商用密码应用安全性测评方案编制流程

        密评方案编制的目标是完成测评准备活动中获取的信息系统相关资料整理,为现场测评活动提供最基本的文档和指导方案。

        按照《GM-T 0116-2021 信息系统密码应用测评过程指南》标准,密评方案编制包括5项关键任务,简要汇总如下表。

编号任务输入文档输出文档具体内容
1确定测评对象完成的调查表格、各种与被测信息系统相关的技术资料密评方案的测评对象部分被测信息系统的整体结构、边界、网络区域、核心资产、面临的威胁、测评对象等
2确定测评指标完成的调查表格、GMT0115、通过评估的密码应用方案、相关行业标准或规范密评方案的测评指标部分被测信息系统相应等级对应的适用和不适用的测评指标
3确定测评检测点被测信息系统详细网络结构,选用的密码算法、密码技术、密码产品、密码服务等详细信息,通过评估的密码应用方案和GMT0115密评方案的测评检查点部分测评检测点、检查内容及测评方法
4确定测评内容完成的调查表格,密评方案的测评对象、测评指标及测评检查点部分,通过评估的密码应用方案和GMT0115密评方案的单元测评实施部分单元测评实施内容
5编制密评方案委托测评协议书,项目计划书,完成的调查表格,通过评估的密码应用方案和GMT0115,密评方案中测评对象、测评指标、测评检查点、测评内容等部分经过评审和确认的密评方案文本项目概述、测评对象、测评指标、测评检查点、单元测评实施内容、测评实施计划等

         一、确定测评对象

        分析整个被测信息系统及其涉及的业务应用系统,以及相关的密码应用情况,确定测评的测评对象。

编号任务名称具体内容
1.1识别被测信息系统的基本情况

整理识别出被测信息系统内

(1)物理环境(机房)

(2)网络拓扑结构及外部边界连接

(3)业务应用系统

(4)计算机硬件设备

(5)网络安全设备

(6)密码产品和使用的密码服务

(7)识别出以上所有相关的密码应用流程情况

1.2描述被测信息系统

(1)描述整体结构

(2)描述外部边界连接情况和边界主要设备

(3)描述网络区域组成、主要业务功能及相关设备节点

(4)描述涉及的所有密码应用流程情况

1.3确定测评对象

(1)确定需要保护的核心资产(包括业务应用、业务数据或者业务应用的某些设备、组件)

(2)确定其他需要保护的配套数据(审计信息、配置信息、访问控制列表等)、敏感安全参数(密钥)

(3)相关的威胁模型安全策略

1.4资产和威胁评估

(1)确定资产价值(重要性和关键程度),分为高-中-低等级

(2)确定可能的威胁发生频率,分为高-中-低等级

1.5描述测评对象

按照测评对象分类,采用列表形式对每类测评对象进行描述。测评对象一般包括:机房、业务应用软件、主机和服务器、数据库、具备密码功能的网络安全产品、密码产品、密码服务、系统相关人员及安全管理制度类文档和记录表单类文档等。

        二、测评指标确定

        根据系统定级结果以及通过评估的密码应用方案,确定本次测评的测评指标。

编号任务名称具体内容
2.1选择相应等级对应的测评指标根据定级结果、GMT0115选择出所有测评指标
2.2确定特殊测评指标根据被测系统相关行业标准或规范,以及被测信息系统密码应用需求,确定特殊测评指标
2.3确定测评指标适用性按照被测信息系统的安全策略、相关标准要求,对照已通过评估的密码应用方案逐项确认各项指标的适用性
2.4核查所有不适用项对所有不适用项进行逐条核查、评估、详细论证其安全需求、不适用的具体原因、以及是否采用了可满足安全要求的其他替代风险控制措施(特别是无密码应用方案的情况下)

        三、测评检查点确定

        需要对一些关键点进行现场检查确认(如抓包测试、查看关键设备配置等方法),以防止密码产品、密码服务虽然被正确配置、但是未接入被测信息系统之类的情况发生,从而确认密码算法、密码技术、密码产品和密码服务的合规、正确和有效性。在测评方案中确定检查点,并且充分考虑到检查的可行性和风险,能最大限度的避免对被测信息系统的影响,尤其应避免对在线运行业务系统造成影响。

编号任务名称具体内容
3.1列出需要接受现场检查的关键设备和检查内容

关键设备一般为承载核心资产流转、进行密钥管理的设备。检查内容包括:

