密评|商用密码应用安全性评估

这篇具有很好参考价值的文章主要介绍了密评|商用密码应用安全性评估。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

作为近些年刚刚进入人们视线的“密评”,许多人均对其较为陌生,密码作为网络安全体系中基础支撑,是国家实现网络安全从被动防御走向主动免疫的重要战略转变。

商用密码应用安全性评估的发展历程

商用密码应用安全性评估(以下均简称为“密评”)于2007年提出,期间经历10余年的积累。
2007年11月27日,国家密码管理局印发的11号文件《信息安全等级保护商用密码管理办法》,要求信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。
2009年12月15日,国家密码管理局印发管理办法实施意见,进一步明确了与密码测评有关的要求。
2017年04月22日,国家密码管理局印发《关于开展密码应用安全性评估试点工作的通知》,同时在七个省份、五个行业中开展密评试点工作。
2017 年09月27日,国家密码管理局印发《商用密码应用安全性测评机构管理办法(试行)》《商用密码应用安全性测评机构能力评审实施细则(试行)》《信息系统密码应用基本要求》和《信息系统密码测评要求(试行)》,初步建立密评制度体系。
2019年,对首批密评试点机构进行评估。
2019年10月,启动第二批密评机构试点工作。
2019年10月26日,《中华人民共和国密码法》正式颁布,于2020年1月1日正式施行。
2021年3月,国家市场监督管理总局、国家标准化管理委员会发布密评的关键标准GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》,并于2021年10月1日正式实施。
2021年10月19日,国家密码管理局2021年10月19日发布GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》、GM/T 0005-2021《随机性检测规范》等行业标准,于2022年5月1日正式实施。

密评流程

根据GM/T 0116-2021《信息系统密码应用测评过程指南》规定,密评工作共有4项基本活动:测评准备工作、方案编制工作、现场测评活动、分析与报告编制活动,在此期间测评方与被测单位之间的沟通与洽谈应该贯穿整个过程。

  • 测评准备活动:

主要包括项目的启动、测评方收集并分析被测单位相关受测系统基本信息与网络现状,准备相关测评工具及表单。

  • 方案编制活动:

根据收集到的信息确认测评对象及测评指标,根据测评检查点及测评内容编制测评方案。

  • 现场测评活动:

根据密评方案逐步实施测评项目,了解被测系统的实际密码应用现状,收集相关证据,发现被测系统密码应用安全性问题。

  • 分析与报告编制活动:

该活动主要为根据现场测评情况给出测评工作结果,根据密评方案及GM/T 0115-2021《信息系统密码应用测评要求》相关要求,通过单元测评、整体测评、量化评估和风险分析等方式,给出被测系统评估结论形成密评报告。
(本文仅为个人在密评学习过程中的笔记与思考)文章来源地址https://www.toymoban.com/news/detail-647074.html

到了这里,关于密评|商用密码应用安全性评估的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 商用密码应用安全性评估中的密评分析工具,WireShark3.7.1的国密版本

    工具之一:通信信道密码算法分析工具。 这里一般指的是WireShark类的抓包分析工具,它可以抓取常见的网络协议数据报文,然后用于离线分析。 随着商用密码体系建设的完善和推进,分析商用密码算法和协议成为密评工作中重要的一环。 电信数智密评中心,根据工作需要研

    2024年02月09日
    浏览(49)
  • 商用密码应用安全性评估----技术层面实现

    网络和通信安全        三个密码产品  SSL VPN IPSEC VPN  安全认证网关-----数字证书---双证书-----SM2签名  SM4加密   D 是否使用这些安全产品   A用的算法是否符合国家密码算法要求       K密钥管理是否安全(商用密码产品检测中心认证的)       对象:一般划分根据

    2024年02月16日
    浏览(52)
  • 商用密码应用与安全性评估要点笔记(FAQ)

    5 商用密码应用安全性评估FAQ汇编 词条 内容 密钥应用基本要求的等级 一般按照信息系统网络安全等级保护的级别确定。对于未完成网络安全等级保护定级的重要信息系统,其密码应用等级至少为第三级。 【宜】测评指标 系统没有密码应用方案或方案未对【宜】指标明确说

    2024年02月02日
    浏览(79)
  • 商用密码应用与安全性评估要点笔记(密码算法ZUC)

    1、ZUC算法简介         ZUC算法属于对称密码算法,具体来说是一种序列密码算法或流密码算法。ZUC算法以中国古代数学家祖冲之首字母命令。         ZUC算法标准包括三个部分:         GMT 0001.1-2012 祖冲之序列密码算法:第1部分:算法描述         GMT 0001.2-201

    2024年02月16日
    浏览(48)
  • 商用密码应用与安全性评估要点笔记(密码标准和产品)

    3.5 密码标准和产品 词条 内容 智能IC卡分类 存储器卡,外部可对片内信息任意存储,存放不需要保密的信息 逻辑加密卡,硬件加密逻辑,具备简单的信息处理能力。保密要求较低的场合。 智能CPU卡,如银行卡、门禁卡、护照、身份证、社保卡、手机SIM卡 接触式(多个金属触

    2024年02月09日
    浏览(38)
  • 《商用密码应用与安全性评估》第三章商用密码标准与产品应用3.3商用密码产品检测

    GM/T 0028-2014《密码模块安全技术要求》将 密码模块 安全分为从一级到四级安全性逐次增强的 4个等级 GM/T 0008-2012《安全芯片密码检测准则》将 安全芯片 安全分为从一级到三级安全性逐次增强的 3个等级 。 对于不同安全等级密码产品的选用,应考虑以下两个方面∶ 运行环境提

    2024年02月06日
    浏览(71)
  • 《商用密码应用与安全性评估》第三章商用密码标准与产品应用3.2商用密码产品类别

    商用密码产品按形态可以划分为六类∶软件、芯片、模块、板卡、整机、系统 软件是指以纯软件形态出现的密码产品,如密码算法软件。 芯片是指以芯片形态出现的密码产品,如算法芯片、安全芯片。 模块是指将单一芯片或多芯片组装在同一块电路板上,具备专用密码功能

    2024年02月12日
    浏览(40)
  • 商用密码应用安全性评估从业人员考核知识点

    1. 密码政策法规(占比10%) 1.1党和国家关于密码工作的方针政策 1.2密码法律法规与规范性文件 1.3涉及密码的网络安全相关法律法规 1.4密码应用政策文件 2. 密码技术基础及相关标准(占比20%) 2.1密码学基础知识 2.2分组密码 2.3序列密码 2.4杂凑密码 2.5公钥密码 2.6实体鉴别协

    2024年02月04日
    浏览(57)
  • 商用密码应用与安全性评估要点笔记(密评测评方法)

    4.3 密评测评方法 词条 内容 密评方法 对密码算法、密码技术、密码产品和密码服务进行核查。 核查前的工作 确认在信息系统中,应当使用密码保护的资产是否采用了密码技术进行保护(默认情况下按照GB/T39786-2021中对应条款判定),如有不适用,信息系统责任方应当在密码

    2024年02月12日
    浏览(40)
  • 商用密码应用与安全性评估要点笔记(SM3密码杂凑算法)

    1、杂凑密码算法         可以对任意长度的消息M进行压缩,输出定长的消息摘要/杂凑值h,表示为h = H(M)。         一般来说,H具备三个性质:         (1)单向性。已知h,试图找打M满足h=H(M)是困难的。         (2)抗第二/二次原像攻击(弱抗碰撞性)。给定M1,试图

    2024年02月01日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包