信息安全-中级03-密码安全技术要求与测评初探
信息安全技术 信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护测评要求信息安全技术是保障信息系统安全的重要手段之一,而信息系统安全等级保护测评是衡量信息系统安全等级的重要评价方法之一。
本文将从信息安全技术和信息系统安全等级保护测评的概念、方法和要求等方面进行阐述。
一、信息安全技术信息安全技术是指对信息系统进行保护和防护的一系列技术手段。
信息系统防护的目标是保证信息的机密性、完整性、可用性和认证性。
常见的信息安全技术包括加密技术、身份认证技术、访问控制技术、安全传输技术等。
1. 加密技术加密技术是一种通过改变信息的表达方式,实现信息内容不易被理解和使用的技术手段。
常见的加密技术包括对称加密算法、非对称加密算法和哈希算法等。
这些算法可以在数据传输、数据存储和身份认证等方面应用,以提高信息系统的安全性。
2. 身份认证技术身份认证技术是一种通过验证用户的身份信息,确认其是否具有访问权限的技术手段。
常见的身份认证技术包括口令认证、生物特征认证和智能卡认证等。
这些技术可以有效防止非法用户对信息系统进行恶意访问和操作。
3. 访问控制技术访问控制技术是一种对用户访问信息系统进行限制和控制的技术手段。
常见的访问控制技术包括访问控制列表(ACL)、角色权限控制和流程控制等。
这些技术可以确保只有具备相应权限的用户才能访问和使用信息系统。
4. 安全传输技术安全传输技术是一种保证数据在传输过程中不被篡改、泄漏和窃听的技术手段。
常见的安全传输技术包括安全套接层(SSL)、虚拟专用网络(VPN)和防火墙等。
这些技术可以保护数据在网络传输过程中的安全性,防止数据被攻击者获取或篡改。
二、信息系统安全等级保护测评要求信息系统安全等级保护测评是根据国家和行业的相关规范要求,对信息系统的安全性进行评估和认证的过程。
保护测评的目的是为了评估系统的安全性等级,为其提供安全设计和改进的依据。
1. 测评方法保护测评的方法可以根据具体情况选择,如定性评估、定量评估、风险评估等。
计算机信息系统安全问题初探
全 防范 措 施 。根据 安全 管 理 原则 ,应 做好 以下几 个方 面 的工 作 以确保 计 算
机 信息 系统 的安全 性 。 ( )制定 完善 的 管理制 度 。应 依据 特 定的标 准 ,确 定整 个系 统环 境 一 中的各 个 控制 区域 :实行 分 区控 制 。进 出 口 由专 人 负责 管理 ,对 进 入机 房 人 员进 行识 别 , 防止非 授 权人 员 非法 使用 计 算机 系统 。要 定 期巡 查机 房 , 监 视 异 常情 况 ,发 现 不 正常 状 态 ,及 时 报 告给 管 理 员 , 以便 采 取 相 应 行
公 安机关 。 ( )计 算机 病毒 的 防范 措施 。病 毒 防范涉 及 两个方 面 :技 术措 施 的 二
方面 ,我们 要着 眼于 网络 ,使用 各种 手段 来维 护信 息 的安全 。
=、计 算机 信息 安全 面瞄 的威胁 1 .计算 机 犯罪 。计算 机 犯 罪指 采 取窃 取 口令 等 非法 手段 入 侵他 人 的
计算 机信 息 系统 ,恶 意破 坏 计算 机系 统 的正 常运 行 ,实 施犯 罪 的一 系列 活 动 。当今 社会 计算 机 网络 的普 及度 达 到 了一个 超 乎想 象 的程度 ,大量 信 息 在 网上传 播 ,为少 数 的不 法分 子提 供 了袭 击 的 目标 。不 法分 子利 用各 种 手
动 。不 定 期的 巡检 ,特 别 注 意防火 、防水 、 防雷 、 防盗 的管 理 。在规 划 设
、
计算机 信息 系统 安全 现状
计算 机信 息系 统安 全是 指计 算机 信 息系 统 资源 不 易受 自然 和人 为有 害 因 素的威 胁 和危 害 。计算 机 信 息系 统 由于技 术 本身 的安 全弱 点 等 因素 ,使
信息安全软考中级知识点
信息安全软考中级知识点一、知识概述《对称加密与非对称加密》①基本定义:- 对称加密呢,就是加密和解密用同一个密钥的加密方式。
