密码应用安全性评估


通过对信息系统整体的商用密码应用安全进行专项测试和综合评估,形成科学准确的评估结果,为机构的密码应用方案提供建议和保证,确保商用密码在网络和信息系统中得到有效使用,切实构建起坚实可靠的网络空间安全密码屏障。(简称 "密评")

密码应用存在的问题

密码应用不广泛

大量数据及应用系统没有使用密码技术进行保护

密码应用不规范

《商用密码管理条例》要求,任何单位和个人只能使用经认可的密码产品,不得使用自研或境外生产的密码产品

密码应用不安全

大量系统还在使用MD5、SHA1、RSA1024、DES等有风险的密码算法,使用的安全服务也不规范,给信息系统带来严重安全隐患

为什么要做密码应用安全性评估?

      《中华人民共和国密码法》第三十七条:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

哪些领域要做密码应用安全性评估?

      
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位),应当健全密码保障体系,实施商用密码应用安全性评估。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统

该服务的评估要求是什么?


物理和环境安全

密码技术实现物理访问控制、监控记录完整性保护等要求。


应用和数据安全

密码技术实现身份真实性、数据传输和存储的机密性、完整性、不可否认性等要求。


网络和通信安全

密码技术实现网络传输过程的通信双方真实性、数据机密性、完整性保护等要求。


密钥管理安全

密钥全生命周期管理,包括密钥生成、存储、使用、分发、导入/导出、备份/恢复、归档、销毁。


设备和计算安全

密码技术实现设备用户身份真实性,远程鉴别信息机密性,重要文件的完整性保护要求。


安全管理安全

制度、人员、实施、应急要求。

信息系统密码应用基本要求

1、系统现状分析

2、安全风险分析

3、密码应用需求分析

4、方案总体设计

5、密码应用技术方案

6、密钥管理方案设计

7、安全管理方案设计

8、安全与合规评审

密码测评流程


测评准备

项目启动

信息收集和分析

工具和表单准备


方案编辑

测评对象确定/测评指标确定

测评检查点确定

测评内容确定

测评方案编辑


现场测评

现场测评准备

现场测评和结果记录

结果确认和资料归还


分析及报告编制

单项测评结果判定

单元测评结果判定

整体测评

风险分析

形成测评结论

服务优势

专业化项目管理

严格按照项目管理标准,制订严谨的项目实施计划,项目经理全程把控项目进度。

资深测评团队

测评团队包括安全行业资深领域专家,行业顾问。专门负责密码研究及测评工作,保证评估结果的可靠性。

权威有效性

天磊卫士在全国各地拥有多家合作机构,均为拥有国家认证的密码测评资质,提供的交付具有权威认证性。

针对性整改方案

全面分析测评结果报告,形成密码风险控制方案及整改建议。全面提升密码安全性,降低安全风险,满足合规要求。

一站式服务

由天磊卫士提供一站式服务,让客户轻松完成整个测评。

Disallow: /twaf_abc/twaf_abc.html