信息化项目密码测评设计方案

XXX市信息化建设项目网络安全等级保护测评服务1.1服务目标根据国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》、《关于开展全国重要信息系统安全等级保护定级工作的通知》以及《XXX市重要信息系统安全等级保护工作实施方案》的要求，对XXX市水务局”智慧排水”信息化建设项目开展网络安全等级保护测评工作。

服务供应商应根据网络安全等级保护测评的基本要求提供等级保护咨询服务，对系统进行必要的等保安全性评估，找出与国家信息安全等级保护基本要求存在的差距，在此基础上协助采购人按照国家有关规定和标准规范要求对信息系统进行安全建设整改，协助采购人顺利通过国家信息安全等级保护主管部门的备案审核和取得《信息系统安全等级保护备案证明》，出具符合国家信息安全等级保护主管部门要求的网络安全等级保护测评报告，高质量通过国家信息安全等级保护主管部门的报告审核。

1.2服务内容及要求1.2.1服务内容本次测评的XXX市水务局”智慧排水”信息化建设项目具体信息如下：保护定备案结果为准，服务供应商参与本子项投标视为知悉并接受本子项的服务要求。

XXX市水务局”智慧排水”信息化建设项目部署在XXX市电子政务云，系统仍在建设阶段。

本次要求服务供应商提供的服务包括但不限于：1、为保证三大信息化建设项目的顺利验收，要求服务供应商自合同签订之日起，根据网络安全等级保护测评的基本要求对采购人提供或要求提供的相关方案提供咨询服务，对不符合国家信息安全等级保护相关要求的方案和问题提出建议，协助采购人完成项目的安全建设。

2、为保证XXX市水务局”智慧排水”信息化建设项目中的信息系统定级合理化且能够顺利通过国家信息安全等级保护主管部门的备案审核，服务供应商协助采购人确定定级对象，给出合理的定级建议，并协助采购人取得国家信息安全等级保护主管部门的《信息系统安全等级保护备案证明》。

3、为保证XXX市水务局”智慧排水”信息化建设项目中的信息系统能够顺利达到国家信息安全等级保护相关要求，服务供应商在服务期内须对系统进行有必要的等保安全性评估，找出与国家信息安全等级保护基本要求存在的差距，在此基础上协助采购人按照国家有关规定和标准规范要求对信息系统进行安全建设整改，达到国家信息安全等级保护相关要求。

信息系统密码应用设计
设计一个信息系统密码应用需要考虑以下几个方面：
1. 用户管理：需要设计用户注册、登录、修改密码等功能，密码需要符合一定的复杂度要求，如包含数字、字母和特殊字符等。

2. 密码存储：需要设计安全的密码存储方式，常用的方式包括对密码进行哈希处理后存储，并使用盐值加密增加密码的安全性。

3. 强制密码重置：可以设计密码有效期，过期后需要用户强制重置密码，以保证账户的安全性。

4. 密码找回：提供用户找回密码的功能，可以通过发送重置密码链接到用户的注册邮箱或者手机号码，来帮助用户重置密码。

5. 密码策略：可以设计密码策略，要求用户定期修改密码，禁止使用过于简单或常见的密码等，增加密码的复杂度和安全性。

6. 多因素认证：可以提供多因素认证的功能，如手机验证码、指纹识别、人脸识别等，以增加登录的安全性。

7. 安全日志：记录用户的登录行为、密码修改记录等信息，便于追查异常登录等安全事件。

8. 安全性监测：可以定期对密码应用进行安全检查，如检查服
务器和数据库的安全性，以及用户密码的安全性等。

总之，信息系统密码应用的设计需要综合考虑用户管理、密码存储安全、密码重置与找回、密码策略、多因素认证、安全日志和安全性监测等方面，以保证系统的安全性和用户的账户安全。

密码测评实施方案模板一、前言。

密码是信息系统中最基本的安全控制手段之一，密码测评是对密码安全性进行评估的过程，旨在发现密码设置存在的安全隐患，为系统安全提供保障。

本文档旨在制定密码测评实施方案，以确保密码安全性的可靠性和稳定性。

二、密码测评实施目的。

1. 评估密码设置的安全性，发现潜在的安全隐患；2. 提升系统对密码安全的重视程度，加强密码管理意识；3. 保障系统信息资产的安全和完整性。

三、密码测评实施范围。

本次密码测评实施范围包括但不限于以下内容：1. 各类用户账号密码；2. 数据库密码；3. 系统管理员密码；4. 第三方集成系统密码；5. 其他涉及密码设置的相关内容。