就好像你家门锁,一把钥匙既能锁上,又能打开,这把钥匙就类似于对称加密里的密钥。
- 非对称加密则是有一对密钥,一个叫公钥一个叫私钥,公钥用来加密,私钥用来解密,反之也可以。
就好像邮政信箱,公钥是投递信件(加密)的入口,私钥就是从箱子里取信件(解密)的专属钥匙。
②重要程度:- 在信息安全里这可是超重要的。
在网络传输数据等很多场景下,要保护数据的安全就离不开加密,对称和非对称加密就是其中很常用的技术手段,像网上银行交易啥的都得用到。
③前置知识:- 需要了解一些基本的二进制知识,毕竟加密经常会涉及到对数据的位操作。
还得有点数学基础,像简单的模运算等,这些知识在加密算法中常常会用到。
④应用价值:- 在日常中,我们用的很多软件发消息加密啊,像WhatsApp等。
企业的商业机密文件加密存储传输也会用到,比如说一家公司要把重要的设计方案传给合作方,就需要加密,这时候就是安全的保障。
二、知识体系①知识图谱:- 这两种加密概念在信息安全学科里属于密码学的基础部分。
密码学是整个信息安全的重要支柱,类似大厦的基石。
②关联知识:- 与数字证书有关联。
数字证书里面既包含公钥信息也有相关的身份验证信息。
再比如与安全协议SSL/TLS紧密联系,SSL/TLS协议在实现安全的网络连接时就用到了加密技术。
③重难点分析:- 掌握难度方面,对于对称加密,了解常见的对称加密算法如AES 等比较难。
非对称加密中,公钥和私钥的关系理解有点绕,而且怎么安全生成、存储和使用密钥是关键点。
④考点分析:- 在软考中级里,很可能出现在选择题或者简答题中。
选择题会考查算法的特点,简答题可能会问到两种加密方式的区别以及如何在一个场景里选择使用哪种加密方式等。
三、详细讲解【理论概念类】①概念辨析:- 对称加密的核心就是那个单一密钥,脱离开这个密钥,加密和解密无法进行。
信息安全技术网络安全等级保护测评要求
信息安全技术网络安全等级保护测评要求第1 部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012 年成为国家标准,标准号为GB/T 28448-2012 ,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013 年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012 进行修订。
矚慫润厲钐瘗睞枥庑赖。
矚慫润厲钐瘗睞枥庑赖賃。
根据全国信息安全标准化技术委员会2013 年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006 。
聞創沟燴鐺險爱氇谴净。
聞創沟燴鐺險爱氇谴净祸。
1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字 [2007]43 号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现。
残骛楼諍锩瀨濟溆塹籟。
残骛楼諍锩瀨濟溆塹籟婭。
《信息安全技术信息系统安全等级保护基本要求》( GB/T22239-2008 ()简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
酽锕极額閉镇桧猪訣锥。
酽锕极額閉镇桧猪訣锥顧。
伴随着 IT 技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
信息安全技术 信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护测评要求信息安全技术是当今社会不可或缺的重要组成部分,随着信息技术的不断发展和普及,信息系统安全等级保护测评要求也变得愈发重要。
在本文中,我将从深度和广度两个方面对信息安全技术和信息系统安全等级保护测评要求进行全面评估,并据此撰写一篇有价值的文章,希望能为您带来深刻的理解和灵活的思考。
