商用密码应用安全评估实施方案(50页PPT)

news2024/11/23 15:03:26

商用密码应用安全评估:简称密评,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估的过程。这一评估过程是根据《中华人民共和国密码法》等相关法规和标准进行的。

合规性评估主要是检查密码应用是否符合国家相关法律法规和标准的要求,例如《商用密码管理条例》等。正确性评估主要是验证密码设备的配置、密码协议的实现等是否正确,是否存在可能导致安全隐患的问题。有效性评估主要是测试安全措施如身份认证、访问控制、数据加密等是否有效,能否达到预期的安全效果。

我国的《密码法》中对密码的定义是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。同时《密码法》明确规定,国家对密码实行分类管理,密码分为核心密码、普通密码和商用密码。

核心密码是采用加密保护和安全认证措施用于保护传输、存储及处理国家绝密级、机密级、秘密级信息的密码。核心密码广泛应用于国防、外交、安全等领域。对于维护国家的安全和利益具有重要的作用。

普通密码是采用加密保护和安全认证措施用于保护传输、存储及处理国家机密级、秘密级信息的密码。相比于核心密码,普通密码保护的信息级别较低,普通密码的应用范围可能更加广泛,例如在政府机构、金融机构、教育机构等领域都有应用。

商用密码是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。商用密码技术是商用密码的核心,是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。

典型的商用密码应用场景包括:密钥管理系统、身份鉴别系统、金融IC卡发卡系统和交易系统、网上银行系统 、远程移动支付服务业务系统、信息采集系统、智能网联汽车共享租赁业务系统、综合网站群系统以及政务云系统等。

随着数字化、网络化、智能化的深入发展,大数据、云计算、区块链、AI等技术的变革,越来越多的系统日益强调全域安全,强信任、强安全、强可控、强防护成为必然要求。包括云计算、物联网、工业互联网、移动办公等场景进行密码防护方案设计,构建以商用商用密码为核心的信息系统安全防护体系。

但是,商用密码应用形式并不乐观,普遍存在密码应用不广泛、不规范和不安全等问题。造成了商用密码应用面临了诸多风险,包括技术风险(如算法选择不当:选用的密码算法可能被破解或已经过时,无法提供足够的安全保障。)、合规性风险、人为风险、供应供应链风险、环境风险、政策与流程风险以及业务连续性风险等。

密评可以帮助相关单位和企业评估自身密码的安全性,发现潜在的安全漏洞和风险,并提供相应的改进建议。密评的实施者包括信息系统责任单位(甲方),由其提出开展密评工作的申请并报主管部门及密码管理部门备案;密码集成商/密码厂商编制密码应用建设/改造方案并实施;测评机构:根据相关的密评国标测评并出具报告同时上报国密局备案。

商用密码应用安全性评估主要包括对商用密码技术、产品和服务的合规性、正确性和有效性的检测分析和评估验证。根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,密评涵盖了从物理和环境安全、网络和通信安全、设备和计算安全到应用和数据安全的各个层面,以及管理制度、人员管理、建设运行和应急处置等管理方面的要求。

密评整体工作总共分为五个步骤,分别是申请、审批、建设、评估以及报备。首先由由信息系统责任单位(甲方)提出开展密评工作的申请,此时甲方如开展过密评工作则直接对该系统密码应用的安全性进行评估,如未开展密评工作,则需要确定该系统是否为新建系统,以此决定密码从业单位编制密码应用建设方案还是密码应用改造方案。

形成具体的建设/改造方案后,由相关专家组对方案进行评审。待方案通过评审,信息系统建设单位(密码集成商/密码厂商)就会开展系统密码应用的建设工作。完成建设后由第三方密评机构对建设后的密码应用安全性进行评估(三级及以上的系统需要每年开展密评工作),评估工作通过后则由密评机构编制《密码应用方案评估报告》、《密码应用安全性评估报告》,评估不通过,则针对该系统不符合标准的地方进行整改,直至通过安全性评估。

最后由信息系统责任单位将相关评估报告送至主管部门、密码管理部门进行报备(三级及以上系统还需要到当地公安机关进行备案)。

密码应用保护方案设计一般包括密码技术建设、密码管理建设以及密码安全管理体系三个主要部分。其中密码技术建设分别主要针对物理和环境安全、网络和通讯安全、设备和计算安全以及应用和数据安全等。

