密評之技術(shù)要求(實戰(zhàn)篇)
編輯:2023-05-12 09:41:31
密評簡介
密評定義:全稱商用密碼應(yīng)用安全評估, 是指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評估。 密評對象:重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等保三級及以上的系統(tǒng)。 評測依據(jù):GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》參考標(biāo)準(zhǔn):
《信息系統(tǒng)密碼應(yīng)用測評要求》 《信息系統(tǒng)密碼應(yīng)用測評過程指南》 《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》 《商用密碼應(yīng)用安全性評估量化評估規(guī)則》
基本要求 密評基本要求主要包含兩部分:技術(shù)要求和管理要求。
基本要求框架
密評評分
評測過程:
評測報告:評測最后階段由評測機(jī)構(gòu)編寫評測報告,評測報告一般一式4份,1份提交國家密碼管理局、1份提交被評測單位所屬省部密碼管理部門、1份提交委托單位、1份由評測機(jī)構(gòu)留存。
密評技術(shù)要求
密評主要針對涉及到商用密碼的網(wǎng)絡(luò)和信息系統(tǒng)。這里的商用密碼指對不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)。
密碼技術(shù):采用特定變換的方法對信息進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)。如SM3哈希算法、SM4分組密碼算法、SM2公鑰密碼算法等。 密碼產(chǎn)品:實現(xiàn)密碼功能、承載密碼技術(shù)的實體,包括密碼機(jī)、密碼芯片和模塊等。 密碼服務(wù):基于密碼技術(shù)和產(chǎn)品,實現(xiàn)密碼功能,提供密碼保障的行為。
密改:又稱國密改造,是通過密評的重要一步,被評測信息系統(tǒng)需要經(jīng)過密改,從而支持國產(chǎn)商用密碼,并達(dá)到安全、合規(guī)、正確、有效的要求。從密評技術(shù)要求上分析,需要在物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全四個方面上借助商用密碼技術(shù)、產(chǎn)品或服務(wù),實現(xiàn)密改。
業(yè)界主推的密改技術(shù)路徑主要有三條:“免”改造、“重”改造和“易”改造。
免改造:信息系統(tǒng)無需進(jìn)行密改,只需簡單配置 重改造:信息系統(tǒng)調(diào)用復(fù)雜的基礎(chǔ)密碼產(chǎn)品接口完成密改,如對接服務(wù)器密碼機(jī)、簽名驗證服務(wù)器等 易改造:信息系統(tǒng)使用針對密評研發(fā)的專業(yè)密碼服務(wù)產(chǎn)品,無改動或較少改動信息系統(tǒng)來實現(xiàn)密改。
密碼應(yīng)用技術(shù)架構(gòu)
物理和環(huán)境安全:對重要物理區(qū)域(如:機(jī)房)出入人員采用密碼技術(shù)進(jìn)行身份鑒別,并對門禁進(jìn)出記錄、視頻監(jiān)控數(shù)據(jù)進(jìn)行完整性保護(hù)。物理和環(huán)境安全
網(wǎng)絡(luò)和通信安全:對業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)通信實體,采用密碼技術(shù)進(jìn)行身份鑒別,并對傳輸數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。網(wǎng)絡(luò)和通信安全
設(shè)備和計算安全:運(yùn)維管理員在對業(yè)務(wù)系統(tǒng)進(jìn)行運(yùn)維時,需要采用密碼技術(shù)進(jìn)行身份鑒別,并保障網(wǎng)絡(luò)環(huán)境中服務(wù)器、應(yīng)用程序、訪問記錄等重要數(shù)據(jù)的完整性。設(shè)備和計算安全
應(yīng)用和數(shù)據(jù)安全:用戶和管理員在訪問業(yè)務(wù)系統(tǒng)時,需要采用密碼技術(shù)進(jìn)行身份鑒別,對重要業(yè)務(wù)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性、重要業(yè)務(wù)數(shù)據(jù)存儲的機(jī)密性和完整性進(jìn)行保護(hù)。應(yīng)用和數(shù)據(jù)安全是密改的重要一環(huán)。應(yīng)用和數(shù)據(jù)安全
雙因子認(rèn)證UKey流程:
本文未對密評管理要求做深入介紹,只針對技術(shù)要求中需要進(jìn)行密改的地方進(jìn)行了詳細(xì)介紹。密評重點考察信息系統(tǒng)中商用密碼使用的合規(guī)性、正確性和有效性。應(yīng)用和數(shù)據(jù)安全是密改的重中之重,也是重改造的地方,其他方面可以通過采購合規(guī)的密碼產(chǎn)品或服務(wù)達(dá)到易改造、免改造的效果。 ?文章來源:密碼應(yīng)用技術(shù)實戰(zhàn)結(jié)語
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號清控創(chuàng)新基地A座4層