一、信息安全技术1.1 信息安全技术的基本概念信息安全技术是指为了保护信息系统中的信息和数据不受未经授权的访问、使用、披露、破坏、修改、干扰等威胁而采取的一系列技术手段和管理措施。
在当今数字化时代,信息安全技术已经成为企业和个人不可或缺的保障,涉及到网络安全、数据安全、身份认证、加密技术等多个方面。
1.2 信息安全技术的发展历程从最早的密码学和防火墙技术到如今的人工智能和区块链技术,信息安全技术经历了长足的发展和进步。
在不断演进的过程中,信息安全技术不断融合和创新,以适应日益增长的信息安全威胁和挑战,保障信息系统的安全运行。
1.3 信息安全技术的应用领域信息安全技术的应用领域涵盖了各行各业,包括金融、医疗、教育、政府等多个领域。
在互联网、大数据、物联网等新兴技术的推动下,信息安全技术已经成为数字化社会发展的基石,其重要性不言而喻。
二、信息系统安全等级保护测评要求2.1 信息系统安全等级保护的概念和重要性信息系统安全等级保护是指根据信息系统的重要性和安全性需求,对信息系统进行分类和分级,然后制定相应的安全保护措施和措施要求。
信息系统安全等级保护的实施可以有效保护信息系统中的重要信息和数据,提升信息系统的整体安全性,是信息安全管理的基础。
2.2 信息系统安全等级保护测评要求的内容和原则信息系统安全等级保护测评要求包括系统安全等级的确定、安全保护措施的制定、安全评估和认证等多个方面。
在具体实施中,需要遵循科学、客观、公正、公开的原则,确保评估结果的可靠性和权威性。
2.3 信息系统安全等级保护测评要求的实施和挑战在实际实施中,信息系统安全等级保护测评要求面临着一些挑战和问题,包括技术实现的复杂性、安全标准的多样性、评估标准的更新和变化等。
计算机网络信息安全初探
性、 安全性成为 突出的问题 。而为 了保 护计 算机 网络信 息安全 , 了运用法律和 管理手段 外, 需依 靠技 术的方法 除 还
来实现。网络安全 的基本技术 目前主要有 : 防火墙技 术、 问控制技 术 、 访 网络反病毒技 术、 网络安全漏洞扫描技 术、
入侵 检测技 术、 信息加密技 术 、 息确认技术等 。本文通过 计算机 网络信 息安全 面临的危 险及 网络 系统安 全存在 信 的漏洞 , 出加 强网络安全管理的各种技术方法 , 引 闸述 了加 强计算机 网络信 息安全的重要性。 关键词 病毒 , 黑客 , 危害, 安全策略
随着 Itre 的发展 , nent 网络丰富的信息资源给 加密或身份认证技术 , 用户帐户和密码信息 以明文 用户带来了极大的方便 , 同时也使得 网络很容易 格式传输过程中, 但 更容易被截取; 查看主机是否有习 受到攻击 , 计算机信息和资源也很容易受到黑客的 惯性的帐号 , 有经验的用户都知道 , 很多系统会使用 些 习惯性 的帐 号 , 成 帐 号 的泄 露 ;利用 目标 主 造 攻击 , 至是后果 十分严 重 的攻击 , 如数据 被人 窃 甚 诸 取, 服务器 不能 提供服 务等 等 。因此 , 网络 和信息 安 机的 Fn e 功能 : i r g 当用 Fn e 命令查询时 , i r g 主机系 全技 术也 越来越 受 到人 们 的重 视 , 由此 推 动 了防火 统会将保存 的用户资料 ( 如用户名、 登录时间等) 显 墙、 入侵检测、 虚拟专用 网、 问控制、 访 面向对象系统 示在 终端 或计 算 机 上 ; 目标 主 机 的 X 0 用 50服 务 : 的安全等各种 网络、 信息安全技术的蓬勃发展。防 有些 主机 没有 关 闭 X 0 50的 目录查 询 服务 , 给攻 也 火 墙技 术作 为网络 安 全 的重 要 组 成 部分 , 也格 外 受 击者提供了获得信息 的一条简易途径; 电子邮件 从 到关注 。 地址中收集 : 有些用户电子 邮件地址常会透露其在 目标主机上的帐号; 利用操作系统存在 的许 多安全 1 威胁计算机网络信 息安全 的潜在 问题 漏洞、 u 或一些其他设计缺陷进行用户帐号和密 Bg 网络管理中的漏洞带来的后果令人头痛 。许多 码 的获取 。 12 黑客 攻击 . 企、 事业单位和现有计算机 网络大多数在建设之初 黑客是英文 “ ak r 的译音 。