商用密码应用安全性测评方案编制流程
密评方案编制的目标是完成测评准备活动中获取的信息系统相关资料整理,为现场测评活动提供最基本的文档和指导方案。
按照《GM-T 0116-2021 信息系统密码应用测评过程指南》标准,密评方案编制包括5项关键任务,简要汇总如下表。
编号 | 任务 | 输入文档 | 输出文档 | 具体内容 |
1 | 确定测评对象 | 完成的调查表格、各种与被测信息系统相关的技术资料 | 密评方案的测评对象部分 | 被测信息系统的整体结构、边界、网络区域、核心资产、面临的威胁、测评对象等 |
2 | 确定测评指标 | 完成的调查表格、GMT0115、通过评估的密码应用方案、相关行业标准或规范 | 密评方案的测评指标部分 | 被测信息系统相应等级对应的适用和不适用的测评指标 |
3 | 确定测评检测点 | 被测信息系统详细网络结构,选用的密码算法、密码技术、密码产品、密码服务等详细信息,通过评估的密码应用方案和GMT0115 | 密评方案的测评检查点部分 | 测评检测点、检查内容及测评方法 |
4 | 确定测评内容 | 完成的调查表格,密评方案的测评对象、测评指标及测评检查点部分,通过评估的密码应用方案和GMT0115 | 密评方案的单元测评实施部分 | 单元测评实施内容 |
5 | 编制密评方案 | 委托测评协议书,项目计划书,完成的调查表格,通过评估的密码应用方案和GMT0115,密评方案中测评对象、测评指标、测评检查点、测评内容等部分 | 经过评审和确认的密评方案文本 | 项目概述、测评对象、测评指标、测评检查点、单元测评实施内容、测评实施计划等 |
一、确定测评对象
分析整个被测信息系统及其涉及的业务应用系统,以及相关的密码应用情况,确定测评的测评对象。
编号 | 任务名称 | 具体内容 |
1.1 | 识别被测信息系统的基本情况 |
整理识别出被测信息系统内 (1)物理环境(机房) (2)网络拓扑结构及外部边界连接 (3)业务应用系统 (4)计算机硬件设备 (5)网络安全设备 (6)密码产品和使用的密码服务 (7)识别出以上所有相关的密码应用流程情况 |
1.2 | 描述被测信息系统 |
(1)描述整体结构 (2)描述外部边界连接情况和边界主要设备 (3)描述网络区域组成、主要业务功能及相关设备节点 (4)描述涉及的所有密码应用流程情况 |
1.3 | 确定测评对象 |
(1)确定需要保护的核心资产(包括业务应用、业务数据或者业务应用的某些设备、组件) (2)确定其他需要保护的配套数据(审计信息、配置信息、访问控制列表等)、敏感安全参数(密钥) (3)相关的威胁模型和安全策略 |
1.4 | 资产和威胁评估 |
(1)确定资产价值(重要性和关键程度),分为高-中-低等级 (2)确定可能的威胁发生频率,分为高-中-低等级 |
1.5 | 描述测评对象 |
按照测评对象分类,采用列表形式对每类测评对象进行描述。测评对象一般包括:机房、业务应用软件、主机和服务器、数据库、具备密码功能的网络安全产品、密码产品、密码服务、系统相关人员及安全管理制度类文档和记录表单类文档等。 |
二、测评指标确定
根据系统定级结果以及通过评估的密码应用方案,确定本次测评的测评指标。
编号 | 任务名称 | 具体内容 |
2.1 | 选择相应等级对应的测评指标 | 根据定级结果、GMT0115选择出所有测评指标 |
2.2 | 确定特殊测评指标 | 根据被测系统相关行业标准或规范,以及被测信息系统密码应用需求,确定特殊测评指标 |
2.3 | 确定测评指标适用性 | 按照被测信息系统的安全策略、相关标准要求,对照已通过评估的密码应用方案逐项确认各项指标的适用性 |
2.4 | 核查所有不适用项 | 对所有不适用项进行逐条核查、评估、详细论证其安全需求、不适用的具体原因、以及是否采用了可满足安全要求的其他替代风险控制措施(特别是无密码应用方案的情况下) |
三、测评检查点确定
需要对一些关键点进行现场检查确认(如抓包测试、查看关键设备配置等方法),以防止密码产品、密码服务虽然被正确配置、但是未接入被测信息系统之类的情况发生,从而确认密码算法、密码技术、密码产品和密码服务的合规、正确和有效性。在测评方案中确定检查点,并且充分考虑到检查的可行性和风险,能最大限度的避免对被测信息系统的影响,尤其应避免对在线运行业务系统造成影响。
编号 | 任务名称 | 具体内容 |
3.1 | 列出需要接受现场检查的关键设备和检查内容 |
关键设备一般为承载核心资产流转、进行密钥管理的设备。检查内容包括: (1)密码算法、密码技术(协议和密码管理)、密码产品和服务 (2)相关配置是否与密码应用需求相符 (3)是否满足GMT0115中的相关条款要求 |
3.2 | 确定测试路径和工具接入点 | 结合网络拓扑图,用图示的方式描述测评工具的接入点、测试目的、测试途径和测试对象等相关内容 |
四、测评内容确定
确定各单元测评实施内容(以表格形式给出,表格内容包括测评指标、测评内容描述等)。
编号 | 任务名称 | 具体内容 |
4.1 | 确定可以具体实施测评的单元 | 将各层面上的测评指标结合到具体的测评对象上,并说明具体的测评方法 |
4.2 | 确定单元测评实施的工作内容 | 结合已选定的测评指标和测评对象,概要说明现场单元测评实施的工作内容 |
4.3 | 确定现场测评测试内容 | 涉及现场测评部分时,应根据确定的测评检查点,编制相应的测试内容 |
五、密评方案编制
编号 | 任务名称 | 具体内容 |
5.1 | 整理项目信息及相关概述 | 项目来源、被测单位整体信息化建设情况及被测信息系统与其他信息之间的连接情况等 |
5.2 | 整理测评依据 | 明确测评活动所要依据和参考的与密码算法、密码技术、密码产品和密码服务等相关的标准规范 |
5.3 | 估算现场测评工作量 | 具体根据配置检查的节点数量、工具测试的接入点及测试内容等情况估算 |
5.4 | 编制工作安排 | 基于项目组成员分工,编制工作安排 |
5.5 | 编制测评实施计划 | 包括现场工作人员的分工和时间安排(避免业务高峰;测评要求一并提出) |
5.6 | 汇总形成密评方案 | 汇总以上所有内容及方案编制活动中其他任务获取的内容,形成密评方案 |
5.7 | 方案内部评审 | 密评方案经测评方内部评审通过 |
5.8 | 被测单位确认 | 测评方评审通过的密评方案提交被测单位签字确认 |
商用密码应用安全性测评方案编制流程相关推荐
- 密评|商用密码应用安全性评估
前言 作为近些年刚刚进入人们视线的"密评",许多人均对其较为陌生,密码作为网络安全体系中基础支撑,是国家实现网络安全从被动防御走向主动免疫的重要战略转变. 商用密码应用安全性评估的 ...
