商用密码应用与安全性评估要点笔记(密评技术测评要求)

这篇具有很好参考价值的文章主要介绍了商用密码应用与安全性评估要点笔记(密评技术测评要求)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

4.4 密码应用技术测评要求

词条

内容

层面

物理和环境安全(包含3个测评单元)

单元-1

身份鉴别(1-4级)

测评指标:采用密码技术进行物理访问身份鉴别,保证重点区域进入人员身份真实性

测评对象:信息系统所在机房等重要区域及其电子门禁系统

测评实施:算法、技术、产品、服务符合通用要求;核查是否采用(1)动态口令机制(2)基于对称密码算法或密码杂凑算法的MAC(3)基于公钥密码算法的数字签名机制进行身份鉴别,实现机制是否正确和有效

结果判定:单个测试对象(DAK量化评估,符合-部分符合-不符合){0\0.25\0.5\1},单元测评对所有测试对象进行汇总取算术平均

单元-2

电子门禁记录数据存储完整性(1-4级)

测评指标:采用密码技术保证电子门禁系统进出记录数据的存储完整性

测评对象:信息系统所在机房等重要区域及其电子门禁系统

测评实施:算法、技术、产品、服务符合通用要求;核查是否采用(1)对称密码算法或杂凑算法的MAC(2)数字签名机制对门禁记录数据进行存储完整性保护,实现机制是否正确有效

结果判定:同上文章来源地址https://www.toymoban.com/news/detail-443417.html

单元-3

视频监控记录数据存储完整性(3-4级)

测评指标:采用密码技术保证视频监控音像记录数据的存储完整性

测评对象:信息系统所在机房等重要区域及其视频监控系统

测评实施:算法、技术、产品、服务符合通用要求;核查是否采用(1)对称密码算法或杂凑算法的MAC(2)数字签名机制对视频监控音像数据进行存储完整性保护,实现机制是否正确有效

结果判定:同上

层面

网络和通信安全(包含5个测评单元)

单元-1

身份鉴别(1-4级)(建立VPN通道时双方的鉴权)

测评指标:(1)采用密码技术对通信实体进行身份鉴别,保证身份真实性(1-3级)

(2)采用密码技术对通信实体进行双向鉴别,保证身份真实性(4级)

测评对象:信息系统与网络边界外建立的网络通信信道,以及提供通信保护功能的设备或组件、密码产品

测评实施:算法、技术、产品、服务符合通用要求;核查是否采用基于对称密码算法或密码杂凑算法的MAC,基于公钥密码算法的数字签名对通信实体进行身份鉴别(1-3级)或双向鉴别(4级),实现机制是否正确有效

结果判定:同上

单元-2

通信数据完整性(1-4级)

测评指标:采用密码技术保证通信过程中数据的完整性

测评对象:同上

测评实施:算法、技术、产品、服务符合通用要求;核查是否采用基于对称密码算法或密码杂凑算法的MAC,基于公钥密码算法的数字签名对通信过程中的数据进行完整性保护,实现机制是否正确有效

结果判定:同上

单元-3

通信过程中重要数据机密性(1-4级)

测评指标:采用密码技术保证通信过中重要数据的机密性

测评对象:信息系统与网络边界外建立的网络通信信道、以及提供通信保护功能的设备或组件、密码产品

测评实施:算法、技术、产品、服务符合通用要求;是否采用密码技术的加解密功能对通信过程中敏感信息或通信报文进行机密性保护,实现机制是否正确有效

结果判定:同上

单元-4

网络边界访问控制信息的完整性(1-4级)

测评指标:采用密码技术保证网络边界访问控制信息的完整性

测评对象:同上

测评实施:算法、技术、产品、服务符合通用要求;是否采用对称密码或杂凑算法的MAC、数字签名等密码技术对网络边界访问控制信息进行完整性保护,实施机制是否正确有效。

结果判定:同上

单元-5

安全接入认证(3-4级)设备接入时是否为合法设备

测评指标:采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入设备身份的真实性

测评对象:信息系统内部网络,以及提供设备入网接入认证功能的设备或组件、密码产品

测评实施:算法、技术、产品、服务符合通用要求;是否通过对称密码或杂凑算法的MAC,数字签名等密码技术对从外部连接到内部网络的设备进行接入认证,实现机制是否正确有效

结果判定:同上

层面

设备和计算安全(包括6个测评单元)

单元-1

身份鉴别(1-4级)

测评指标:采用密码技术对登录设备的用户进行身份鉴别(1-4级)