黑 客 的攻击 已 H ce” 都忽略了安全问题 , 未考虑安全防范措施 , 网络交付 总数成 千上万 , 而且 很多种 使用后 , 网络系统 管理员 的水平又不能 及时跟上。 超 过计算 机病 毒 的种类 , 即使考虑了安全 , 也只是把安全机制建立在物理安 都 是致命 的 , 国际互 联 网上 学 习和 获 取黑 客 攻 击 从 全机制 上 , 随着 网络 的互 联 程度 的扩大 , 这种 安全机 的方式 是轻 而易 举 的 。如 在 网上 用 户可 以利 用 I E b站点 的访 问 , 阅读 如 制对于网络环境来讲形同虚设 。网络“ 入侵者” 通常 等浏览 器进行 各 种各样 的 W e 就利 用 网络管理 中 的漏 洞 , 频频发起 攻 击 , 坏 网络 新 闻组 、 询 产 品价 格 、 阅报 纸 、 破 咨 订 电子 商务 等 。然 安全。轻则网页被涂改、 系统被 占用 , 重则使重要信 而一 般 的用户恐 怕 不会 想 到 有 这些 问题存 在 : 在 正 访问的网页已经被黑客篡改过 , 网页上 的信息是虚 息 被窥视 或 修 改 , 至 系统 崩 溃 , 成 重 大 经 济 损 甚 造 L改写 失 ,00年 Y HO 20 A O等 国际重要商业 网站遭黑客 假 的 !例如黑 客将 用 户要 浏 览 的 网页 的 UR 为指 向黑客 自己的 服务 器 , 当用 户浏 览 目标 网页 的 袭 击 就是最 典型 的一例 。 时候 , 际上是 向黑客 服务 器发 出请求 , 么黑 客就 实 那 1 1 口令入 侵 . 所谓 口令人侵是指使用某些合法用户的帐号和 可 以达 到欺 骗 的 目的了 。利用黑客 软件攻 击也是 互 ak ic 00 fe 口令 登 录到 目的 主机 , 后 再 实施 攻 击 活 动。 这 种 联 网上 比较 多 的 一种 攻 击 方法 。B cOri 20 、 然 它们 可 以非法 方 法 的前 提是 必须先 得 到该 主机上 的某个 合法 用户 冰河等都 是 比较著 名 的特 洛伊 木 马 , 地取得 用户 电脑 的 超级 用 户级 权 利 , 以 对其 进 行 可 的帐号 , 然后 再 进行 合 法 用户 口令 的 破译 。许 多用 除了可以进行文件操作外 , 同时也可以 户在设 置 自己 的 口令 时 , 随意 性很 大 , 密码 的选择 完全的控制 , 对 取得 密码等操作 。这些黑客软 较 简便 , 得 口令被破 译 的概率 大大增 加 。 目前 , 使 获 进行对方桌面抓图、 当黑 客进 行攻击 时 , 会使 取用 户帐 号 的方法很 多 , : 如 通过 网络 监 听非 法得 到 件 分为服 务器 端 和用户端 , 用户 口令 , 听者 往往 采 用 中途 截 击 的 方法 获 取 用 用 用户端 程 序 登 录上 已安 装 好 服 务 器 端 程 序 的 电 监 这些 服务器 端程 序都 比较小 , 一般 会随附带 于某 户 帐户 和密码 . 别 是 当前 很 多协 议 没 有 采用 任 何 脑 . 特
信息安全等级保护测评要求
信息安全等级保护测评要求信息安全是当今社会中至关重要的一个领域,随着信息技术的不断发展,信息安全问题也日益突出。
为了保护信息系统的安全,各国纷纷制定了信息安全等级保护测评要求,以确保信息系统的安全性和可靠性。
本文将就信息安全等级保护测评要求进行详细介绍。
信息安全等级保护测评要求是指为了满足国家信息安全管理的需要,对信息系统的安全等级进行测评和认证的一系列要求。
这些要求通常由国家相关部门或权威机构制定,并具有法律效力。
信息安全等级保护测评要求的制定旨在保护国家的重要信息基础设施和关键信息系统,防范和抵御各种网络攻击和威胁,确保信息系统的安全和稳定运行。
信息安全等级保护测评要求通常包括以下几个方面:1. 安全等级划分:根据信息系统的重要性和敏感程度,将其划分为不同的安全等级,通常包括一级、二级、三级等。
不同安全等级的信息系统对安全性和可靠性的要求也不同。
2. 安全测评标准:针对不同安全等级的信息系统,制定相应的安全测评标准和技术要求,包括系统结构、安全防护措施、安全管理制度等方面的要求。