(1)密码算法、密码技术(协议和密码管理)、密码产品和服务

(2)相关配置是否与密码应用需求相符

(3)是否满足GMT0115中的相关条款要求

3.2确定测试路径和工具接入点结合网络拓扑图,用图示的方式描述测评工具的接入点、测试目的、测试途径和测试对象等相关内容

        四、测评内容确定

        确定各单元测评实施内容(以表格形式给出,表格内容包括测评指标、测评内容描述等)。

编号任务名称具体内容
4.1确定可以具体实施测评的单元将各层面上的测评指标结合到具体的测评对象上,并说明具体的测评方法
4.2确定单元测评实施的工作内容结合已选定的测评指标和测评对象,概要说明现场单元测评实施的工作内容
4.3确定现场测评测试内容涉及现场测评部分时,应根据确定的测评检查点,编制相应的测试内容

        五、密评方案编制

编号任务名称具体内容
5.1整理项目信息及相关概述项目来源、被测单位整体信息化建设情况及被测信息系统与其他信息之间的连接情况等
5.2整理测评依据明确测评活动所要依据和参考的与密码算法、密码技术、密码产品和密码服务等相关的标准规范
5.3估算现场测评工作量具体根据配置检查的节点数量、工具测试的接入点及测试内容等情况估算
5.4编制工作安排基于项目组成员分工,编制工作安排
5.5编制测评实施计划包括现场工作人员的分工和时间安排(避免业务高峰;测评要求一并提出)
5.6汇总形成密评方案汇总以上所有内容及方案编制活动中其他任务获取的内容,形成密评方案
5.7方案内部评审密评方案经测评方内部评审通过
5.8被测单位确认测评方评审通过的密评方案提交被测单位签字确认
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
### 回答1: 商用密码应用安全性评估管理办法pdf是指一种用于评估和管理商用密码应用安全性的规范性文件,旨在提供指导和规范,以确保商用密码应用安全性和可靠性。 商用密码应用是指用于保护商业信息、数据和通信的密码系统或密码算法。由于商业信息的敏感性和重要性,商用密码应用安全性至关重要。因此,商用密码应用安全性评估管理办法pdf提供了一套全面的评估和管理措施,以确保商用密码应用安全性商用密码应用安全性评估管理办法pdf通常包括以下内容: 1. 评估方法和标准:商用密码应用安全性评估需要依据一定的方法和标准进行。该管理办法将提供详细的评估方法和标准,以确保评估的准确性和可靠性。 2. 安全性要求:商用密码应用需要满足一定的安全性要求,以确保信息和通信的保密性、完整性和可用性。该管理办法将规定了这些安全性要求,并提供具体的实施指南。 3. 评估流程商用密码应用安全性评估需要进行一系列的步骤和流程。该管理办法将详细描述评估的流程,并提供了相应的评估工具和方法。 4. 结果和报告:商用密码应用安全性评估的结果需要进行记录和报告。该管理办法将规定了结果的记录和报告要求,以及相应的报告模板和格式。 商用密码应用安全性评估管理办法pdf的实施可以提高商用密码应用安全性和可靠性,保护商业信息和数据的安全。通过规范和统一的评估和管理,可以确保商用密码应用符合安全性要求,并提升商业信息的保护能力。 ### 回答2: 商用密码应用安全性评估管理办法(PDF)是一份指导商用密码应用安全评估的管理规范和方法的文件。该文件旨在保障商用密码应用安全性,确保密码信息的机密性、完整性和可用性。 商用密码应用安全性评估管理办法的内容主要包括以下几个方面: 首先,该办法明确了商用密码应用安全评估的目的和基本原则。其中,目的是为了检测商用密码应用安全性,发现存在的潜在漏洞和风险;基本原则包括风险管理、合规性和可验证性原则,以确保安全性评估的有效性和可靠性。 其次,该办法规定了商用密码应用安全性评估的程序和方法。包括需求分析安全性设计、系统实施、安全性测试和安全性认证等步骤,确保评估全面、系统和有条理。 另外,该办法还明确了商用密码应用安全性评估中的关键要素。其中包括密码强度、用户认证、访问控制、密码备份与恢复、密码管理、审计与日志等多个方面,确保评估细致入微、全面考虑。 最后,该办法还制定了商用密码应用安全性评估的报告和证书要求。评估结果需以报告形式提交,详细说明评估过程、检测到的漏洞和风险以及相应的解决方案。评估合格的商用密码应用将获得相应的安全性认证证书,证明其满足安全性要求。 综上所述,商用密码应用安全性评估管理办法(PDF)是一份指导商用密码应用安全评估的重要文件,为商用密码应用安全性提供了规范和方法,确保密码信息得到有效保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游鲦亭长

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值