@scream
2年前 提问
1个回答

商业密码应用安全性评估怎么做

007bug
2年前

1.测评准备阶段

收集被测系统的相关资料信息,全面掌握被测系统密码使用的详细情况,为测评工作的开展打下基础。

2.方案编制阶段

正确合理确定测评对象、测评边界、测评指标等内容,并依据技术标准、规范编制测评方案、测评结果记录表格,测评方案应通过技术评审并有相关记录。

3.现场测评阶段

严格执行测评方案中的内容和要求,并依据操作规程熟练地使用测评设备和工具,规范、准确、完整地填写测评结果记录,获取足够证据,客观、真实、科学地反映出系统的密码安全防护状况,测评过程应予以监督并记录。特别需要强调的是,测评过程中,要强化对系统数据的获取和分析,能够发现系统的漏洞和密码应用的问题。

4.报告编制阶段

通过对测评数据的综合分析得出被测信息系统密码安全护现状与相应的技术标准要求之间的差距,分析差距可能导致被测系统面临的风险,给出测评结论,形成测评报告,测评报告应依据国家密码管理部门统一编制的报告模板的格式和内容要求编写;测评报告应包括所有测评结果、根据这些结果做出的专业判断,以及理解和解释这些结果所需要的相关信息,以上信息均应正确、准确、清晰地表述。