3. 测评程序和方法:规定信息系统的安全测评程序和方法,包括测评的流程、方法、技术手段和工具等,以确保测评结果的客观和准确。
4. 测评要求和指标:明确信息系统安全测评的要求和指标,包括安全性能指标、安全防护能力指标、安全管理水平指标等,以便对信息系统的安全性能进行评估。
5. 测评报告和认证:规定信息系统安全测评报告的内容和格式,以及认证的程序和要求,确保测评结果的可信度和权威性。
信息安全等级保护测评要求的制定和执行对于保障国家信息安全具有重要意义。
首先,它有助于提高信息系统的安全性和可靠性,有效防范和抵御各种网络攻击和威胁,保护国家的重要信息基础设施和关键信息系统。
其次,它有助于提升信息系统的管理水平和技术水平,推动信息安全技术的创新和发展,推动信息化建设的健康发展。
最后,它有助于提升国家的信息安全管理水平和国际声誉,增强国家在国际社会中的话语权和影响力。
密码测评要求与测评方法
密码测评要求与测评方法
总体要求评测方法(总体要求是贯穿整个《信息系统密码应用基本要求》)
密码算法核查:测评人员了解信息系统使用的算法的相关 信息,针对算法,核查是否符合国家或行业标准或其他证 明文件
密码技术核查:核查密码协议、密钥管理等技术 是否符合标准规定
密码产品核查:核查实现密码技术的设备是否获得国家密 码管理部门颁发的商密产品型号证书、或检测机构出具的 合格检测报告
05
1.对象不同:密评 目标是已经或将要 部署的信息系统,
后者是产品样品
2.依据不同:密码 产品检测依据算法 和产品的标准及规 范;密评除了依据 标准,还要依据被 侧信息系统安全设 计目标和密码应用
方案
3. 目的不同:前者 评估密码技术是否 安全实现、功能和 接口是否符合标准, 目的是为密码产品 提供统一的评价准 绳。后者目的是分 析密码保障系统能 否应对安全风险。
进行错误尝试,不使用或错误使用,是 否正常工作
安装监控软件,抓取APDU指令进行分 析
验证智能密码钥匙口令长度不小于6个 字符,错误口令登录验证次数不大于 10次
导出智能IC卡或智能密码钥匙的证书, 检测其合规性
典型密码产品应用的测评方法 密码机应用测评
9,300 Million
单击此处添加标题
单击此处输入你的正文,文字是您思想 的提炼,为了最终演示发布的良好效果, 请尽量言简意赅的阐述观点;根据需要 可酌情增减文字,以便观者可以准确理 解您所传达的信息。
对真实性 实现评测
F
对不可否 认性实现
评测
密码功能测评方法
对传输保密性实现评测
AB
协议分析工具, 分析传输的重 要信息或鉴别 信息是否是密 文,数据格式 是否符合预期
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等
沟通和确认,必要时安排一次现场调查
项目计划书/系统调查 表格/被测信息系统相
关资料
信息收集和 分析
填好的调查表格/各种 与被测信息系统相关
的技术资料
24
24
此处添加幻灯片标题
二、测评过程与实践:测评准备阶段
3、工具和表单准备环节
工作流程
测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评
方案编制
测评对象确定
测评指标确定
测评内容确定
工具测试方法确定
测评指导书开发
测评方案编制
27
27
此处添加幻灯片标题
二、测评过程与实践:方案编制阶段
1、测评对象确定环节
识别并描述被测信息系统的整体结构:物理环境、网络拓扑和外部边界连接、业务系统既相
22
22
此处添加幻灯片标题
二、测评过程与实践:测评准备阶段
1、工作启动环节
组建测评项目组,编制项目计划书(包含项目概述、工作依据、技术思路、工作内容和项目 组织等)
测评委托单位提供基本资料,为全面初步了解被测信息系统准备资料
委托测评协议书
工作启动
项目计划书
23
23
此处添加幻灯片标题
二、测评过程与实践:测评准备阶段
填好的系统调查表格/ 测评方案的测评对象
部分/测评方案的测评 指标部分
测评内容 确定
测评方案的测评实施 部分
