博客
关于我
商用密码应用安全性评估量化评估规则
阅读量:701 次
发布时间:2019-03-17

本文共 1293 字,大约阅读时间需要 4 分钟。

商用密码应用安全性评估规则

商用密码应用安全性评估量化评估规则是一套用于对商用密码应用进行安全性评估的标准和方法。该规则旨在通过定量评估的方式,对商用密码应用的安全性进行量化分析和打分,评估其在安全性方面的表现和可信度。

本评估规则主要参考了GB/T 39786—2021GM/T 0115—2021,涵盖了技术和管理两个方面,共计8个安全层面。每个安全层面下均设置了具体的测评单元,且每个测评单元都有其独特的权重分配。

一、安全层面与测评单元

安全层面分为技术层面和管理层面,共计8个层面,每个层面下有不同的测评单元。具体如下:

  • 物理和环境安全

    • 身份鉴别
    • 电子门禁记录数据存储完整性
    • 视频记录数据存储完整性
  • 网络和通信安全

    • 身份鉴别
    • 通信数据完整性
    • 重要数据的机密性
    • 网络边界访问控制信息的完整性
    • 安全接入认证
  • 设备和计算安全

    • 远程管理通道安全
    • 系统资源访问控制信息完整性
    • 重要信息资源安全标记完整性
    • 日志记录完整性
    • 重要可执行程序的完整性及来源真实性
  • 应用和数据安全

    • 访问控制信息完整性
    • 重要信息资源安全标记完整性
    • 重要数据的机密性
    • 重要数据的存储机密性
    • 重要数据的传输机密性
    • 重要数据的传输完整性
    • 重要数据的存储完整性
    • 不可否认性
  • 管理制度

    • 密钥管理规则
    • 操作规程
    • 安全管理制度的修订
    • 管理制度的发布流程
    • 制度执行过程的记录
  • 人员管理

    • 上岗人员的培训
    • 人员安全岗位考核
    • 关键岗位人员保密制度
  • 建设运行

    • 密钥安全管理策略
    • 密钥安全管理实施方案
    • 密钥安全性评估
  • 应急处置

    • 应急策略
    • 事件处置
  • 二、量化评估框架

    本评估规则从三个方面进行量化评估:

  • 密码使用有效性(Cryptography Deployment effectiveness):评估密码技术是否被正确使用,以满足信息系统的安全需求。
  • 密码算法/技术合规性(Cryptography Algorithm/Technique compliance):评估密码算法和技术是否符合国家和行业标准。
  • 密钥管理安全(Key management security):评估密钥的全生命周期管理是否安全。
  • 三、量化评估规则

  • 测评对象评估规则

    • 每个测评对象的评估结果基于0(不符合)至1(完全符合)进行量化。
    • 对于弥补情况,采用最大值规则,即取补充前分值的50%和补充后分值中的较大值。
  • 测评单元评估规则

    • 每个测评单元的评估结果为测评对象评估结果的算术平均值。
  • 安全层面评估规则

    • 每个安全层面的评估结果为测评单元评估结果的加权平均值,权重由表4提供。
  • 四、量化评估阈值

    本评估规则采用GM/T 0115—2021中的得分阈值为60分,若综合得分不低于60分视为合格。

    五、测评结论

    根据评估结果,信息系统的安全性评估结论分为以下几种:

  • 符合:所有测评单元均无不符合项,综合得分为100分。
  • 基本符合:存在少量安全问题,但不影响系统整体安全性,综合得分不低于60分。
  • 不符合:存在重大安全问题,可能导致系统安全风险,综合得分低于60分。
  • 通过本评估规则,可以全面量化评估商用密码应用的安全性,确保其在技术和管理两个方面均达到相应的安全标准。

    转载地址:http://rvpez.baihongyu.com/

    你可能感兴趣的文章
    mysql中like % %模糊查询
    查看>>
    MySql中mvcc学习记录
    查看>>
    mysql中null和空字符串的区别与问题!
    查看>>
    MySQL中ON DUPLICATE KEY UPDATE的介绍与使用、批量更新、存在即更新不存在则插入
    查看>>
    MYSQL中TINYINT的取值范围
    查看>>
    MySQL中UPDATE语句的神奇技巧,让你操作数据库如虎添翼!
    查看>>
    Mysql中varchar类型数字排序不对踩坑记录
    查看>>
    MySQL中一条SQL语句到底是如何执行的呢?
    查看>>
    MySQL中你必须知道的10件事,1.5万字!
    查看>>
    MySQL中使用IN()查询到底走不走索引?
    查看>>
    Mysql中使用存储过程插入decimal和时间数据递增的模拟数据
    查看>>
    MySql中关于geometry类型的数据_空的时候如何插入处理_需用null_空字符串插入会报错_Cannot get geometry object from dat---MySql工作笔记003
    查看>>
    mysql中出现Incorrect DECIMAL value: '0' for column '' at row -1错误解决方案
    查看>>
    mysql中出现Unit mysql.service could not be found 的解决方法
    查看>>
    mysql中出现update-alternatives: 错误: 候选项路径 /etc/mysql/mysql.cnf 不存在 dpkg: 处理软件包 mysql-server-8.0的解决方法(全)
    查看>>
    Mysql中各类锁的机制图文详细解析(全)
    查看>>
    MySQL中地理位置数据扩展geometry的使用心得
    查看>>
    Mysql中存储引擎简介、修改、查询、选择
    查看>>
    Mysql中存储过程、存储函数、自定义函数、变量、流程控制语句、光标/游标、定义条件和处理程序的使用示例
    查看>>
    mysql中实现rownum,对结果进行排序
    查看>>