《商用密码应用与安全性评估》评测内容

发布网友 发布时间：2024-10-23 20:30

我来回答

共1个回答

热心网友 时间：2024-11-05 23:18

评测依据

测评依据主要基于国家标准和行业标准，包括：《信息系统密码应用基本要求》、《信息系统密码测评要求》、《商用密码应用与安全性评估》等。部分参考标准涵盖：《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 信息系统安全等级保护定级指南》、《信息安全技术 信息系统安全等级保护实施指南》、《信息安全技术 信息系统安全等级保护测评过程指南》、《信息系统安全等级保护定级报告》等，以及其他行业规范如随机性检测、密码模块安全技术要求、服务器密码机技术规范等。

评测过程

测评过程分为四大部分：测评准备、方案编制、现场测评和分析报告编制。测评双方需保持持续沟通，未进行密码应用方案评估的，可委托测评机构或组织专家进行评估，通过评估的方案作为测评实施依据。

评测内容

测评对象的选择基于系统重要程度的分析，针对主机设备、网络设备、物理环境、安全设备、密码设备、服务器/存储设备、业务应用软件、访谈人员、安全管理文档等进行抽样评估。重点检查物理环境的安全措施，如门禁系统、视频监控系统、存储设备等。针对主要安全设备进行评估，包括防火墙、VPN、入侵检测与防御系统、堡垒主机等。对密码设备进行全面评估，确保合规性、正确性与有效性。服务器与存储设备，以及主要业务应用软件的评估，确保其安全性。访谈相关人员，包括安全管理员、系统管理员、数据库管理员等，审查安全管理文档，确保符合要求。

评测技术基线

测评技术基线包括物理与环境、网络与通信、设备与计算、应用与数据等方面，确保系统在技术层面符合安全要求。

评测管理基线

从管理制度、人员、建设运营和应急处置等方面进行全面评测，确保信息系统安全管理到位。

评测方式

测评方式包含访谈、文档审查、配置检查、工具测试和实地查看。通过访谈了解系统安全状况，审查文档确保合规性，配置检查确保设备与文档的一致性，工具测试验证系统安全性，实地查看确保环境符合标准要求。