30
30
此处添加幻灯片标题
二、测评过程与实践:方案编制阶段
4、工具测试方法确定环节
测评方案的测评实施部分/ 《信息系统密码应用基本要
求》/《信息系统密码测评要 求》/选用的测评工具清单
测评内容 确定
应用环境
• 搭建J2EE、.Net等框架的语言运行环境、 WebSphere和IIS等中间件
漏洞利用套件
• Metasploit、BackTrack5、kalilinux等
26
26
此处添加幻灯片标题
二、测评过程与实践:方案编制阶段
工作目标
整理测评准备阶段中获取的信息系统相关资料
为现场测评活动提供最基本的文档和指导方案
13
13
此处添加幻灯片标题
一、测评标准
14
14
此处添加幻灯片标题
一、测评标准
15
15
此处添加幻灯片标题
一、测评标准
16
16
此处添加幻灯片标题
一、测评标准
17
17
此处添加幻灯片标题
一、测评标准
18
18
此处添加幻灯片标题
一、测评标准
19
19
此处添加幻灯片标题
提纲
一. 测评标准 二. 测评过程与实践
测评方案的工具测试 方法及内容部分
确定工具测试环境,对于7×24小时运行的重要被测系统进行工具测试时,可选择与生产环境
各项安全配置相同的备份环境、生产验证环境或测试环境作为工具测试环境
确定需要进行测试的测评对象
选择测试路径:从外到内,从其他网络到本地网络逐步逐点接入
确定测试工具的接入点:边界接入时,测试工具一般接在系统边界设备(通常为交换设备)
商用密码安全技术要求与测评初探
信息产业信息安全测评中心 刘健
此处添加幻灯片标题
概述
• 【什么是密评】《商用密码应用安全性评估(简称“密评”)是指 对采用商用密码技术、产品和服务集成建设的网络和信息系统密码 应用的合规性、正确性、有效性进行评估。按照商用密码应用安全 性评估管理的要求,在系统规划阶段,可组织专家或委托测评机构 进行评估;在系统建设完成后以及运行阶段,由测评机构进行评估。
填好的调查表格/各种 与被测信息系统相关
的技术资料
测评对象 确定
测评方案的测评对象 部分
28
28
此处添加幻灯片标题
二、测评过程与实践:方案编制阶段
2、测评指标确定环节
系统定级结果
填好的调查表格/《信息 系统密码应用基本要求》
/《信息系统密码测评要 求》/业务需求文档
测评指标 确定
测评方案的测评指标 部分
2、信息收集和分析环节
收集资料:测评委托单位的管理架构、技术体系、运行情况、被测评系统商用密码总体描述
文件、各种密码安全规章制度及相关过程管理记录、配置管理文档等
填写系统调查表格
分析调查结果:被测系统的基本信息、行业特征、密码管理策略、网络及设备部署、软硬件
重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务
从《信息系统密码应用基本要求》和《信息系统密码测评要求》中选择相应等级的基本安全
要求作为基本测评指标
确定不适用测评指标:整体不适用项
对确定的基本测评指标进行描述,并分析给出指标不适用的原因
对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标;如
果多个不同等级的信息系统共用相同的物理环境和商用密码管理体系,则物理安全指标和管
调试测评工具:漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等 在测评环境模拟被测信息系统架构,准备开发测评指导书,并进行必要的工具验证 准备和打印表单,主要包括:风险确认书、文档交接单、会议记录表单、会议签到表单等
填好的调查表格/各种 与被测信息系统相关
的技术资料
工具和表单 准备
选用的测评工具清单/ 打印的各类表单
间的连接情况等
罗列标准
估算现场测评工作量:根据测评对象的数量和工具测试的接入点及测试内容等情况进行估算
编制工作安排
编制具体测评计划:现场工作人员的分工和时间安排
汇总形成测评方案文稿 评审和提交测评方案:签字认可
委托测评协议书/填好的调研表格/各种 与被测信息系统相关的技术资料/选用的 测评工具清单/基本要求/测评方案的测