四、密码测评实施流程。

1. 制定密码测评计划，明确测评目标和范围；2. 收集密码策略、密码规范等相关文件资料；3. 进行密码策略和规范的审查和分析；4. 对密码设置进行实际测评，包括但不限于密码长度、复杂度、定期性等；5. 分析测评结果，编制密码测评报告；6. 提出改进建议，并跟踪整改情况。

五、密码测评实施方法。

1. 利用密码破解工具对系统密码进行模拟攻击；2. 采用社会工程学手段，对用户密码进行测试；3. 结合技术手段和人工审核，对密码设置进行全面测评；4. 利用安全评估工具对密码安全性进行检测。

六、密码测评实施要求。

1. 严格遵循相关法律法规和公司政策，保护用户隐私和信息安全；2. 在密码测评过程中，避免对系统正常运行造成影响；3. 对测评结果进行保密，避免泄露敏感信息。

七、密码测评实施报告。

1. 测评报告应包括密码测评的目的、范围、方法、结果等内容；2. 对存在的安全隐患进行详细描述，并提出改进建议；3. 报告需提交给相关部门领导，并按时跟踪整改情况。

八、密码测评实施后续工作。

1. 根据测评报告，及时整改存在的安全隐患；2. 定期对密码安全性进行评估，保持系统密码的安全性和稳定性；3. 加强对密码管理的培训和宣传，提升全员对密码安全的重视程度。

1密码应用方案1.1建设背景政务信息系统是现代政务信息治理和信息科技发展相结合的产物，是国家关键信息基础设施，一旦遭到破坏将对国家安全、社会稳定、经济繁荣和民生改善造成严重损失。

在“互联网+政务服务”的大背景下，政务信息系统融合了大量跨部门、跨平台的数据，易遭受网络攻击，存在用户假冒、数据篡改、信息泄露等安全风险。

如何为政务信息系统提供更加可靠的安全保障，是当前政务信息系统建设发展过程中亟需解决的问题。

密码技术是网络安全的核心技术和基础支撑，在身份鉴别、访问控制、安全隔离、数据加密等方面具有不可替代的重要作用。

密码技术措施也是解决政务信息系统安全保障问题的基础技术手段，与其它类型的网络信息安全保护手段相比，密码技术具有最有效、最可靠和最经济的特点。

2018年印发的《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》（厅字〔2018〕36号）把积极推进政务信息系统中的密码应用作为一项重要工作，明确指出要规范电子印章、电子文件、电子证照和移动政务办公中的密码应用，推进安全可靠应用和电子凭证网上报销中的密码应用，加强政务网络、政务云、政务大数据中心、国家基础信息资源库及政务信息资源共享中的密码保护，为推进“三融五跨”，构建全国一体化“互联网+政务服务”提供密码支撑保障。

当前，我国对于信息系统中如何应用密码已经制定了相关的技术标准和管理规定。

其中，GB/T 39786《信息系统密码应用基本要求》给出了面向通用信息系统的商用密码应用基本要求，《商用密码安全性评估管理办法（试行）》对重要领域网络和信息系统中如何开展商用密码应用安全性评估工作做出了规定。

但是，对于政务信息系统中如何落实相关标准要求和管理规定，没有相应的指导性文件。

目前，政务信息系统密码应用体系建设还存在不够规范的现象，很多单位对于如何采用密码技术来保障信息系统安全仍不够了解，密码在政务信息系统建设中的重要作用没有得到充分发挥。

一、密码应用安全性评估方案（一）背景随着网络与信息技术的高速发展，尤其是互联网的广泛普及和应用，网络正深刻影响并改变着人类的生活和工作方式，我们已经身处信息时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。

我国信息化建设在不断深入，信息化的水平也在不断提升，同时导致了对信息系统的依赖程度也越来越高。

越来越多的政府机构、企事业单位建立了依赖于网络的业务信息系统，比如门户WEB应用、电子政务、电子商务、网上银行、网络办公等；同时也利用互联网提供给用户各类Web应用服务，如提供信息发布、信息搜索、电子政务、电子商务等业务，便利了工作，也极大丰富了人们的生活。

网络技术对社会各行各业产生了巨大深远影响的同时，随之而来的网络安全问题亦凸现出来。

计算机、网络、信息等系统资产在服务于各部门业务的同时，也受到越来越多的安全威胁，如病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈等利用计算机网络实施的各种犯罪行为。

密码技术作为网络安全的基础性核心技术，保障信息资产和网络信任体系，保障网络空间安全的关键技术。

密码保障系统有效抵御网络攻击，有效保护数据和系统安全，体现了密码使用的合规性、正确性、有效性，涉及典型的密码技术包括密码算法、密钥管理、密码协议。

安全测评通过静态评估、现场测试、综合评估等相关环节和阶段，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理等六个方面，对信息系统进行综合测评。

