密评
归途漫长路
李凯旋
展开
-
密评全过程-应用和数据安全
2.对应用系统的访问控制策略(如安全策略、资源访问控制列表等)、数据库表访问控制信息(如用户身份信息、数据库安全策略、用户权限列表等)、重要信息资源安全标记(如数据标签)等进行保护,防止被非授权篡改;5.根据应用系统的需要,部署签名验签服务器、电子签章系统、时间戳服务器等密码产品,对收发的数据及相关操作记录进行签名,实现数据原发行为的不可否认性和数据接收行为的不可否认性。4.保护存储的重要数据(包括但不限于鉴别数据、重要业务数据、重要用户信息等),防止数据泄露、非授权篡改;原创 2024-07-19 16:05:56 · 868 阅读 · 0 评论 -
密评全过程-设备和计算安全
在常规项目中,堡垒机设备用来增强设备和计算安全,但它的主要功能是缓解外部人员攻击,并且提供事前防御、事中控制、事后审计等功能。登录堡垒机需要验证人员的合法性,以及确保登录过程中数据的机密性与完整性,因此,需要向相关人员配发基于国密的智能密码钥匙,以鉴别管理员身份以及防止非授权人员登录。运维用户需使用符合GM/T0027-2014《智能密码钥匙技术规范》的USBKey登录堡垒机,并通过堡垒机进行设备运维,还需通过防火墙配置访问控制策略,限制用户直连设备。原创 2024-07-19 15:14:05 · 285 阅读 · 0 评论 -
密评全过程-网络和通信安全
信息化系统中需部署符合相关国家和行业标准的VPN网关,保证PC端到服务端、服务端与服务端之间数据传输机密性和完整性。数据备份的设备在通信前进行身份鉴别,并建立安全的数据备份传输通道。为了确保信息化系统的网络与通信安全,首先需要确定系统所运行的网络中所有数据的传输链路,如移动用户访问链路、政务用户访问链路、管理人员访问链路等。网络和通信安全旨在保护信息系统与外部实体之间网络通信的安全,确保通信实体身份的真实性、通信数据的机密性和完整性以及网络边界访问控制信息的完整性等。原创 2024-07-18 11:40:51 · 342 阅读 · 0 评论 -
密评全过程-物理和环境安全
前言:物理和环境安全层面的密码应用设计,需考虑被保护数字政府信息化系统所部署的机房是否属于本单位管理。若属于本单位管理、运维,则需按照该节技术路线实施;若被保护的数字政府信息化系统部署在政务云或运营商的机房中,则应向提供托管服务的集成商提出密码应用的要求。如果托管的机房已经满足密码应用建设标准,项目整体密码应用安全性测评时,可继承机房所实现的密码应用技术指标,获得相应指标分值。原创 2024-07-18 10:33:49 · 437 阅读 · 0 评论 -
密码应用测评过程
在测评活动开展前,测评方需对被测信息系统的密码应用方案进行评估,通过评估的密码应用方案可以作为测评实施的依据。测评包括4项基本活动:测评准备、密评方案豪生型准编制、现场测评、分析与报告编制。测评方与被测单位之间的沟通应贯穿整个测评过程。测评流程如下图(密码应用测评流程)所示。原创 2024-07-15 16:29:09 · 1518 阅读 · 0 评论 -
为什么要做密评
我国密码工作开展比较晚,推进工作不顺利,国密局 2018 年进行了密码检查,发现密码应用形势不乐观。密码应用不广泛:未使用密码技术的系统占 75%不规范:不符合标准要求,未使用合规产品、合规算法等不安全:MD5、RSA1024、SHA1 等有重大风险算法仍在使用,密钥管理不规范(如秘钥存在硬盘上、使用时间因子当做秘钥)等。商用密码工作推进“密码用的对不对、好不好,要拿测评结果来说话。”2017 年,国家密码管理局开展密评的试点工作;☆构建设计密评体系☆发布试行管理办法等制度文件。原创 2024-07-09 17:56:13 · 457 阅读 · 0 评论 -
《商用密码应用安全性评估FAQ(第三版)》
《商用密码应用安全性评估FAQ(第三版)》原创 2024-07-09 17:29:35 · 259 阅读 · 0 评论 -
密码应用方案概要
密码应用方案内容构成介绍原创 2024-07-10 15:26:04 · 232 阅读 · 0 评论 -
密码应用 “三同步,一评估” 流程
密码应用 “三同步,一评估” 流程原创 2024-07-10 15:22:33 · 485 阅读 · 0 评论 -
数字政府密码应用建设“三同步一评估”
摘要文献原创 2024-07-09 16:26:21 · 1665 阅读 · 0 评论