商道世纪商用密码应用安全性评估
立即咨询
首页
商用密码评估全流程报告与反馈
根据评估结果撰写报告,涵盖背景、方法、结果、问题与建议,并完成内部审核。随后向客户反馈评估结果,提出改进建议,保持沟通以确保理解与认可,为后续安全整改提供支持。
01、明确评估目标
确保商用密码系统的安全性与合规性。明确评估的具体对象,如密码算法、密钥管理、密码设备等,以及评估目的,符合特定标准或满足特定业务需求。
02、组建评估团队
评估团队应包括密码学专家、安全工程师、项目管理人员等。团队成员需具备丰富的密码评估经验和专业知识,确保评估工作的全面性和准确性。
03、确定评估范围
根据评估目标,确定评估的具体范围,包括涉及的密码系统、应用场景、评估时间等。明确评估范围有助于聚焦重点,提高评估效率。
04、制定评估方案
评估方案应详细列出评估步骤、方法、工具时间安排等。方案应具有可操作性和针对性,确保评估过程的有序进行。
05、密码技术应用评估
对商用密码系统的技术实现进行评估,包括密码算法的正确性、密钥管理的安全性、密码设备的性能等。评估过程中需进行实地测试,验证密码系统的实际表现。
06、密码管理情况检查
检查商用密码系统的管理情况,包括密码策略的制定与执行、密码管理人员的培训、密码事件的记录与处理等。评估密码管理的规范性和有效性。
流程图
系统初测调研摸底:系统信息收集和分析,全面、深入掌握系统架构,
软硬件情况,系统业务情况,系统密码应用现状,密码管理情况等。
需求分析根据已了解的系统情况及相关密码应用现状,依据 GB/T39786密码应用要求,梳理出系统密码应用需求。
差距分析报告
增改方案根据差距分析结果,按照相关要求设计密码整改方案或已有密码整改方案,聘请商用密码应用安全性评估机构对密码整改方案进行评审。
系统整改按照评审通过的密码整改方案建设,针对密码技术实现、密码机制实现是否合规、正确、有效进行保障。
网络安全等级保护技术最低整改要求:
《差距分析报告》高危风险全部整改完毕,其他按照整改方案整改达到60分以上。
整改所需最低安全设备要求:
三级所需清单:
签名验签服务器
服务器密码机/软密码模块
IPsec/SSLVPN综合安全网关
国密浏览器 (可选)
SSL站点证书 (可选)
二级所需清单:
服务器密码机
IPsec/SSLVPN综合安全网关
国密浏览器 (可选)
SSL站点证书 (可选)
系统复测系统密码改造部署完成后,在上线运行前,依据GB/T 39786-2021对应等级的密码应用要求对系统进行系统评估,合格后出具商用密码应用安全性评估报告。
编制报告
备案工作有关网络与信息系统运营者自密评报告出具之日起30日内,填写《网络与信息系统密评备案信息表》(见附件1),
连同密评报告报网络与信息系统所在地省级密码管理部门备案。中央和国家机关有关部委规划建设的关键信息基础设施或者国家政务信息系统可以报国家密码管理局备案。
网骆安全等级保护甲方工作内容定级备案甲方需自行提交、我方提交备案表、甲方盖章之后和密评报告交付至密码管理局。
系统测评甲方需对《现场测评授权及风险告知书》盖章。
过程中《现场测评签到表》、《进离场确认单》需要甲方配合人员签字。
复测过程需要甲方运维人员、系统开发人员配合协助流量抓包、截图。需要密码厂商提供相关证明材料。
产品推荐
SharkLogin SERP API 智能爬取系统,整合隧道代理 IP 数据采集方案与海外批量数据采集工具核心能力。支持通过智能 API 爬取 SERP 数据,依托隧道代理保障采集稳定性,适配海外多平台批量数据获取需求,助力高效获取精准搜索结果,是跨境数据采集优选工具。
大象机器人mechArm Pi 270小六臂是隶属于大象机器人“mechArm”系列小六轴机械臂,采用树莓派微处理器,支持ROS仿真模拟软件,是大象机器人面向创客创新和机器人产学研服务推出的仿工业构型小六轴机械臂。
安盛 API 安全平台,构建基于 API 的数据及业务安全产品体系。依托全量业务 API 访问数据分析,打造细颗粒度防护体系,实现 API 资产安全治理、访问行为监测审计、数据安全管控等核心功能。达成资产可知、风险可视、行为可查、威胁可管,提供持续监测与处置的闭环解决方案,全面守护移动业务安全、防范业务欺诈。
阿里云网络安全解决方案提供全面的安全防护,涵盖资产管理、安全配置核查、主动防御等关键领域,构建了网络层、主机层和应用层的纵深防护体系,通过大数据和机器学习技术,实现自动化的安全运营闭环,有效保护多云环境下的资产安全。
数字化社区
视频
文章
