简述《信息系统密码应用测评要求》中核查的典型密码技术
公司商用密码应用管理办法
公司商用密码应用管理办法第一章总则第一条为保障公司信息系统商用密码应用的规划、建设、运行及测评工作,根据《中华人民共和国密码法》、《信息安全技术信息系统密码应用基本要求》、《公司信息技术管理制度》等相关法律法规及国家标准和公司相关制度的规定,结合公司信息系统建设的实际情况,制定本办法。
第二条本办法所指的信息系统,是指由计算机及其相关的配套设备、设施(含网络)构成的,按照一定应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条本办法所指的商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。
第四条本办法适用于公司所有信息系统商用密码应用建设及运行管理。
第二章商用密码应用管理职责体系第五条公司信息安全工作领导小组负责管理和指导公司整体信息系统商用密码应用工作。
第六条公司成立商用密码工作小组,公司首席信息官任组长,信息技术部负责人、金融科技部负责人任副组长。
商用密码工作小组负责审议公司信息系统商用密码应用项目总体实施方案、协调商用密码应用项目工作的实施。
第七条信息技术部下设密钥管理岗、密钥操作岗、安全审计岗、密钥保管员。
(一)密钥管理岗具备超级管理员权限,负责加密设备或系统的初始化、系统关键参数设置,同时管理加密设备或系统用户权限,包括创建和管理操作员、创建操作员角色和分配角色权限。
(二)密钥操作岗负责加密设备或系统的安全管理、操作、运行维护,同时负责密钥资料的备份、恢复、销毁等工作。
(三)安全审计岗在密钥相关系统中赋予只读权限,负责对系统安全事件和各类操作员行为进行审计和监督。
(四)密钥保管员负责保管纸类明文、USBkey存储介质的管理密钥,人员由信息技术部负责人指定。
第八条各岗位操作权限应严格按岗位职责和权限最小化原则设置,不授予用户超出需要的权限。
密钥管理岗应定期检查密钥操作岗的权限。
第九条密钥管理岗、密钥操作岗、安全审计岗、密钥保管员上岗前应签订保密协议。
等保培训复习资料
等保培训复习资料一、单项选择题1、首次以国家行政法规形式确立了信息安全等级保护制度的法律地位的政策文件是()A、《计算机信息安全保护等级划分准则》B、《信息系统安全等级保护基本要求》C、《中华人民共和国计算机信息系统安全保护条例》D、《信息安全等级保护管理办法》正确答案:C2、从安全保护能力角度,根据安全功能的实现情况,将计算机信息系统安全保护能力划分为五个级别,即:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和()。
A、密码验证保护级 B、访问验证保护级 C、系统验证保护级 D、安全验证保护级正确答案:B3、信息安全等级保护工作的首要环节和关键环节是()A、评审B、安全测评C、定级D、整改正确答案:C4、《基本要求》中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及其()五个方面A、数据恢复B、系统恢复C、信息恢复D、备份恢复正确答案:D5、安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的核心标准是( )A、《计算机信息安全保护等级划分准则》B、《信息系统安全等级保护基本要求》C、《中华人民共和国计算机信息系统安全保护条例》D、《信息安全等级保护管理办法》正确答案:B6、系统定级完成后,首要的工作是确定系统的(),也就是系统的保护需求。
A、安全需求B、安全方案设计C、安全性评估D、运行环境正确答案:A7、公安部()负责测评机构的能力评估和培训工作。
A、网络安全保卫局B、信息安全等级保护培训中心C、信息网络安全测评中心D、信息安全等级保护评估中心正确答案:D8、应用安全是指对信息系统涉及到的()进行安全保护。
A、主机系统B、网络系统C、应用系统D、操作系统正确答案:C9、安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的核心标准是()。
A、《信息系统安全等级保护基本要求》B、《信息系统安全保护等级定级指南》 C、《信息安全等级保护管理办法》 D、《信息安全等级保护安全建设整改工作指南》正确答案:A10、信息安全等级保护的第()级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
XX市不动产登记信息管理平台系统密码应用采购需求
