商用密码应用安全性评估量化评估规则(2021版) |
您所在的位置:网站首页 › 商用密码应用安全性评估是什么工作 › 商用密码应用安全性评估量化评估规则(2021版) |
量化评估框架
参考 GM/T BBBB《信息系统密码应用测评要求》,本规则从三个方面进行量化评估: 密码使用安全(Cryptography Deployment security)是指,密码技术是否被正确、有效使用,以满足信息系统的安全需求,有效提供机密性、完整性、真实性和不可否认性的保护; 密钥管理安全(Key management security)是指,密钥管理的全生命周期是否安全,用于密码计算或密钥管理的密码产品/密码服务是否安全。 密码算法/技术安全(Cryptography Algorithm/Technique security)是指,信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。 量化规则(1)各测评对象的测评结果量化规则 密码应用技术要求中,第 密码应用管理要求不针对各个测评对象的测评结果进行量化评估。 (2)测评单元的测评结果量化规则 第 密码应用管理要求中,第 (3)安全层面的测评结果量化规则 本文件为每个测评单元分配了相应的权重 若某测评指标不适用,则不参与量化评估过程,不适用的判定方式参见 GM/T BBBB。 (4)整体测评结果量化规则 本文件为每个安全层面分配了相应的权重 若某个安全层面的所有测评指标都不适用,则该安全层面不参与量化评估过程。 表 1 量化评估表 符合情况涉及情况示例分值全部符合相关的要求 1部分符合√×√使用认证合格的密码产品,但使用的密码算法/技术不合规 0.5√√×使用未经认证或不满足安全等级要求的密码产品,但使用的密码算法/技术合规 √××使用未经认证或不满足安全等级要求 的密码产品,且使用的密码算法/技术不合规 0.25不符合×//使用的密码技术无法满足信息系统的安全需求,或未使用密码技术等 0 表 2 测评指标权重表 序号测评单元安全层 面权重 密 码 技 术 应 用 要 求 物理 和 环境 安全 身份鉴别100.40.7112电子门禁记录数据存储完整0.40.40.70.73视频记录数据存储完整性//0.70.74网络 和 通信 安全 身份鉴别200.4 0.7115通信数据完整性0.40.40.716通信过程中重要数据的机密性0.40.7117网络边界访问控制信息的完整性0.40.40.40.78安全接入认证//0.40.79设备 和 计算 安全 身份鉴别100.40.71110远程管理通道安全//1111系统资源访问控制信息完整性0.40.40.40.712重要信息资源安全标记完整性//0.40.713日志记录完整性0.40.40.40.714重要可执行程序完整性、重要可执行程序来源真实性//0.7115应用 和 数据 安全 身份鉴别300.40.71116访问控制信息完整性0.40.40.40.717重要信息资源安全标记完整性//0.40.718重要数据传输机密性0.40.71119重要数据存储机密性0.40.71120重要数据传输完整性0.40.70.7121重要数据存储完整性0.40.70.7122不可否认性//1123安 全 管 理 管理 制度 具备密码应用安全管理制度8111124密钥管理规则0.70.70.70.725建立操作规程/0.70.70.726定期修订安全管理制度//0.70.727明确管理制度发布流程//0.70.728制度执行过程记录留存//0.70.729人员 管理 了解并遵守密码相关法律法规和密码管理制度80.70.70.70.730建立密码应用岗位责任制度/11131建立上岗人员培训制度/0.70.70.732定期进行安全岗位人员考核//0.70.733建立关键岗位人员保密制度和调离制度0.70.70.70.734建设 运行 制定密码应用方案8111135制定密钥安全管理策略111136制定实施方案0.70.70.70.737投入运行前进行密码应用安全性评估111138定期开展密码应用安全性评估及攻防对抗演习//0.70.739应急 处置 应急策略6111140事件处置//0.70.741向有关主管部门上报处置情况//0.70.7 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |