本文共 1293 字,大约阅读时间需要 4 分钟。
商用密码应用安全性评估规则
商用密码应用安全性评估量化评估规则是一套用于对商用密码应用进行安全性评估的标准和方法。该规则旨在通过定量评估的方式,对商用密码应用的安全性进行量化分析和打分,评估其在安全性方面的表现和可信度。
本评估规则主要参考了GB/T 39786—2021和GM/T 0115—2021,涵盖了技术和管理两个方面,共计8个安全层面。每个安全层面下均设置了具体的测评单元,且每个测评单元都有其独特的权重分配。
一、安全层面与测评单元
安全层面分为技术层面和管理层面,共计8个层面,每个层面下有不同的测评单元。具体如下:
物理和环境安全
- 身份鉴别
- 电子门禁记录数据存储完整性
- 视频记录数据存储完整性
网络和通信安全
- 身份鉴别
- 通信数据完整性
- 重要数据的机密性
- 网络边界访问控制信息的完整性
- 安全接入认证
设备和计算安全
- 远程管理通道安全
- 系统资源访问控制信息完整性
- 重要信息资源安全标记完整性
- 日志记录完整性
- 重要可执行程序的完整性及来源真实性
应用和数据安全
- 访问控制信息完整性
- 重要信息资源安全标记完整性
- 重要数据的机密性
- 重要数据的存储机密性
- 重要数据的传输机密性
- 重要数据的传输完整性
- 重要数据的存储完整性
- 不可否认性
管理制度
- 密钥管理规则
- 操作规程
- 安全管理制度的修订
- 管理制度的发布流程
- 制度执行过程的记录
人员管理
- 上岗人员的培训
- 人员安全岗位考核
- 关键岗位人员保密制度
建设运行
- 密钥安全管理策略
- 密钥安全管理实施方案
- 密钥安全性评估
应急处置
二、量化评估框架
本评估规则从三个方面进行量化评估:
密码使用有效性(Cryptography Deployment effectiveness):评估密码技术是否被正确使用,以满足信息系统的安全需求。 密码算法/技术合规性(Cryptography Algorithm/Technique compliance):评估密码算法和技术是否符合国家和行业标准。 密钥管理安全(Key management security):评估密钥的全生命周期管理是否安全。 三、量化评估规则
测评对象评估规则
- 每个测评对象的评估结果基于0(不符合)至1(完全符合)进行量化。
- 对于弥补情况,采用最大值规则,即取补充前分值的50%和补充后分值中的较大值。
测评单元评估规则
- 每个测评单元的评估结果为测评对象评估结果的算术平均值。
安全层面评估规则
- 每个安全层面的评估结果为测评单元评估结果的加权平均值,权重由表4提供。
四、量化评估阈值
本评估规则采用GM/T 0115—2021中的得分阈值为60分,若综合得分不低于60分视为合格。
五、测评结论
根据评估结果,信息系统的安全性评估结论分为以下几种:
符合:所有测评单元均无不符合项,综合得分为100分。 基本符合:存在少量安全问题,但不影响系统整体安全性,综合得分不低于60分。 不符合:存在重大安全问题,可能导致系统安全风险,综合得分低于60分。 通过本评估规则,可以全面量化评估商用密码应用的安全性,确保其在技术和管理两个方面均达到相应的安全标准。
转载地址:http://rvpez.baihongyu.com/