XX市不动产登记信息管理平台系统密码应用采购需求一、项目概述密码技术是网络安全的基础和核心,是解决网络与信息安全问题最有效、最可靠、最经济的手段,商用密码技术作为国家自主可控的核心技术,在维护国家安全、促进经济发展、保护人民群众利益、保障政务信息化建设中发挥着不可替代的重要作用。
法律的颁布实施为开展商用密码应用提供了遵循依据。
《中华人民共和国网络安全法》第三章第三十一条中明确提出:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域等关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护二《中华人民共和国密码法》第二十七条中明确提出“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估J国办发(2019)57号《国家政务信息化项目建设管理办法》(以下简称《办法》)进一步促进了商用密码的全面应用。
《办法》提出:项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估;对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
国密局函(2020)119号文《国家密码管理局关于请进一步加强国家政务信息系统密码应用与安全性评估工作的函》要求进一步加强非涉密国家政务信息系统密码应用与安全性评估工作。
对于《办法》实施前已验收的项目,今年内要完善密码应用方案并组织开展密码应用安全性评估;《办法》实施前已完成审批正在建设的项目,要进一步加强密码应用方案编制论证,建设完善密码保障系统,并在验收前开展密码应用安全性评估。
通过对本单位XX不动产登记信息管理平台系统(等保三级)需求进行分析,依据GB/T39786-2021《信息系统密码应用基本要求》,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等层面优化设计密评整改方案,从而开展密评改造工作。
《密码法》知识答题
《密码法》知识答题A.2022年10月10日B.2022年10月26日C.2022年12月1日D.2022年1月1日2.习近平主席签署第_____号主席令正式颁布《密码法》。
A.三十四B.三十五C.三十六D.三十七3.《中华人民共和国密码法》自______起施行。
A.2022年10月26日B.2022年12月26日C.2022年1月1日D.2022年2月1日4.国务院标准化行政主管部门和___依据各自职责,组织制定商用密码国家标准、行业标准。
A.密码业务部门B.国家密码管理部门C.密码使用部门D.政府部门5.国家支持社会团体、企业利用自主创新技术制定___国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
A.低于B.多于C.高于D.相当于6.国家推动参与商用密码国际标准化活动,参与制定商用密码___,推进商用密码中国标准与国外标准之间的转化运用。
A.国际标准B.团体标准C.企业标准D.业务标准7.国家鼓励商用密码从业单位采用商用密码___、行业标准,提升商用密码的防护能力,维护用户的合法权益。
A.创新标准B.强制性国家标准C.国际标准D.推荐性国家标准8.国家采取多种形式加强密码安全教育,将密码安全教育纳入_______,增强公民、法人和其他组织的密码安全意识。
A.9年义务教育体系和国民教育体系B.国民教育体系和公务员教育培训体系C.公务员教育体系和成人教育体系D.成人教育体系和9年义务教育体系9.涉及国家安全、国计民生、社会公共利益的商用密码产品,由具备资格的机构___后,方可销售或者提供。
A.检测认证合格B.进行认证C.批准上市D.检测通过10.我国金融信息系统、第二代居民身份证管理系统、国家电力信息系统、社会保障信息系统、全国中小学学籍管理系统中,都应用____技术构建了密码保障体系。
A.核心密码B.普通密码C.商用密码11.密码管理部门因工作需要,按照国家有关规定,可以提请____等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。
信息安全管理(第五章 信息系统安全测评)
信息系统安全等级测评要求
LOGO
测评对象是指测评实施的对象,即测评过程中 涉及到的制度文档、各类设备及其安全配置和 相关人员等。 测评方法包括: ①访谈 ②检查 ③测试
信息系统安全等级测评要求
等级测评内容
LOGO
