商用密码应用安全性测评方案编制流程
密评方案编制的目标是完成测评准备活动中获取的信息系统相关资料整理,为现场测评活动提供最基本的文档和指导方案。
按照《GM-T 0116-2021 信息系统密码应用测评过程指南》标准,密评方案编制包括5项关键任务,简要汇总如下表。
| 编号 | 任务 | 输入文档 | 输出文档 | 具体内容 |
| 1 | 确定测评对象 | 完成的调查表格、各种与被测信息系统相关的技术资料 | 密评方案的测评对象部分 | 被测信息系统的整体结构、边界、网络区域、核心资产、面临的威胁、测评对象等 |
| 2 | 确定测评指标 | 完成的调查表格、GMT0115、通过评估的密码应用方案、相关行业标准或规范 | 密评方案的测评指标部分 | 被测信息系统相应等级对应的适用和不适用的测评指标 |
| 3 | 确定测评检测点 | 被测信息系统详细网络结构,选用的密码算法、密码技术、密码产品、密码服务等详细信息,通过评估的密码应用方案和GMT0115 | 密评方案的测评检查点部分 | 测评检测点、检查内容及测评方法 |
| 4 | 确定测评内容 | 完成的调查表格,密评方案的测评对象、测评指标及测评检查点部分,通过评估的密码应用方案和GMT0115 | 密评方案的单元测评实施部分 | 单元测评实施内容 |
| 5 | 编制密评方案 | 委托测评协议书,项目计划书,完成的调查表格,通过评估的密码应用方案和GMT0115,密评方案中测评对象、测评指标、测评检查点、测评内容等部分 | 经过评审和确认的密评方案文本 | 项目概述、测评对象、测评指标、测评检查点、单元测评实施内容、测评实施计划等 |
一、确定测评对象
分析整个被测信息系统及其涉及的业务应用系统,以及相关的密码应用情况,确定测评的测评对象。
| 编号 | 任务名称 | 具体内容 |
| 1.1 | 识别被测信息系统的基本情况 | 整理识别出被测信息系统内 (1)物理环境(机房) (2)网络拓扑结构及外部边界连接 (3)业务应用系统 (4)计算机硬件设备 (5)网络安全设备 (6)密码产品和使用的密码服务 (7)识别出以上所有相关的密码应用流程情况 |
| 1.2 | 描述被测信息系统 | (1)描述整体结构 (2)描述外部边界连接情况和边界主要设备 (3)描述网络区域组成、主要业务功能及相关设备节点 (4)描述涉及的所有密码应用流程情况 |
| 1.3 | 确定测评对象 | (1)确定需要保护的核心资产(包括业务应用、业务数据或者业务应用的某些设备、组件) (2)确定其他需要保护的配套数据(审计信息、配置信息、访问控制列表等)、敏感安全参数(密钥) (3)相关的威胁模型和安全策略 |
| 1.4 | 资产和威胁评估 | (1)确定资产价值(重要性和关键程度),分为高-中-低等级 (2)确定可能的威胁发生频率,分为高-中-低等级 |
| 1.5 | 描述测评对象 | 按照测评对象分类,采用列表形式对每类测评对象进行描述。测评对象一般包括:机房、业务应用软件、主机和服务器、数据库、具备密码功能的网络安全产品、密码产品、密码服务、系统相关人员及安全管理制度类文档和记录表单类文档等。 |
二、测评指标确定
根据系统定级结果以及通过评估的密码应用方案,确定本次测评的测评指标。
| 编号 | 任务名称 | 具体内容 |
| 2.1 | 选择相应等级对应的测评指标 | 根据定级结果、GMT0115选择出所有测评指标 |
| 2.2 | 确定特殊测评指标 | 根据被测系统相关行业标准或规范,以及被测信息系统密码应用需求,确定特殊测评指标 |
| 2.3 | 确定测评指标适用性 | 按照被测信息系统的安全策略、相关标准要求,对照已通过评估的密码应用方案逐项确认各项指标的适用性 |
| 2.4 | 核查所有不适用项 | 对所有不适用项进行逐条核查、评估、详细论证其安全需求、不适用的具体原因、以及是否采用了可满足安全要求的其他替代风险控制措施(特别是无密码应用方案的情况下) |