25
25
此处添加幻灯片标题
《商用密码应用安全性测评机构能力要求》 宜具备搭建密码应用模拟系统的能力,以展现密码应用安全性技术测评实施能力、管理测评实施能力 和详细测评工作流程;
虚拟化测评模拟平台
操作系统环境
• 主流的Linux、Unix、Windows和Macintosh
数据库环境
• Oracle、SQLServer、MySQL等数据库系统
测评则一般以文字描述的方式表述,以测评用例的方式进行组织 根据测评指导书,形成测评结果记录表格
测评方案的单项测评 实施部分、工具测试
内容及方法部分
测评指导书 开发
测评指导书/测评结果 记录表格
33
33
此处添加幻灯片标题
二、测评过程与实践:方案编制阶段
6、测评方案编制环节
提取信息:项目来源、测评委托单位整体信息化建设情况及被测信息系统与单位其他系统之
关硬件设备,相关商用密码技术应用情况 识别并描述被测信息系统的边界及边界设备: 识别并描述被测信息系统的网络区域:根据业务类型及其重要程度 识别并描述被测信息系统的主要设备:主要承载的业务、软件安装情况以象:重要性、安全性、共享性、全面性和恰当性
描述测评对象
评对象、测评指标、单项测评实施部
分、工具测试方法及内容部分等
根据测评方案制定风险规避实施方案
测评方案 编制
经过评审和确认的测 评方案文本
34
34
此处添加幻灯片标题
二、测评过程与实践:方案编制阶段
35
35
此处添加幻灯片标题
二、测评过程与实践:现场测评阶段
工作目标
将测评方案和测评方法等内容具体落实到现场测评活动中 取得报告编制活动所需的、足够的证据和资料
上;系统内部与测评对象不同网络区域接入时,测试工具一般接在与被测对象不在同一网络
区域的内部核心交换设备上;系统内部与测评对象同一网络区域内接入时,测试工具一般接
在与被测对象在同一网络区域的交换设备上
描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容
31
31
此处添加幻灯片标题
二、测评过程与实践:方案编制阶段
4、工具测试方法确定环节
市政专网 A1
歌华专线 A1
TG-5130
TG-5166
互联网 A1
TOS_VPN
DMZ区
A2
C4507-2
C4507-1
内部办公区
辅助业务区
核心应用区
……
……
……
TG-5130
C2960
……
C2960
TG-5130
防毒墙
A3
TA-W-WATCH-G
……
C4948 TS-2103-IDS
3
3
此处添加幻灯片标题
提纲
一. 测评标准 二. 测评过程与实践
4
4
此处添加幻灯片标题
评估标准
依据标准
• 《信息系统密码应用基本要求》(GM/T 0054-2018) • 《信息系统密码测评要求》(试行) • 《信息系统密码测评过程指南》 • 《商用密码应用安全性测评机构能力要求》
参照标准
• 13个GB标准,53个GM • 《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》 • 《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》
新版《网络安全等级保护条例》(征求意见稿)明确要求在规划、建设、运行
阶段开展密码应用安全性评估。
2
2
此处添加幻灯片标题
概述
• 【密评关注哪些方面】为规范商用密码应用安全性评估工作,国家密码管理局 制定了《商用密码应用安全性评估管理办法》、《商用密码应用安全性测评机 构管理办法》等有关规定,对测评机构、网络运营者、管理部分三类对象提出 了要求,对评估程序、评估方法、监督管理等进行了明确。同时,组织编制了 《信息系统密码应用基本要求》《信息系统密码测评要求》等标准,及《商用 密码应用安全性评估测评过程指南(试行)》《商用密码应用安全性评估测评 作业指导书(试行)》等指导性文件,指导测评机构规范有序开展评估工作。 其中,《信息系统密码应用基本要求》从物理和环境安全、网络和通信安全、 设备和计算安全、应用和数据安全、密钥管理以及安全管理六个方面提出密码 应用安全性评估指标。