等级测评的实施过程由单元测评和整体测评两 部分构成。 单元测评满足概念性框架的三部分内容:测评 输入、测评过程和测评输出。 整体测评主要包括安全控制点间、层面间和区 域间安全测评
3现场测评活动的输出文档任务输出文档文档内容现场测评准备会议记录确认的测评授权书更新后的测评计划和测评程序工作计划和内容安排双发人员的协调测评委托单位应提供的配合访谈技术安全和管理安全测评的测评结果记录或录音访谈记录文档审查管理安全测评的测评结果记录管理制度和管理执行过程文档的记录配置检查技术安全测评的网络主机应用测评结果记录检查内容的记录工具测试技术安全测评的网络主机应用测评结果记录工具测试完成后的电子输出记录备份的测试结果文件漏洞扫面渗透性测试性能测试入侵检测和协议分析等内容的技术测试结果实地查看技术安全测评的物理安全和管理安全测评结果记录检查内容的记录测评结果确认现场核查中发现的问题汇总证据和证据源记录测评委托单位的书面认可文件测评活动中发现的问题问题的证据和证据源每项检查活动中测评委托单位配合人员的书面认可logo信息安全等级测评
信息系统安全测评流程
信息系统安全测评包括:
LOGO
资料审查 核查测试 综合评估 测评流程如图5-2所示
被测用户提交测评申请以及相关材 料 测评机构对被测单位提供的资料进 行形式化审查
信息系统安全测评流程
LOGO
与被测单位协商,帮助用户完善 应提交的相关资料
向被测单位出具形式化审查报告
信息安全等级保护商用密码管理办法实施意办法
信息安全等级保护商用密码管理办法实施意办法精品管理制度、管理方案、合同、协议、一起学习进步企业管理,管理制度,报告,协议,合同,标书国家密码管理局文件国密局发[2009]10号关于印发《<信息安全等级保护商用密码管理办法>实施意见》的通知各省、自治区、直辖市密码管理局,新疆生产建设兵团密码管理局,深圳市密码管理局:为配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号) 的实施,进一步规范信息安全等级保护商用密码管理工作,我局研究制定了《<信息安全等级保护商用密码管理办法>实施意见》。
现印发你们,请认真贯彻执行。
执行中的意见和建议,请及时向我局反馈(联系电话:010-********) 。
2009年12月15日主题词:商用密码等级保护实施意见通知抄送:公安部十一局、工业和信息化部信息安全协调司、国家保密局中央和国家机关各部委,国务院各直属机构。
国家密码管理局办公室 2009年lo月29日印发(共印l000份)d2企业管理,管理制度,报告,协议,合同,标书《信息安全等级保护商用密码管理办法》实施意见为了配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号) 的实施,进一步规范信息安全等级保护商用密码管理工作,特提出以下意见。
一、使用商用密码对信息系统进行密码保护,应当严格遵守国家商用密码相关政策和标准规范。
二、在实施信息安全等级保护的信息系统中,商用密码应用系统是指采用商用密码产品或者含有密码技术的产品集成建设的,实现相关信息的机密性、完整性、真实性、抗抵赖性等功能的应用系统。
三、商用密码应用系统的建设应当选择具有商用密码相关资质的单位。
四、使用商用密码开展信息安全等级保护应当制定商用密码应用系统建设方案。
方案应当包括信息系统概述、安全风险与需求分析、商用密码应用方案、商用密码产品清单、商用密码应用系统的安全管理与维护策略、实施计划等内容。
五、第三级以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施。
信创在等保测评中的设计与应用
墙、网闸提供区域边界隔离;部署信创 VPN 保证在远
程连接过程中重要数据的完整性和保密性。
3. 1. 2 安全区域边界设计
安全区域边界通过对进出安全边界的信息流进
行安全核查,既能够防止应用系统中的敏感信息被泄
露,同时也可以保证其不受到外界的恶意攻击和破
创新。
信创产业大体分为基础硬件、基础软件、应用软
件、信息安全共计 4 个方向。 其中,基础硬件包括芯
片、服务器 / PC、存储等;基础软件包括操作系统、数
据库、中间件等;应用软件包括 OA 办公软件、ERP 和
其他软件等;信息安全包括硬件安全、软件安全、安全
服务等各类产品。
信创产业的主要目的是实现信息技术领域的自
3. 1. 4 安全管理中心设计
安全管理中心是信创网络安全管理的中心大脑,
通过安全管理中心实现对全网的安全监测预警、分析
研判、态势感知、应急处置等。 通过信创堡垒机实现