三、测评检查点确定
需要对一些关键点进行现场检查确认(如抓包测试、查看关键设备配置等方法),以防止密码产品、密码服务虽然被正确配置、但是未接入被测信息系统之类的情况发生,从而确认密码算法、密码技术、密码产品和密码服务的合规、正确和有效性。在测评方案中确定检查点,并且充分考虑到检查的可行性和风险,能最大限度的避免对被测信息系统的影响,尤其应避免对在线运行业务系统造成影响。
| 编号 | 任务名称 | 具体内容 |
| 3.1 | 列出需要接受现场检查的关键设备和检查内容 | 关键设备一般为承载核心资产流转、进行密钥管理的设备。检查内容包括: (1)密码算法、密码技术(协议和密码管理)、密码产品和服务 (2)相关配置是否与密码应用需求相符 (3)是否满足GMT0115中的相关条款要求 |
| 3.2 | 确定测试路径和工具接入点 | 结合网络拓扑图,用图示的方式描述测评工具的接入点、测试目的、测试途径和测试对象等相关内容 |
四、测评内容确定
确定各单元测评实施内容(以表格形式给出,表格内容包括测评指标、测评内容描述等)。
| 编号 | 任务名称 | 具体内容 |
| 4.1 | 确定可以具体实施测评的单元 | 将各层面上的测评指标结合到具体的测评对象上,并说明具体的测评方法 |
| 4.2 | 确定单元测评实施的工作内容 | 结合已选定的测评指标和测评对象,概要说明现场单元测评实施的工作内容 |
| 4.3 | 确定现场测评测试内容 | 涉及现场测评部分时,应根据确定的测评检查点,编制相应的测试内容 |
五、密评方案编制
| 编号 | 任务名称 | 具体内容 |
| 5.1 | 整理项目信息及相关概述 | 项目来源、被测单位整体信息化建设情况及被测信息系统与其他信息之间的连接情况等 |
| 5.2 | 整理测评依据 | 明确测评活动所要依据和参考的与密码算法、密码技术、密码产品和密码服务等相关的标准规范 |
| 5.3 | 估算现场测评工作量 | 具体根据配置检查的节点数量、工具测试的接入点及测试内容等情况估算 |
| 5.4 | 编制工作安排 | 基于项目组成员分工,编制工作安排 |
| 5.5 | 编制测评实施计划 | 包括现场工作人员的分工和时间安排(避免业务高峰;测评要求一并提出) |
| 5.6 | 汇总形成密评方案 | 汇总以上所有内容及方案编制活动中其他任务获取的内容,形成密评方案 |
| 5.7 | 方案内部评审 | 密评方案经测评方内部评审通过 |
| 5.8 | 被测单位确认 | 测评方评审通过的密评方案提交被测单位签字确认 |
相关文章:
商用密码应用安全性测评方案编制流程
密评方案编制的目标是完成测评准备活动中获取的信息系统相关资料整理,为现场测评活动提供最基本的文档和指导方案。 按照《GM-T 0116-2021 信息系统密码应用测评过程指南》标准,密评方案编制包括5项关键任务,简要汇总如下表。 编号任务输入文…...
Elasticsearch 集群部署插件管理及副本分片概念介绍
Elasticsearch 集群配置版本均为8以上 安装前准备 CPU 2C 内存4G或更多 操作系统: Ubuntu20.04,Ubuntu18.04,Rocky8.X,Centos 7.X 操作系统盘50G 主机名设置规则为nodeX.qingtong.org 生产环境建议准备单独的数据磁盘主机名 #各自服务器配置自己的主机名 hostnamectl set-ho…...
Liunx 套接字编程(2)TCP接口通信程序
1.TCP通信程序的编写 面向连接、可靠传输、提供字节流传输服务 客户端向服务器发送一个连接建立的请求流程,上图中服务端第三步详细流程 2.TCP接口 socket--创建套接字 int socket(int domain, int type, int protocol); bind---绑定 intbind(int sockfd, struct s…...
