20221426马泽艺 商用密码应用安全性评估量化评估

最新推荐文章于 2025-08-16 12:52:19 发布
原创 最新推荐文章于 2025-08-16 12:52:19 发布 · 800 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记

1.学习笔记

设计初衷与背景

  • 传统的密码检测侧重于算法实现的正确性、接口正确性和密钥的安全性,但缺乏一个量化的评价指标来衡量系统的安全性,从而无法全面评估从密码安全到密码应用再到系统安全的过渡过程中的安全状况。
  • 从密码的安全到密码应用再到系统安全,存在很多过渡过程。因此,需要一个量化的评价指标来衡量系统的安全性。

主要原则

  • 量化评估规则的设计和实施必须遵循国家法律法规和最新的相关指导性文件,确保评估活动的合法性和合规性。
  • 特别鼓励使用合规的密码算法、技术、产品、服务,以提高信息系统的安全性。
  • 在网络和通信安全层面、应用和数据安全层面优先推进密码技术的应用,以加强这些关键领域的安全防护。

量化评估步骤

  • 完成整体测评后,对每个测评项的结果进行打分。
  • 每个测评单元的得分汇总到安全层面得分,最终得到总体得分。
  • 量化评估应在所有修正和弥补措施完成后进行。

量化评估框架(Dak模型)

  • 最底层:密钥管理安全
  • 中间层:密码算法和技术安全
  • 最上层:密码使用安全

评分标准

  • 使用认证合格的密码产品且算法合规、配置正确得满分。
  • 如果存在不合规的情况,根据具体情形给予部分分数。
  • 如果产品未经认证或不满足安全等级要求,则不得分。

特殊说明

  • 对于同一个测评对象涉及多个密码组件时,按照最低分值给分。
  • 密钥管理要求的评价不单独进行,而是结合具体测评指标。
  • 权重表中对不同指标赋予不同的权重,以
最低0.47元/天 解锁文章