集中的身份鉴别、访问授权和操作审计;部署信创网
络管理系统,网络链路、安全设备、网络设备和服务器
等的运行状况进行集中监测;部署信创日志审计系
第 14 期
2023 年 7 月
无线互联科技
Wireless Internet Technology
No. 14
July,2023
信创在等保测评中的设计与应用
叶 茂,杨仕瑞,马壮壮
( 江苏金盾检测技术股份有限公司,江苏 南京 210042)
摘要:随着《 数字中国建设整体布局规划》 的发布,信创行业又再一次迎来了利好,对刺激数字经济的
发展起到了重要推动作用。 文章主要从“ 国产化替代” 角度展开,阐述了信创在等保测评中的核心要
网络安全等级测评师(中级)考核试题与答案
网络安全等级测评师(中级)考核试题一、判断题1、通过白名单方式绑定无线接入终端设备的MAC地址,则认为对参与无线通信的设备进行了身份鉴别。
[判断题] *对错√2、发电厂的不同机组之间的网络边界可以不采取入侵防范措施。
[判断题] *对√错3、安全事件的可能性,由资产价值和脆弱性决定。
[判断题] *对错√4、针对第三级等级保护对象进行测评时,测评对象在数量上抽样,种类上全部覆盖。
[判断题] *对错√5、测评记录中应明确记录测评方法和证据来源,记录必要的对象特征和细节描述,应提供充分的符合性判定依据。
[判断题] *对√错6、作为云租户的测评委托单位全部职责包括:测评前备份系统和数据,并了解测评工作基本情况;协助测评机构获得现场测评授权;安排测评配合人员,配合测评工作的开展;对风险告知书进行签字确认;配合人员如实回答测评人员的问询,对某些需要验证的内容上机进行操作,协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响,完成业务相关内容的问询、验证和测试,对测评证据和证据源进行确认,确认测试后被测设备状态完好。
[判断题] *对错√7、ISO/IEC 27000标准族中的核心标准包括ISO/IEC 27001《信息安全管理体系-要求》、ISO/IEC 27002《信息安全管理实用规则》。
[判断题] *对√错8、安全区域边界对象主要根据系统中网络访问控制设备的部署情况来确定。
[判断题] *对错√9、安全区域边界如果以串接方式部署了访问控制设备,并启用了合理的访问控制策略,则可认为“跨越边界的访问和数据流通过边界设备提供的受控接口进行通信”。
[判断题] *对错√10、只有在边界访问控制设备访问控制规则最后一条为全拒绝时,才认为该边界“默认情况下除允许通信外受控接口拒绝所有通信”。
[判断题] *对错√11、防病毒网关能够对通过的所有应用协议进行恶意代码检测和防护。
[判断题] *对错√12、交换机在收到未知源地址的帧时直接丢弃。
国密证书信创密评商用密码解决方案
信创
PART 01-02
密评简介
密评定义
密评是什么?
商用密码应用安全性评估(简称“密评”)是指对采用商用密码技术、产品和服务集成 建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
是指密码算法、密码协议、密钥管理、密码产品和服务使用合规,即按照《商用密码管理条例
合规性 》等密码法规和行业相关的密码使用要求,使用符合国家密码法规和标准规定的商用密码算法,
密评 对象关键基 础设施源自目01 产品背景02 产品简介
录
03 应用案例
国密证书产品简介
为满足《密码法》、《等保2.0 》、《密评》和《政务信息化项目管理办法》等法律、法规对信 息系统密码应用的要求,并有效提高信息系统的数据和人员身份的安全性,x智慧安全以自研密 码产品为基础,结合密码管控平台实现满足要求的国密证书商用密码应用产品,满足用户多元 化密码应用功能的要求。
2. 签名服务器 6. 身份认证网关
3. 时间戳
7. 证书认证系统
4. 密码机
8. 密钥管理系统
国密证书商用密码产品应用效果
符合信创系统密码应用 要求
符合信息系统密码应用 (密评)基本要求
满足等保2.0中对密码 应用的要求
满足信息系统对身份认 证和数据防泄漏、数据 防篡改的需求
目
01 产品背景
02 产品简介
特色功能:
对象
•
安全合规:产品按照国家相关要求进行设计建造 ,满足信息系统的密码应用功能要求
基础 对象
• 统一管控,统一服务:套件平台通过集中部署、
统一管控的理念面向用户提供密码应用安全服务 国密
,可通过平台管控中心对密码应用资源进行灵活 证书
关于同意开展商用密码应用测评试点工作的告知书