测评对象:通用设备、网络及安全设备、密码设备、各类虚拟设备,以及提供身份鉴别功能的密码产品

测试实施:算法、技术、产品、服务符合通用要求;检测是否基于动态口令、MAC、数字签名等密码技术对设备操作人员等登录设备的用户进行身份鉴别,实现机制是否正确有效

结果判定:同上

单元-2

远程管理通道安全(3-4级)

测评指标:远程管理设备时,采用密码技术建立安全的信息传输通道

测评对象:通用设备、网络及安全设备、密码设备、各类虚拟设备,以及提供安全的信息传输通道的密码产品

测试实施:算法、技术、产品、服务符合通用要求;核查远程管理时是否采用密码技术建立安全的信息传输通道,包括身份鉴别、传输数据机密性和完整性,实现机制是否正确有效

结果判定:同上

单元-3

系统资源访问控制信息完整性(1-4级)

测评指标:采用密码技术保证系统资源访问控制信息的完整性

测评对象:通用设备、网络及安全设备、密码设备、各类虚拟设备,以及提供完整性保护功能的密码产品

测评实施:算法、技术、产品、服务符合通用要求;核查是否采用MAC、数字签名等密码技术对设备上系统资源访问控制信息进行完整性保护,实现机制是否正确有效

结果判定:同上

单元-4

重要信息资源安全标记完整性(3-4级)

测评指标:采用密码技术保证设备中的重要信息资源安全标记的完整性

测评对象:通用设备、网络及安全设备、密码设备、各类虚拟设备,以及提供完整性保护功能的密码产品

测试实施:算法、技术、产品、服务符合通用要求;核查是否采用MAC、数字签名等密码技术对设备上的重要信息资源安全标记进行完整性保护,实现机制是否正确有效。

结果判定:同上

单元-5

日志记录完整性(1-4级)

测评指标:采用密码技术保证日志记录的完整性

测评对象:通用设备、网络及安全设备、密码设备、各类虚拟设备,以及提供完整性保护功能的密码产品

测试实施:算法、技术、产品、服务符合通用要求;核查是否采用MAC、数字签名等密码技术对设备上的日志记录进行完整性保护,实现机制是否正确有效。

结果判定:同上

单元-6

重要可执行程序完整性、来源真实性(3-4级)

测评指标:采用密码技术保证重要可执行程序完整性,并对其来源真实性进行验证

测评对象:通用设备、网络及安全设备、密码设备、各类虚拟设备,以及提供完整性保护和来源真实性功能的密码产品

测试实施:算法、技术、产品、服务符合通用要求;核查是否采用密码技术对重要可执行程序进行完整性保护以及来源真实性保护,实现机制是否正确有效。

结果判定:同上

层面

应用和数据安全(包括8个测评单元)

单元-1

身份鉴别(1-4级)

测评指标:采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份真实性

测评对象:业务应用,以及提供身份鉴别功能的密码产品

测评实施:算法、技术、产品、服务符合通用要求;核查是否使用动态口令、MAC或数字签名机制等密码技术对登录用户进行身份鉴别,实现机制是否正确有效。

结果判定:同上

单元-2

访问控制信息完整性(1-4级)

测评指标:采用密码技术保证信息系统应用的访问控制信息的完整性

测评对象:业务应用,以及提供完整性保护功能的密码产品

测评实施:算法、技术、产品、服务符合通用要求;核查是否使用MAC或数字签名机制等密码技术对应用的访问控制信息进行完整性保护,实施机制是否正确有效。

结果判定:同上

单元-3

重要信息资源安全标记完整性(3-4级)

测评指标:采用密码技术保证信息系统应用的重要信息资源完全标记的完整性

测评对象:业务应用,以及提供完整性保护功能的密码产品

测评实施:算法、技术、产品、服务符合通用要求;核查是否使用MAC或数字签名机制等密码技术对应用的重要信息资源安全标记进行完整性保护,实施机制是否正确有效。

结果判定:同上

单元-4

重要数据的传输机密性(1-4级)

略。

单元-5

重要数据的存储机密性(1-4级)

略。

单元-6

重要数据的传输完整性(1-4级)

略。

单元-7

重要数据的存储完整性(1-4级)

略。

单元-8

不可否认性(3-4级)

测评指标:在可能涉及法律责任认定的应用中,采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性

测评对象:业务应用,以及提供不可否认性功能的密码产品

测评实施:算法、技术、产品、服务符合通用要求;核查是否使用数字签名机制等密码技术对数据原发行为和数据接收行为实现不可否认性保护,实施机制是否正确有效。

结果判定:同上

到了这里,关于商用密码应用与安全性评估要点笔记(密评技术测评要求)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 商用密码应用与安全性评估要点笔记(SM4算法)