密码管理建设包括证书认证体系、密钥管理体系以及统一密码服务平台。证书认证体系是密码应用系统建立的核心环节,包括身份认证、完整性校验、抗抵赖等机制均需要数字证书进行支撑。

密钥管理体系以密钥管理系统为主,通过密钥管理系统完成对称密钥的全生命周期管理。密钥管理系统需要配合服务器密码机,并且该服务器密码机不能同业务系统共用。

统一密码服务平台是针对密码基础设施的统一管理,统一运维平台。同时它也是一个密码基础设施,整合密码资源,向上交付一套密码微服务。包含身份认证、密钥管理、证书管理、密码计算等功能。

密码安全管理体系主要包括管理制度、人员管理、建设运行以及应急处置四个部分。其中管理制度包括:具备密码应用安全管理制度、密钥管理规则、建立操作规程、定期修订安全管理制度、明确管理制度发布流程及制度执行过程记录留存。

人员管理包括:了解并遵守密码相关法律法规和密码管理制度、建立密码应用岗位责任制度、建立上岗人员培训制度、定期进行安全岗位人员考核、建立关键岗位人员保密制度和调离制度。

建设运行包括:制定密码应用方案、制定密钥安全管理策略、制定实施方案、投入运行前进行密码应用安全性评估及定期开展密码应用安全性评估及攻防对抗演习。

应急处置包括:应急策略、事件处置、向有关主管部门上报处置情况。

商用密码应用安全评估对于保障信息安全性、符合法规要求、识别和防范风险、提升系统稳定性、保障业务连续性、增强信任和信心以及推动技术更新和创新具有重要价值。它能够确保密码技术的有效性,发现并修复潜在风险,保障企业的业务运行和市场竞争力,同时满足法律法规的合规要求。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1350768.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Premiere Pro教程(全)

项目面板 素材箱 工具面板 轨道选择工具 波纹编辑工具 视频裁剪工具 时间轴面板 时间轴相关快捷键 素材编辑 源面板 插入 节目面板 基本声音 效果面板 效果快捷键 视频效果 视频过渡 全部面板 通用快捷键 效果控件 效果控件概述 码表 运动 不透明度 字幕组 字幕…

7+WGCNA+机器学习+泛癌生信思路,非肿瘤也能结合泛癌分析

今天给同学们分享一篇生信文章“Analysis and Experimental Validation of Rheumatoid Arthritis Innate Immunity Gene CYFIP2 and Pan-Cancer”,这篇文章发表在Front Immunol期刊上,影响因子为7.3。 结果解读: DEG筛选和数据预处理 数据在…

Vue3复习笔记

目录 挂载全局属性和方法 v-bind一次绑定多个值 v-bind用在样式中 Vue指令绑定值 Vue指令绑定属性 动态属性的约束 Dom更新时机 ”可写的“计算属性 v-if与v-for不建议同时使用 v-for遍历对象 数组变化检测 事件修饰符 v-model用在表单类标签上 v-model还可以绑定…

HTML5+CSS3④——选择器、复合选择器

目录 选择器 标签选择器 类选择器 id选择器 通配符选择器 复合选择器 后代选择器 子代选择器 并集选择器 交集选择器 选择器 标签选择器 类选择器 id选择器 通配符选择器 复合选择器 后代选择器 子代选择器 并集选择器 交集选择器

dns主从搭建测试

一、DNS的介绍 1、DNS:Domain Name System,域名系统。将主机名解析为IP地址的过程,完成从域名到主机识别ip地址之间的转换,如:www.baidu.com, 其中 www为主机名,baidu.com为域名。 2、DNS无论是走TCP,还是走…

Latex使用BibTeX添加参考文献,保持专有名词原格式,如全部大写方法

一、背景 当我们使用Latex写文章时,通常使用BibTeX的方式添加参考文献,这种方式非常方便,可以使用期刊定义好的参考文献格式。但有时,某篇参考文献题目中含有专有名词时,如DMPs,参考文献会自动将其转为小写…

密码学:一文读懂非对称密码体制

文章目录 前言非对称密码体制的保密通信模型私钥加密-公钥解密的保密通信模型公钥加密-私钥解密的保密通信模型 复合式的非对称密码系统散列函数数字签名数字签名满足的三个基本要求先加密还是先签名?数字签名成为公钥基础设施以及许多网络安全机制的基础什么是单向…

【数据结构】七、图

一、概念 图:记为G(V,E) 有向图:每条边都有方向 无向图:边无方向 完全图:每个顶点都与剩下的所有顶点相连 完全有向图有n(n-1)条边;完全无向图有n(n-1)/2条边 对于完全无向图,第一个节点与剩下n-1个节点…

本地生活服务再起波澜,这些数据告诉你该选哪些行业?