关于同意开展商用密码应用测评试点工作的告知书告知书一:关于同意开展商用密码应用测评试点工作的告知书致:[申请单位名称]主题:关于同意贵单位开展商用密码应用测评试点工作的正式告知尊敬的[申请单位名称]负责人:您好!根据《中华人民共和国密码法》及国家密码管理局关于商用密码应用安全性评估的相关政策要求,贵单位提交的《商用密码应用测评试点工作申请书》及相关材料已经过我局(或指定评估机构)的严格审查与评估。
经过综合考量贵单位在商用密码技术研发、应用推广及安全管理等方面的综合实力与前期准备情况,我们非常高兴地通知您,贵单位已正式获得批准,同意开展商用密码应用测评试点工作。
一、试点目的与意义本次商用密码应用测评试点工作的主要目的是探索和完善商用密码应用安全性评估机制,验证商用密码产品在重要信息系统和关键信息基础设施中的有效性和安全性,提升我国商用密码产业的整体竞争力和安全保障水平。
贵单位的参与,将对推动商用密码技术的广泛应用和规范化管理起到积极的示范和引领作用。
二、试点范围与内容试点范围:本次试点将覆盖贵单位自主研发或集成的商用密码产品,在特定行业或领域的重要信息系统中的应用情况。
具体范围将依据贵单位提交的申请方案及后续协商确定。
试点内容:包括但不限于商用密码产品的功能符合性测试、性能评估、安全性分析、兼容性验证以及在实际应用环境中的表现评估等。
同时,还将对贵单位在商用密码应用过程中的安全管理措施、应急预案、人员培训等方面进行综合评价。
三、工作要求组建专项团队:贵单位需成立商用密码应用测评试点工作专项小组,明确职责分工,确保试点工作有序进行。
制定详细计划:根据本告知书要求,结合实际情况,制定详细的试点工作计划,明确时间节点、任务分工及预期成果。
加强沟通协调:在试点过程中,贵单位需与我局(或指定评估机构)保持密切沟通,及时反馈工作进展及遇到的问题,确保试点工作顺利进行。
确保数据安全:在试点过程中,应严格遵守国家关于数据安全和隐私保护的相关法律法规,确保测试数据的安全性和保密性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
简述《信息系统密码应用测评要求》中核查的典型密码技术
《信息系统密码应用测评要求》是一份关于信息系统密码技术测评的指导性文件,通过核查信息系统密码技术的安全性、可行性和有效性,以确保所采用的密码技术能够保护系统免受未经授权的访问、恶意攻击和信息泄露的风险。
测评要求中涵盖了各种密码技术的核查项目,下面将对其中的典型密码技术进行简要概述。
1. 密码算法:
核查密码算法的安全性和可行性。
要求密码算法不能被轻易破解,密钥长度不能太短,密钥空间足够大。
常用的密码算法有DES、AES、RSA等。
2. 密钥管理:
核查密钥的生成、存储和分发过程,确保密钥的安全性。
要求密钥管理系统具备权限控制机制,密钥生成过程需要随机性,密钥存储需要加密保护,密钥分发需要保持机密性。
3. 认证和授权:
核查系统的认证和授权机制。
要求认证过程能够验证用户的身份,授权机制能够限制用户的访问权限。
常用的认证技术有口令认证、指纹识别、智能卡等。
4. 密码传输:
核查数据在传输过程中的安全性保障。
要求使用加密协议进行数据传输,确保传输过程中数据的机密性、完整性和可靠性。
常用的加密协议有SSL/TLS、IPsec等。
5. 密码存储:
核查密码在存储中的安全性。
要求密码在存储过程中进行适当的加密保护,避免密码被泄露或者被恶意篡改。
6. 密码强度检验:
核查密码的强度。
要求用户设置的密码必须符合一定的强度要求,包括长度、复杂度和变化周期等。
同时,应对密码强度进行审计和限制,防止用户使用过于简单或者容易被猜测的密码。
7. 密码重置和恢复:
核查密码重置和恢复机制。
要求系统具备密码重置和恢复功能,同时要求这些过程具备足够的安全保障,避免被攻击者利用重置和恢复机制获取密码。
8. 密码审计和监控:
核查密码使用情况的审计和监控机制。
要求系统能够记录用户的密码使用情况,并能够对异常行为进行监控和预警,以及及时采取措施进行应对。
9. 密码变更:
核查密码变更的安全性和合理性。
要求用户在一定周期内进行密码变更,以增加系统的安全性。
同时,要求密码变更不会造成服务中断或者用户体验下降。
10. 密码策略:
核查密码策略的设置和执行情况。
要求系统能够制定合理的密码策略,包括密码长度、密码复杂度、密码重用限制等,并能够强制用户按照策略设置密码。
以上是《信息系统密码应用测评要求》中关于典型密码技术的简要概述。
通过对这些密码技术进行核查,可以确保信息系统的密码安全性,提高系统的抵御风险能力。