数据保密性测评如何实施

访谈网络管理员，询问信息系统中的网络设备的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他措施实现传输保密性；是否采用加密或其他措施实现存储保密性，密码机制强度是否足够，密钥保护和管理措施是否有效。

访谈系统管理员，询问信息系统中的操作系统的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他措施实现传输保密性；是否采用加密或其他措施实现存储保密性，密码机制强度是否足够，密钥保护和管理措施是否有效。

访谈数据库管理员，询问信息系统中的数据库系统的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他措施实现传输保密性；是否采用加密或其他措施实现存储保密性，密码机制强度是否足够，密钥保护和管理措施是否有效。

访谈安全管理员，询问信息系统中应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他措施实现传输保密性；是否采用加密或其他措施实现存储保密性，密码机制强度是否足够，密钥保护和管理措施是否有效。

访谈安全管理员，询问当使用便携式和移动式设备时，对设备中的敏感信息是否加密存储，密码机制强度是否足够，密钥保护和管理措施是否有效。

检查操作系统、网络设备、数据库管理系统、应用系统的设计/验收文档，查看其是否有关于系统的鉴别信息敏感的系统管理数据和敏感的用户数据采用加密或其他措施实现传输保密性的描述，是否有采用加密或其他措施实现存储保密性的描述。

检查相关证明性材料(重点:招标文件、设计方案和设备技术指标、项目建设过程中的监理文档、建成后的验收材料等)，查看其是否有特定业务通信的通信信道的说明。

测试信息系统中的各种设备、操作系统、数据库系统和应用系统，通过协议分析工具、网络嗅探工具等获取系统传输数据分组，查看其是否采用了加密或其他措施实现传输保密性，并尝试对其进行破解，以验证密码机制强度是否足够。

测试信息系统中的各种设备、操作系统、数据库系统和应用系统，查看鉴别信息敏感数据等在系统中是否进行了加密存储，并尝试对加密存储的内容进行破解，以验证密码机制强度是否足够。

检查信息系统中用于保障数据安全性的专用设备是否通过国家权威机构的认证或检验。