意思?有什麼聯絡?
- 拼多多店鋪評價有什麼用?
- 國密SM演算法有哪些?演算法
- kubernetes是什麼?有哪些功能?
- 你有多少密碼是123456密碼
- PbootCMS的預設賬號密碼是什麼?boot密碼
- 網路安全程式碼審計是什麼?操作流程有哪些?
- 《密碼學系列》|| 密碼學中的流密碼是怎麼回事?密碼學
- 什麼是等保測評?等保測評資質主要分為幾種?
- 如何登入 oss 的賬號密碼是什麼密碼
- Python是什麼?Python有哪些框架?Python框架
- 什麼是Docker?Docke有哪些特性?Docker
- Linux是什麼?Linux有哪些版本?Linux
- 什麼是HTTPDNS?HTTPDNS有哪些作用?httpdDNS
- CRM是什麼意思,有哪些作用?
- 等保測評機構是什麼意思?是什麼性質的單位?
- PbootCMS忘記密碼後的重置密碼流程boot密碼
- 什麼是等保三級?等保三級的認證流程有哪些?
- 軟體測評中心▏自動化測試有哪些基本流程和注意事項?