Bootstrap

密码测评介绍

密码测评,全称为商用密码应用安全性评估,是对使用商用密码技术的网络和信息系统进行的一种安全性评估。其主要目的是确保这些系统中的密码应用符合合规性、正确性和有效性的要求。密码测评对于保障网络和信息安全至关重要,尤其是在当前网络空间日益成为国家安全的新战场的情况下。通过密码测评,可以有效地发现和解决密码应用中存在的问题,提高系统的安全性和可靠性。
密码测评的对象主要包括基础信息网络(如电信网络、广播电视网、互联网)、重要信息系统(如能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等信息系统)、重要工业控制系统(如核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等),以及面向社会服务的政务信息系统。
密码测评的流程通常包括以下几个环节:

  1. 密码应用方案评估:根据系统的定级情况,审查系统密码应用设计方案或系统安全设计方案中密码应用设计部分密码防护措施是否满足密码使用要求或规定。
  2. 测评准备:被测评单位编制项目计划书,提供基本资料,如管理架构、技术体系、运行情况、各种密码安全管理制度及相关管理记录等,填写系统调查表,调查被测系统的基本信息、行业特征、密码管理策略、网络及设备部署情况,以供测评人员和机构初步了解被测信息系统的实际情况。同时准备好相关测评工具,如漏扫工具、性能测试工具、协议分析工具等。
  3. 方案编制:根据政策基本要求,确定测评对象和测评指标,合理选择测试接入点,分析系统内部算法、密码协议应用的合规性和正确性,整理测评准备阶段中获取的信息系统相关资料,为现场测评提供基本的文档和指导方案,并最终绘制成密码测评方案。
  4. 现场测评:开展访谈、文档审查、实地查看、工具测试等,并做好过程与结果的记录;确认具备测评开展的条件,测评对象工作正常,系统处于相对良好的状况。测评结束后,确认测评工作是否对测评对象造成影响,测评对象及系统是否工作正常。
  5. 分析和报告编制:现场测评完成后,根据现场的测评结果记录进行分析,输出测评结果,并准备编制测评报告,包括单项测评结论、整体测评结论、风险分析结论及最终的评估结论。
    此外,密码测评还涉及到密码算法、密码技术、密码产品和密码服务等多个方面的要求,如密码算法必须符合法律法规规定和密码标准和行业标准的有关要求,密码产品应通过国家密码管理部门核准等。
;