通过对信息系统整体的商用密码应用安全进行专项测试和综合评估,形成科学准确的评估结果,为机构的密码应用方案提供建议和保证,确保商用密码在网络和信息系统中得到有效使用,切实构建起坚实可靠的网络空间安全密码屏障。(简称 "密评")
大量数据及应用系统没有使用密码技术进行保护
《商用密码管理条例》要求,任何单位和个人只能使用经认可的密码产品,不得使用自研或境外生产的密码产品
大量系统还在使用MD5、SHA1、RSA1024、DES等有风险的密码算法,使用的安全服务也不规范,给信息系统带来严重安全隐患
《中华人民共和国密码法》第三十七条:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位),应当健全密码保障体系,实施商用密码应用安全性评估。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
密码技术实现物理访问控制、监控记录完整性保护等要求。
密码技术实现身份真实性、数据传输和存储的机密性、完整性、不可否认性等要求。
密码技术实现网络传输过程的通信双方真实性、数据机密性、完整性保护等要求。
密钥全生命周期管理,包括密钥生成、存储、使用、分发、导入/导出、备份/恢复、归档、销毁。
密码技术实现设备用户身份真实性,远程鉴别信息机密性,重要文件的完整性保护要求。
制度、人员、实施、应急要求。
1、系统现状分析
2、安全风险分析
3、密码应用需求分析
4、方案总体设计
5、密码应用技术方案
6、密钥管理方案设计
7、安全管理方案设计
8、安全与合规评审
项目启动
↓
信息收集和分析
↓
工具和表单准备
测评对象确定/测评指标确定
↓
测评检查点确定
↓
测评内容确定
↓
测评方案编辑
现场测评准备
↓
现场测评和结果记录
↓
结果确认和资料归还
单项测评结果判定
↓
单元测评结果判定
↓
整体测评
↓
风险分析
↓
形成测评结论
严格按照项目管理标准,制订严谨的项目实施计划,项目经理全程把控项目进度。
测评团队包括安全行业资深领域专家,行业顾问。专门负责密码研究及测评工作,保证评估结果的可靠性。
天磊卫士在全国各地拥有多家合作机构,均为拥有国家认证的密码测评资质,提供的交付具有权威认证性。
全面分析测评结果报告,形成密码风险控制方案及整改建议。全面提升密码安全性,降低安全风险,满足合规要求。
由天磊卫士提供一站式服务,让客户轻松完成整个测评。