@火凤凰
1年前 提问
1个回答

商用密码应用安全评估包括的主要内容

安全小白成长记
1年前

密评的对象是采用商用密码技术、产品和服务集成建设的网络与信息系统,评估内容包括密码应用安全的三个方面:合规性、正确性和有效性。

  • 商用密码应用合规性评估:商用密码应用合规性评估是指判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规都和密码相关国家标准、行业标准的有关要求,使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。

  • 商用密码应用正确性评估:商用密码应用正确性评估是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确,即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现,自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求,密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。

  • 商用密码应用有效性评估:商用密码应用有效性评估是指判定信息系统中实现的密码保障系统是否在信息系统运行中发挥了实际效用,是否满足了信息系统的安全需求,是否切实解决了信息系统面临的安全问题。