当地生活领域的竞争异常激烈,市场形势也在发生变化,以"变革、拓展、创新、尝试"为中心的当地生活领域每天都有新的故事。艾瑞咨询的数据显示,2020年中国当地生活服务市场规模达到19.5万亿元,预计到2025年,这…

众和策略股市行情分析:为什么不建议在登记日前买入股票?

为什么不主张在挂号日前买入股票? 之所以不主张在挂号日前买入股票,是因为挂号日之后股票会除息,从而使得股价跌落。而挂号日前买入虽说可以享有当期分红,但持股达不到一定年限的,分红是需要付税的,所以不…

常用环境部署(十三)——GitLab整体备份及迁移

一、GitLab备份 注意:由于我的GitLab是docker安装的,所以我的操作都是在容器内操作的,大家如果不是用docker安装的则直接执行命令就行。 1、Docker安装GitLab 链接:常用环境部署(八)——Docker安装GitLab-CSDN博客 2、GitLab备…

DNS测试和管理工具

一、dig 命令 说明: (1)dig只用于测试dns系统,不会查询hosts文件进行解析。 (2)加"server-ip":根据指定的DNS服务器来解析,绕过了本地解析库中设置的DNS服务器。 &…

Model::unguard()的作用

这是在生成假数据时碰见的,浅查了一下 Model::unguard() 是 Laravel 框架中的一个方法,它的作用是取消对 Eloquent 模型的属性赋值的安全性保护。 在默认情况下,Laravel 的 Eloquent 模型会对属性赋值做一些安全性检查,例如防止…

实现区域地图散点图效果,vue+echart地图+散点图

需求:根据后端返回的定位坐标数据实现定位渲染 1.效果图 2.准备工作,在main.js和index.js文件中添加以下内容 main.js app.use(BaiduMap, {// ak 是在百度地图开发者平台申请的密钥 详见 http://lbsyun.baidu.com/apiconsole/key */ak: sRDDfAKpCSG5iF1rvwph4Q95M…

ARM CCA机密计算架构软件栈之软件组件介绍

在本节中,您将了解Arm CCA的软件组件,包括Realm World和Monitor Root World。以下图表展示了Arm CCA系统中的软件组件: 在这个图表中,世界之间的边界显示为粗虚线。由较高权限的软件强制执行的较低权限软件组件之间的边界显示为细虚线。例如,非安全EL2处的虚拟机监视器强制…

QT上位机开发(会员管理软件)

【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing 163.com】 前面我们学习了ini文件的解析办法,通过QSettings类就可以很轻松地访问ini文件里面的数据。除了ini文件之外,另外一种经常出…

安装 Node.js、npm

安装 nodejs 安装Node.js的最简单的方法是通过软件包管理器。 Node.js官网:https://nodejs.org/en/download/ cd /usr/local/src/wget -c https://nodejs.org/dist/v18.16.0/node-v18.16.0-linux-x64.tar.xz xz -d node-v18.16.0-linux-x64.tar.xz tar -xf node…

探究Chrome仿真模拟设备时Click区域不准确问题

一、开发环境 windows版本: windows 10 Chrome 版本: 116.0.5845.141 二、问题描述 在Chrome DevTools中开启仿真设备(微信开发者工具也有类似问题),如果页面元素有绑定click时,实际点击事件响应区域会…

如何使用Docker部署Swagger Editor结合内网穿透实现远程编辑API文档

文章目录 Swagger Editor本地接口文档公网远程访问1. 部署Swagger Editor2. Linux安装Cpolar3. 配置Swagger Editor公网地址4. 远程访问Swagger Editor5. 固定Swagger Editor公网地址 Swagger Editor本地接口文档公网远程访问 Swagger Editor是一个用于编写OpenAPI规范的开源编…

【DevOps】搭建 项目管理软件 禅道

文章目录 1、简介2、环境要求3、搭建部署环境3.1. 安装Apache服务3.2. 安装PHP环境(以php7.0为例 )3.3. 安装MySQL服务 4、搭建禅道4.1、下载解压4.2、 配置4.2.1、 启动4.2.2、自启动4.2.3、确认是否开机启动 5、成功安装 1、简介 禅道是国产开源项目管…