200万优质内容无限畅学
m0_73702429
关注
商用密码安全性评估
longyurenzheng的博客
11-08 2612
商用密码应用安全性评估(简称“密评”)在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性等进行评估。01办理依据GM/T0054-2018《信息系统密码应用基本要求》《信息系统密码评要求(试行)》《商用密码应用安全性评估评过程南(试行)》《商用密码应用安全性评估管理办法(试行)》《商用密码应用安全性评估作业导书》《商用密码应用安全性评估评工具使用需求说明书》02密评对象密评工作的责任主体是涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、
【安全与风险】恶意软件-概念、攻击和检
qq_53058639的博客
01-24 1692
Malware一词是恶意软件的缩写。恶意软件是任何以破坏设备、窃取数据为目的编写的软件,通常会造成混乱。通常,他们只是想赚钱,要么自己传播恶意软件,要么把它卖给暗网上出价最高的人。然而,创建恶意软件也可能有其他原因——它可以被用作抗议的工具,一种安全性的方法,甚至是政府之间的战争武器。
【1】2023版密评算分工具
司徒荆的博客
11-02 1421
工具根据商用密码应用安全性评估量化评估规则(2023年8月1日实施)实现
如何开展云平台密评工作
热门推荐
weixin_44055230的博客
04-01 1万+
1.背景 云计算目前大家都很熟悉了,为了降低系统的成本或者打通数据的融合,许多企业事业单位的系统都选择部署在云上。云计算技术由于使用虚拟化等技术,其网络等边界相对而言是很模糊的,而部署在云平台上的系统,其安全风险也随之增加。实际评中,我们经常会碰到云平台和云租户业务应用系统密码应用(以下称为“云上应用”)的密评。 2.云平台评的责任和范围 我们可以依据《商用密码应用安全性评估FAQ》第19条的内容,当我们对运行在云平台上的云上应用进行评时原则上要完成两部分评工作: (1) 当我们对云平台自身
密评实战之设备和计算安全
2301_80331596的博客
11-17 2418
密评、设备和计算安全
商用密码应用安全性评估量化评估
weixin_72688684的博客
12-01 2623
通过上述方法,将商用密码应用安全性评估的原则应用于实验4中,可以有效提高电子公文交换系统的安全性,符合相关标准和要求,并确保系统的长期稳定运行。
商用密码应用安全性评估量化评估规则.pdf
03-23
商用密码应用安全性评估量化评估规则》是中国密码学会密评联委会制定的一份规范文档,旨在为信息系统的密码应用提供量化的安全性评估方法。这份规则依据GB/T AAAAA《信息安全技术 信息系统密码应用基本要求》和GM/...
商用密码应用安全性评估量化评估规则(2023版)-20230717
11-09
商用密码应用安全性评估量化评估规则(2023版)》是中国密码学会密评联委会发布的一份重要导文件,旨在为商用密码在信息系统中的应用提供安全性评估标准。该规则于2023年7月17日发布,并于同年8月1日起正式实施...
商用密码应用安全性评估量化评估规则-2023版
06-17
### 商用密码应用安全性评估量化评估规则解析 #### 一、概述 《商用密码应用安全性评估量化评估规则-2023版》是中国密码学会密评联委会在2023年发布的最新版本,旨在为商用密码应用安全性评估提供一套标准化、...
4.商用密码应用安全性评估量化评估规则.pdf
12-09
商用密码应用安全性评估量化评估规则》的出台,主要参考了GB/T AAAAA《信息安全技术 信息系统密码应用基本要求》和GM/T BBBB《信息系统密码应用评要求》两项标准。这些标准不仅明确了密码技术在信息系统中的应用...
密评:物理和环境层面
共勉
05-08 4205
①电子门禁设备照片、电子门禁卡(智能IC卡)照片、智能IC卡的商用密码产品认证证书照片、门禁读卡器(门禁设备)商用密码产品认证证书(注有密码模块等级)、密钥注入器和门禁发卡器照片、智能IC卡的发卡界面截图、智能IC卡密钥注入代码实现的截图、PSAM卡发卡界面截图、PSAM卡密钥注入实现代码的截图、智能IC卡试验证通过的截图、错误门禁卡和非授权门禁无法打开门禁验证截图、机房进出记录登记表照片、系统在机房的物理监控画面照片等(后两个证据主要用作缓解措施)等。
商用密码应用安全性评估——密码算法与技术1】
m0_59383210的博客
04-07 1185
商用密码应用安全性评估——密码算法与技术1简单介绍了对称密码算法,分为分组密码算法和序列密码算法及其安全强度
商用密码应用安全性评估要点笔记(FAQ)
ryanzzzzz的博客
03-11 7578
(1)网络和通信层面:主要包括部署在网络边界的VPN中的访问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等进行网络边界访问控制的信息。云平台系统的密码应用:(1)云平台系统为满足自身安全需求所采用的密码技术(2)云租户通过调用云平台提供的密码服务为自身业务应用提供密码保障。(仅用在云上应用而不用在云平台,或者服务于云平台和云上应用的不同评对象,因此无法在云平台评时进行完全评估只能部分评估)。在云应用/平台评中,将密码资源池的密码管理平台作为应用和数据安全层面的一个管理类应用系统进行评。
商用密码应用安全性评估量化评估(课下作业)
m0_74101522的博客
11-29 916
按照商⽤密码应⽤安全性评估量化评估规则,计算电子公文交换系统在应用和数据安全层面的得分,具体评估标可参考文稿中相关内容,如密码算法的合规性、密钥管理的安全性、访问控制的有效性等。通过量化评估,发现系统在应用和数据安全方面存在的问题和不足,及时进行整改和优化,提高系统的安全性
https和ssl网关在各安全层面的应用场景及评要点
ryanzzzzz的博客
04-02 2039
HTTPS 在HTTP 的基础下加入SSL,HTTPS 的安全基础是 SSL,https协议的实现主要是在浏览器和应用服务器之间,具体实现方式五花八门,比如基于Apache、Tomcat、Ngnix、websphere之类的webserver配置https,甚至可以使用python等语言实现https服务器;在安全性上,ssl v**大于https,这是因为ssl v**对客户端的身份鉴别(支持多种认证方式),同时V**作为密码产品检认证,具备安全等级,合规性更强,安全需求满足更有保障。
商用密码应用安全性评估要点笔记(密评技术评要求)
ryanzzzzz的博客
03-09 3444
评实施:算法、技术、产品、服务符合通用要求;核查是否采用基于对称密码算法或密码杂凑算法的MAC,基于公钥密码算法的数字签名对通信实体进行身份鉴别(1-3级)或双向鉴别(4级),实现机制是否正确有效。核查是否采用(1)动态口令机制(2)基于对称密码算法或密码杂凑算法的MAC(3)基于公钥密码算法的数字签名机制进行身份鉴别,实现机制是否正确和有效。核查是否采用基于对称密码算法或密码杂凑算法的MAC,基于公钥密码算法的数字签名对通信过程中的数据进行完整性保护,实现机制是否正确有效。
关于密码评,你必须了解的10个基本问题
qcloud_security的博客
05-28 9342
当今世界,网络空间已成为继陆、海、空、天同等重要的人类“第五空间”。网络空间正在加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域、国家安全的新战场。密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,是国家安全的重要战略资源,也是国家实现安全可控信息技术体系弯道超车的重要突破口。 近年来,国内外大规模数据泄露事件频发,尤其是国际国内安全形势的变化,使国家、企业和个人层面做好网络与信息安全的必要性更加突出,对网络与信息安全要求日趋严格, 也对使用密码技术来保护网络安全也提出了更高要求。但是国内
[Linux]学习笔记系列 -- [block][\bdev]
wdfk_prog的博客https://github.com/wdfk-prog/linux-study
08-14 738
本文介绍了Linux内核中块设备相关的关键代码实现。首先展示了bdev_inode结构体及其转换宏BDEV_I,用于连接块设备与VFS inode。其次说明了bdev_cache_init函数,它初始化块设备缓存,创建专用伪文件系统。最后分析了copy_io函数,处理进程克隆时的I/O上下文共享逻辑,根据CLONE_IO标志决定是否共享父进程的I/O优先级设置。这些机制共同构成了Linux内核块设备管理的基础设施。
【数据库】Oracle学习笔记整理之五:ORACLE体系结构 - 参数文件与控制文件(Parameter Files & Control Files)
最新发布
FixPng的博客
08-16 432
格式:分为两种类型SPFILE(服务器参数文件):二进制格式,不可直接编辑(可 strings 查看);PFILE(文本初始化文件):纯文本格式,可通过文本编辑器修改。默认目录:Unix/Linux系统中默认路径为;常见名称(如)、spfile.ora(默认名称);(如格式:二进制文件,不可通过文本编辑器直接修改;默认目录:路径由参数文件的参数定(如常见名称:通常命名为(按副本序号区分)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值