文库搜索
切换导航
首页
频道
安全标准
安全报告
安全文档
首页
安全标准
安全报告
安全文档
批量下载
使用说明
官方交流群
会员登录
商用密码应用安全性评估 FAQ 中国密码学会密评联委会 首次发布日期:2021年12月 最近更新日期:2021年12月 目录 1.信息系统密码应用基本要求的等级 2.应、宜、可测评指标把握. 3.经认证合格的密码产品中的密钥安全符合性判定 4.物理和环境安全层面的测评对象识别和确定 5.网络和通信安全层面的测评对象识别与确定, 6.设备和计算安全层面的测评对象. 7.设备和计算安全层面测评对象选取粒度 8.远程管理通道安全. 9.合规密码产品身份鉴别、完整性相关指标的判定. 10.设备和计算安全层面的身份鉴别 11.应用和数据安全层面的测评对象识别与确定 12.访问控制信息的具体含义 13.缺少密码应用方案的合规性判定, 14.商用密码产品认证证书过期的合规性判定 15.具有认证证书型号的商用密码产品对应的模块等级 16.有缓解措施的高风险判定 10 17.报告中对于高风险缓解措施的体现, 18.双活机房的通信链路合规性判定 11 19.云平台测评的责任和范围.. 12 20.云平台和云上应用的测评方式和测评结论复用方式 12 21.面向公众等网站的测评, 15 22.如何编写涉及应用和数据安全层面的测评内容报告 说明 本文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解 答,以帮助相关人员更好的开展商用密码应用安全性评估工作。 本文件内容仅供参考,最终应以相关政策法规和标准规范为准。 编辑:张立花、肖秋林、郑防昱、贾世杰、黎水林、王勇、范佳奇、刘健、刘军荣、冀 利刚、杨宏志、李晨旸 审核:阎亚龙、马原、秦小龙、汪宗斌、罗鹏 本文件内容定期迭代更新发布,版本信息通过文件发布及更新日期记录表连续记录。 有关间题和建议,可发送邮件至mplwh@cacrnet.org.cn。 文件发布及更新日期记录表 首次发布日期 2021年12月 第一次更新日期 第二次更新日期 . 1.信息系统密码应用基本要求的等级 ·背景: GB/T397862021《信息安全技术信息系统密码应用基本要求》对信息系统密码应用 要求,提出密码保障能力遂级增强的要求,用一、二、三、四、五表示。其中,从密码算法、 密码技术、密码产品和密码服务的合规性方面,提出了第一级到第五级的密码应用通用要求, 从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技 术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和 应急处置四个方面提出了第一级到第四级的密码应用管理要求。 ·问题: 如何确定被测信息系统密码应用等级? ·解答: GB/T39786一2021中的密码应用等级一般由网络安全等级保护的级别确定。信息系统根 据GB/T22240一2020《信息安全技术网络安全等级保护定级指南》确定等级保护级别时, 同步对应确定密码应用等级,即等保定级为第一级的网络与信息系统应遵循GB/T39786第 级密码应用基本要求,等保定级为第二级的网络与信息系统应遵循GB/T39786第二级密 码应用基本要求,以此类推。对于未完成网络安全等级保护定级的重要信息系统,其密码应 用等级至少为第三级。 2.应、宜、可测评指标把握 ·背景: GB/T39786对密码应用各项指标要求的力度,主要通过应"%宜"可"加以区分,具体实 施时,需把握哪些是必须实现的、哪些是可以自行把握的。在“应"“宜”可”三个指标中,“可” 和应"的含义明确,但“宜”含义,在GB/T39786中有其特殊性。 . 问题: 在密评实施中,如何理解和把握“宜”的指标要求? ·解答: 依据GM/T0115《信息系统密码应用测评要求》,据信息系统的密码应用方案和方案评 估报告/评审意见,决定是否将“宜”的指标要求纳入标准符合性测评范围,具体如下: (1)若信息系统未编制密码应用方案或在方案中未对“宜"的指标要求做明确说明,则 “宜”的指标要求纳入标准符合性测评范围。 (2)若信息系统编制了密码应用方案,且方案通过评估,方案中明确了不适用的“宜” 的指标要求项,且有对应的风险控制措施说明的情况下。密评人员在测评时,应根据信息系 统的密码应用方案和方案评估报告/评审意见,核实方案中的不适用指标要求项所采用的风 险控制措施的适用条件,在实际的信息系统中是否被满足,且信息系统的实施情况与方案中 1
商用密码应用安全性评估FAQ
安全报告
>
安全
>
文档预览
中文文档
25 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助1.5元下载(无需注册)
温馨提示:本文档共25页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助1.5元下载
本文档由
路人甲
于
2022-09-01 06:26:47
上传分享
举报
下载
原文档
(4.8 MB)
分享
给文档打分
您好可以输入
255
个字符
网站域名是多少( 答案:
github5.com
)
评论列表
暂时还没有评论,期待您的金玉良言
热门文档
MZ-T 157-2020 手动移位车.pdf
GB-T 15116-2023 压铸铜合金及铜合金压铸件.pdf
GB-T 12409-2009 地理格网.pdf
DB23-T 2913—2021 建设占用耕地耕作层土壤剥离利用技术规范 黑龙江省.pdf
DB43-T 2106-2021 麦穗鱼池塘健康养殖技术规程 湖南省.pdf
T-FSI 090—2022 低挥发性甲基环硅氧烷的107胶.pdf
T-SESA 0003—2022 电竞场馆建设规范.pdf
NISP.SP.800-150 .pdf
T-CIATCM 016—2019 针灸科电子病历基本数据集.pdf
T-CGDF 00002—2021 自然教育指导师专业标准.pdf
T-CEC 621.1—2022 电力系统外绝缘用硅橡胶老化评估及修复技术 第1 部分:硅橡胶清洗修复剂技术条件.pdf
T-ACEF 108—2023 公民绿色低碳行为温室气体减排量化指南 行:不停车缴费.pdf
GB-T 8174-2008 设备及管道绝热效果的测试与评价.pdf
DB43-T 2746-2023 特种设备使用单位安全风险评估和管控导则 湖南省.pdf
GB-T 21697-2022 低压配电线路和电子系统中雷电过电压的绝缘配合.pdf
T-GHDQ 89.1—2022 车载网络安全测试规范 第1部分: 车载CAN总线安全测试规范.pdf
GB-T 12771-2019 流体输送用不锈钢焊接钢管.pdf
T-ZSX 3—2020 儿童友好社区建设规范.pdf
CISSP权威指南(AIO)第8版 中文.pdf
GB-T 17678.1-1999 CAD电子文件光盘存储、归档与档案管理要求 第一部分电子文件归档与档案管理.pdf
1
/
3
25
评价文档
赞助1.5元 点击下载(4.8 MB)
回到顶部
×
微信扫码支付
1.5
元 自动下载
官方客服微信:siduwenku
支付 完成后 点击这里 下载
享优惠, 办会员
每年仅需
99
元(可开发票 无限下载)
加客服微信扫描如下二维码 咨询
×
分享,让知识传承更久远
×
文档举报
举报原因:
×
优惠下载该文档
免费下载 微信群 欢迎您
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。