- 商用密码应用安全性评估(密评)六大基础问题解答
2021年3月9日,国家市场监管总局.国家标准化管理委员会发布公告,正式发布国家标准GB/T39786-2021<信息安全技术 信息系统密码应用基本要求>,该标准将于2021年10月1日起 ...
- 《密码法》之商用密码应用安全性评估----六问
密评六大基础问题解答 商用密码应用安全性评估,以下简称密评: Q1:运营单位怎么判定是否需要开展商用密码应用安全性评估? 1)<密码法>第二十七条 法律.行政法规和国家有关规定要求使用商用 ...
- 杨元原博士国密课堂 · 第二期 | 商用密码应用安全性评估:Part2. 商用密码算法
#国密课堂# 第二期 商用密码应用 安全性评估 Part 2. 商用密码算法 在第一期国密课堂 中,杨博士带大家简单了解了密码算法的概念.第二期杨博士带我们继续走近商用密码应用安全性评估领域,进一 ...
- 【国内首家!】阿里云专有云通过商用密码应用安全性评估
简介:阿里云凭借自研飞天云操作系统的全方位安全能力,成为国内首家通过云平台密评的云厂商. 近日,国内首个针对云平台的商用密码应用安全性评估(以下简称密评)结果出炉.阿里云凭借自研飞天云操作系统的全方位 ...
- 密评(商用密码应用安全性评估)
密评的全称,商用密码应用安全性评估,是指在采用商用密码技术.产品和服务集成建设的网络和信息系统中,对其密码应用的合规性.正确性和有效性进行评估. 即按照有关法律法规和标准规范,对网络与信息系统使用商用 ...
- 杨元原博士国密课堂 · 第一期 | 商用密码应用安全性评估:Part1. 密码算法概述
#国密课堂# 第一期 商用密码应用安全性评估 Part 1. 密码算法概述 什么是密码算法? 密码学(Cryptology)是研究密码编制.密码破译和密码系统设计的的一门综合性科学,其包括密码编码学和 ...
- 附下载 | 图解密评联委会《商用密码应用安全性评估FAQ(第二版)》
密码作为保障数据安全的核心技术和基础支撑,已经渗透到社会生产生活的方方面面,在维护国家安全.促进经济社会发展.保护人民群众利益等方面发挥着不可替代的重要作用.近年来,我国陆续出台<密码法> ...
- 杨元原博士国密课堂 · 第三期 | 商用密码应用安全性评估:IPSecVAN协议的原理和测评验证(一)
IP数据包本身并不提供任何安全特性.很容易伪造出IP包的地址.修改其内容.重播以前的包以及在传输途中拦截并查看包的内容.IPSec提供了一种标准的.健壮的机制,可为IP及上层协议(如UDP和TCP)提 ...
- 商用密码应用安全性评估量化评估规则(2021版)
量化评估框架 参考 GM/T BBBB<信息系统密码应用测评要求>,本规则从三个方面进行量化评估: 密码使用安全(Cryptography Deployment security)是指,密 ...
最新文章
- ubuntu 运行android sdk 下的工具adb报bash: ./adb: No such file or directory
- 洛谷P1373 小a和uim之大逃离
- c++ 智能指针_详解 C++ 11 中的智能指针
- 查看mysql的版本的四种方法
- Spring Cache 配置及一些问题的解决
- java发送QQ群邮件,简单两步使用node发送qq邮件
- python读取大文件的坑_Python读取大文件的坑“与内存占用检测
- 随想录(再论内存屏障)
- 学会使用JDK API
- 计算机管理可以全自动,这款全自动化的小工具,可以让你在父母面前光明正大得玩电脑啦...
- 背单词App开发日记3
- this.setState修改某一对象的某个属性值,其它保留不变
- 微信小程序注册流程详解
- UML各种箭头的含义
- 大数据组件笔记 -- ZooKeeper
- Java面试题全集(三)
- 红米7 自编译不完美 twrp 可root手机
- 实战五十三:基于机器学习随机森林的购房贷款违约预测(完整代码+数据集)
- IDM 下载器 使用记录
- Python全功能测试框架pytest