密評(píng)之技術(shù)要求(實(shí)戰(zhàn)篇)
編輯:2023-05-12 09:41:31
密評(píng)簡(jiǎn)介
密評(píng)定義:全稱商用密碼應(yīng)用安全評(píng)估, 是指對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評(píng)估。 密評(píng)對(duì)象:重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等保三級(jí)及以上的系統(tǒng)。 評(píng)測(cè)依據(jù):GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》參考標(biāo)準(zhǔn):
《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》 《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南》 《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》 《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》
基本要求 密評(píng)基本要求主要包含兩部分:技術(shù)要求和管理要求。
基本要求框架
密評(píng)評(píng)分
評(píng)測(cè)過(guò)程:
評(píng)測(cè)報(bào)告:評(píng)測(cè)最后階段由評(píng)測(cè)機(jī)構(gòu)編寫評(píng)測(cè)報(bào)告,評(píng)測(cè)報(bào)告一般一式4份,1份提交國(guó)家密碼管理局、1份提交被評(píng)測(cè)單位所屬省部密碼管理部門、1份提交委托單位、1份由評(píng)測(cè)機(jī)構(gòu)留存。
密評(píng)技術(shù)要求
密評(píng)主要針對(duì)涉及到商用密碼的網(wǎng)絡(luò)和信息系統(tǒng)。這里的商用密碼指對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)。
密碼技術(shù):采用特定變換的方法對(duì)信息進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)。如SM3哈希算法、SM4分組密碼算法、SM2公鑰密碼算法等。 密碼產(chǎn)品:實(shí)現(xiàn)密碼功能、承載密碼技術(shù)的實(shí)體,包括密碼機(jī)、密碼芯片和模塊等。 密碼服務(wù):基于密碼技術(shù)和產(chǎn)品,實(shí)現(xiàn)密碼功能,提供密碼保障的行為。
密改:又稱國(guó)密改造,是通過(guò)密評(píng)的重要一步,被評(píng)測(cè)信息系統(tǒng)需要經(jīng)過(guò)密改,從而支持國(guó)產(chǎn)商用密碼,并達(dá)到安全、合規(guī)、正確、有效的要求。從密評(píng)技術(shù)要求上分析,需要在物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全四個(gè)方面上借助商用密碼技術(shù)、產(chǎn)品或服務(wù),實(shí)現(xiàn)密改。
業(yè)界主推的密改技術(shù)路徑主要有三條:“免”改造、“重”改造和“易”改造。
免改造:信息系統(tǒng)無(wú)需進(jìn)行密改,只需簡(jiǎn)單配置 重改造:信息系統(tǒng)調(diào)用復(fù)雜的基礎(chǔ)密碼產(chǎn)品接口完成密改,如對(duì)接服務(wù)器密碼機(jī)、簽名驗(yàn)證服務(wù)器等 易改造:信息系統(tǒng)使用針對(duì)密評(píng)研發(fā)的專業(yè)密碼服務(wù)產(chǎn)品,無(wú)改動(dòng)或較少改動(dòng)信息系統(tǒng)來(lái)實(shí)現(xiàn)密改。
密碼應(yīng)用技術(shù)架構(gòu)
物理和環(huán)境安全:對(duì)重要物理區(qū)域(如:機(jī)房)出入人員采用密碼技術(shù)進(jìn)行身份鑒別,并對(duì)門禁進(jìn)出記錄、視頻監(jiān)控?cái)?shù)據(jù)進(jìn)行完整性保護(hù)。物理和環(huán)境安全
網(wǎng)絡(luò)和通信安全:對(duì)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)通信實(shí)體,采用密碼技術(shù)進(jìn)行身份鑒別,并對(duì)傳輸數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。網(wǎng)絡(luò)和通信安全
設(shè)備和計(jì)算安全:運(yùn)維管理員在對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行運(yùn)維時(shí),需要采用密碼技術(shù)進(jìn)行身份鑒別,并保障網(wǎng)絡(luò)環(huán)境中服務(wù)器、應(yīng)用程序、訪問(wèn)記錄等重要數(shù)據(jù)的完整性。設(shè)備和計(jì)算安全
應(yīng)用和數(shù)據(jù)安全:用戶和管理員在訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí),需要采用密碼技術(shù)進(jìn)行身份鑒別,對(duì)重要業(yè)務(wù)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性、重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)的機(jī)密性和完整性進(jìn)行保護(hù)。應(yīng)用和數(shù)據(jù)安全是密改的重要一環(huán)。應(yīng)用和數(shù)據(jù)安全
雙因子認(rèn)證UKey流程:
本文未對(duì)密評(píng)管理要求做深入介紹,只針對(duì)技術(shù)要求中需要進(jìn)行密改的地方進(jìn)行了詳細(xì)介紹。密評(píng)重點(diǎn)考察信息系統(tǒng)中商用密碼使用的合規(guī)性、正確性和有效性。應(yīng)用和數(shù)據(jù)安全是密改的重中之重,也是重改造的地方,其他方面可以通過(guò)采購(gòu)合規(guī)的密碼產(chǎn)品或服務(wù)達(dá)到易改造、免改造的效果。 ?文章來(lái)源:密碼應(yīng)用技術(shù)實(shí)戰(zhàn)結(jié)語(yǔ)
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號(hào)文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號(hào)清控創(chuàng)新基地A座4層