商用密码安全性评估是什么
商用密码应用安全性评估简称“密评”,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、等保三级及以上系统、国家政务等重要信息系统要开展密评工作。并且,密评管理办法也明确规定:关键信息基础设施、网络安全等级保护第三级及以上信息系统,需要每年至少评估一次。
密评工作主要包括两部分内容:一是信息系统规划阶段的密码应用方案评估,这一环节主要用于保证建设方案的安全性;二是信息系统建设完成后针对该系统开展现场测试。
依据测评工作流程,有计划有步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制,主要包括四个阶段:
测评准备阶段
收集被测系统的相关资料信息,全面掌握被测系统密码使用的详细情况,为测评工作的开展打下基础。
方案编制阶段
正确合理确定测评对象、测评边界、测评指标等内容,并依据技术标准、规范编制测评方案、测评结果记录表格,测评方案应通过技术评审并有相关记录。
现场测评阶段
严格执行测评方案中的内容和要求,并依据操作规程熟练地使用测评设备和工具,规范、准确、完整地填写测评结果记录,获取足够证据,客观、真实、科学地反映出系统的密码安全防护状况,测评过程应予以监督并记录。特别需要强调的是,测评过程中,要强化对系统数据的获取和分析,能够发现系统的漏洞和密码应用的问题。
报告编制阶段
通过对测评数据的综合分析得出被测信息系统密码安全护现状与相应的技术标准要求之间的差距,分析差距可能导致被测系统面临的风险,给出测评结论,形成测评报告,测评报告应依据国家密码管理部门统一编制的报告模板的格式和内容要求编写;测评报告应包括所有测评结果、根据这些结果做出的专业判断,以及理解和解释这些结果所需要的相关信息,以上信息均应正确、准确、清晰地表述。