为全面贯彻总体国家安全观和网络强国战略，深入贯彻落实习近平总书记关于核心技术自主可控重要批示精神和工作安排，落实中共中央办公厅、国务院办公厅推进重要领域密码应用与创新发展的相关要求，在重要信息系统密码应用情况普查工作基础上，对重点行业重要信息系统开展密码应用安全性评估。

通过密码应用安全性评估深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，为提升我国信息系统密码安全奠定基础。

政务信息系统密码应用与安全性评估工作指南（2020版）中国密码学会密评联委会二〇二〇年九月前言为贯彻落实《国家政务信息化项目建设管理办法》（国办发〔2019〕57号）密码应用与安全性评估要求，依据《中华人民共和国密码法》及商用密码管理规定，制定本指南。

本指南可用于指导非涉密的国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作，也可供政务信息系统集成单位和商用密码应用安全性评估机构参考。

各级地方政务信息化项目建设单位和使用单位也可参照本指南开展相关工作。

本指南主要依据《国家政务信息化项目建设管理办法》《商用密码应用安全性评估管理办法（试行）》《政务信息系统政府采购管理暂行办法》（财库〔2017〕210号）和GM/T0054—2018《信息系统密码应用基本要求》编制。

政务信息系统密码应用与安全性评估相关密码国家标准和行业标准正在制定过程中，GM/T0054对应的国家标准即将发布，本指南中任何与当前或后续发布的密码国家标准和行业标准不一致之处，以相关密码国家标准和行业标准为准。

必要时本指南将根据最新的管理要求与相关技术标准进行更新。

本指南分为三章。

第一章为政务信息系统密码应用与安全性评估实施过程指南，依据《国家政务信息化项目建设管理办法》和《商用密码应用安全性评估管理办法（试行）》，给出了政务信息系统规划、建设、运行阶段，项目建设单位和使用单位分别应当开展的密码应用与安全性评估相关工作。

第二章为政务信息系统密码应用措施指南，主要依据GM/T0054，介绍了密码在政务信息系统中发挥的主要功能，并给出了密码应用措施方面的建议，可供项目建设单位结合自身实际进行选择和调整。

第三章为政务信息系统密码应用与安全性评估质量保障指南，给出了项目建设单位和使用单位、系统集成单位、密评机构在相关活动中的质量管理建议。

本指南附录1提供了密码应用方案模板，可供项目建设单位在设计编制密码应用方案时参考。

附录2提供了已发布的密码国家标准和密码行业标准目录。

信息系统密码应用测评要求随着信息技术的快速发展，信息系统已成为各个领域中不可或缺的一部分。

而密码作为信息系统的安全基础，其应用测评要求显得尤为重要。

本文将围绕信息系统密码应用测评要求展开讨论。

一、密码应用的基本原则1、完整性原则：密码应能确保信息系统的数据在存储、传输和处理过程中不被非授权访问或篡改。

2、可用性原则：密码应能够在各种场景下正常使用，避免由于密码问题导致的信息系统不可用。

3、安全性原则：密码应具备足够的安全性，防止被破解或泄露。

4、便捷性原则：密码应便于用户记忆和使用，降低使用成本，提高使用效率。

二、密码应用测评的要点1、密码策略评估：评估密码策略的复杂度、长度、组合方式等是否符合安全要求，同时考虑用户记忆和使用成本。

2、密码管理评估：评估密码管理流程是否严谨，包括密码生成、存储、更新、废止等环节。

3、密码传输评估：评估密码在传输过程中的安全性，如加密算法、传输协议等是否符合要求。

4、密码存储评估：评估密码在存储过程中的安全性，如加密算法、存储设备等是否符合要求。

5、密码使用评估：评估密码在实际使用过程中的安全性，如用户行为、使用环境等是否符合要求。

三、密码应用测评的方法1、静态测试：通过对密码策略、管理流程等进行静态分析，发现其中可能存在的安全问题。

2、动态测试：通过模拟黑客攻击、漏洞扫描等手段，测试密码在实际使用过程中的安全性。

3、渗透测试：请专业的安全团队进行渗透测试，深入挖掘可能存在的安全问题，提出改进建议。

4、用户行为分析：通过对用户的行为进行分析，发现其中可能存在的安全问题，如弱密码、重复使用密码等。

5、定期测评：定期对密码进行测评，确保其始终符合安全要求。

四、结论信息系统密码应用测评要求是保障信息系统安全的重要环节。

通过对密码策略、管理流程、传输过程、存储过程和使用过程进行全面评估，可以发现其中可能存在的安全问题，及时进行改进，确保信息系统的安全性和可用性。

在测评过程中，需要结合静态测试、动态测试、渗透测试、用户行为分析和定期测评等多种方法，确保测评的全面性和有效性。