    1、SM4算法简介         SM4是我国发布的分组密码算法,属于对称密码的一种。SM4在2006年公开发布,2012年成为行业标准(GMT 0002-2012 SM4分组密码算法),并于2021年成为国际标准。         SM2分组长度为128bit、密钥长度为128bit、采用32轮非线性迭代结构(非平衡Feistel结构)。

    2024年02月12日
    浏览(43)
  • 商用密码应用与安全性评估要点笔记(SM3密码杂凑算法)

    1、杂凑密码算法         可以对任意长度的消息M进行压缩,输出定长的消息摘要/杂凑值h,表示为h = H(M)。         一般来说,H具备三个性质:         (1)单向性。已知h,试图找打M满足h=H(M)是困难的。         (2)抗第二/二次原像攻击(弱抗碰撞性)。给定M1,试图

    2024年02月01日
    浏览(53)
  • 商用密码应用与安全性评估要点笔记(SM2公钥加密算法)

    1、SM2算法简介         SM2密码算法是我国2010年发布的商用密码算法,属于公钥密码算法,也成为非对称密钥机制密码算法。SM2基于椭圆曲线离散对数问题,相对于RSA基于大整数因数分解更具优越性。         SM2算法于2012年成为我国密码行业标准,并于2017年被ISO采纳,成为

    2024年02月01日
    浏览(44)
  • 商用密码应用与安全性评估要点笔记(SM2密钥交换算法)

    1、SM2算法简介         SM2密码算法是我国2010年发布的商用密码算法,属于公钥密码算法,也成为非对称密钥机制密码算法。SM2基于椭圆曲线离散对数问题,相对于RSA基于大整数因数分解更具优越性。         SM2算法于2012年成为我国密码行业标准,并于2017年被ISO采纳,成为

    2024年02月11日
    浏览(36)
  • 商用密码应用与安全性评估要点笔记(不公开的国密算法)

    国密算法中SM1、SM7算法不公开,调用该算法时,需要通过加密芯片的接口进行调用。 1、SM1国密算法         SM1 算法是分组密码算法,分组长度为128位,密钥长度都为 128 比特,算法安全保密强度及相关软硬件实现性能与 AES 相当,算法不公开, 仅以IP核的形式存在于芯片

    2024年02月12日
    浏览(41)
  • 商用密码应用与安全性评估要点笔记(密评管理测评要求、测评过程指南)

    4.5 密评管理测评要求 词条 内容 层面 管理制度(包括6个测评单元) 单元-1 具备密码应用安全管理制度(1-4级) 测评指标:具备密码应用安全管理制度,包括人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度 测评对象:安全管理制度类文档 测评实施

    2024年02月01日
    浏览(49)
  • 商用密码应用与安全性评估要点笔记(SM9数字签名算法)

    1、SM9标识密码算法简介         首先有几个概念需要弄清楚:         (1)标识identity,可以唯一确定一个实体身份的信息,且实体无法否认。比如身份证号、手机号、邮箱等。         (2)主密钥master key MK,密码分层结构中最顶层的密钥,这里是非对称密钥就包括主私

    2024年02月05日
    浏览(47)
  • 商用密码应用与安全性评估要点笔记(SM2数字签名算法)

    1、SM2算法简介         SM2密码算法是我国2010年发布的商用密码算法,属于公钥密码算法,也成为非对称密钥机制密码算法。SM2基于椭圆曲线离散对数问题,相对于RSA基于大整数因数分解更具优越性。         SM2算法于2012年成为我国密码行业标准,并于2017年被ISO采纳,成为

    2024年02月09日
    浏览(52)
  • 密评|商用密码应用安全性评估

    作为近些年刚刚进入人们视线的“密评”,许多人均对其较为陌生,密码作为网络安全体系中基础支撑,是国家实现网络安全从被动防御走向主动免疫的重要战略转变。 商用密码应用安全性评估(以下均简称为“密评”)于2007年提出,期间经历10余年的积累。 2007年11月27日,

    2024年02月13日
    浏览(47)
  • 商用密码应用安全性评估----技术层面实现

    网络和通信安全        三个密码产品  SSL VPN IPSEC VPN  安全认证网关-----数字证书---双证书-----SM2签名  SM4加密   D 是否使用这些安全产品   A用的算法是否符合国家密码算法要求       K密钥管理是否安全(商用密码产品检测中心认证的)       对象:一般划分根据

    2024年02月16日
    浏览(55)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包