8年开发经验,浅谈 API 管理
随着信息化飞速增长的还有各信息系统中的应用接口(API),API作为信息系统内部及不同信息系统之间进行数据传输的渠道,其数量随着软件系统的不断庞大而呈指数型增长,如何管理这些API已经在业界变得越来越重要,…...
【软考备战·四月模考】希赛网四月模考软件设计师上午题
文章目录 一、成绩报告二、错题总结第一题第二题第三题第四题第五题第六题第七题第八题第九题第十题第十一题第十二题第十三题第十四题第十五题第十六题第十七题第十八题第十九题第二十题第二十一题第二十二题 三、知识查缺 题目及解析来源:2023上半年软考-模考大赛…...
MySQL中的@i:=@i+1用法详解
在MySQL中,i:i1是一个非常有用的表达式,用于在查询中生成一个递增的序列号。它可以帮助我们对结果进行编号,或者在需要连续的数字序列时提供便利。 我们先来了解一下MySQL中的用户变量。用户变量是一个用户定义的变量,其以开头。…...
web安全第一天 ,域名,dns
第一天 什么是域名?域名就是网络地址 在hhtp之后的就是域名 域名在哪里注册呢 国内注册商有很多,在网络上搜索一下阿里云万网就可以注册 什么是二级域名和多级域名 域名通常都是www.开头 ,而www.被称为顶级域名,在搜索的时候…...
【Linux】Linux编辑神器vim的使用
目录 一、Vim的基本概念 二、Vim的基本操作 1、进入vim 2、正常模式切换至插入模式 3、插入模式切换至正常模式 4、正常模式切换至底行模式 5、退出Vim编辑器 三、Vim正常模式命令集 1、移动光标 2、删除文字 3、复制 4、替换 5、撤销 四、Vim底行模式命令集 1、列出行号 2、光…...
vulnhub渗透测试靶场练习1
靶场介绍 靶场名:Medium_socialnetwork 下载地址:https://www.vulnhub.com/entry/boredhackerblog-social-network,454/ 环境搭建 靶机建议选择VM VirtualBox,我一开始尝试使用VMware时会报错,所以改用VM VirtualBox,攻击机使用…...
Uart,RS232,RS485串口通讯协议学习
目录 定义 UART(通常被称为串口,简单意味着使用广泛,具有普适性) RS232 RS232电平转换 RS485 -Recommended Standard (再推荐标准) 485和232的对比 RS485组网 总结 定义 串口是我们都很熟悉的,尤其是需要串口调试的时候,打印信息插…...
UML中的assembly关系
UML中的assembly关系 1.什么是Assembly关系 在UML(统一建模语言)中,"assembly"(组装)是一种表示组件之间关系的关联关系。组件是系统中可替换和独立的模块,可以通过组装来构建更大的系统。 当一…...
[Python]缓存cachetools与TTLCache简介
文章目录 cachetools缓存策略缓存操作 TTLCache cachetools是一个Python第三方库,提供了多种缓存算法的实现。 cachetools 使用前需要先安装pip install cachetools,说明文档参见https://cachetools.readthedocs.io/en/latest/。 cachetools提供了五种…...
现在的00后,真是卷死了呀,辞职信已经写好了·····
都说00后躺平了,但是有一说一,该卷的还是卷。这不,三月份春招我们公司来了个00后,工作没两年,跳槽到我们公司起薪23K,都快接近我了。 后来才知道人家是个卷王,从早干到晚就差搬张床到工位睡觉了…...
【wpf】列表类,用相对源时,如何绑定到子项
前言 在之前的一篇文章 :《【wpf】深度解析,Binding是如何寻找数据源的》https://blog.csdn.net/songhuangong123/article/details/126195727#:~:text%E3%80%90wpf%E3%80%91%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90%EF%BC%8CBinding%E6%98%AF%E5%A6%82%E4…...
头歌计算机组成原理实验—运算器设计(3)第3关:4位快速加法器设计
第3关:4位快速加法器设计 实验目的 帮助学生掌握快速加法器中先行进位的原理,能利用相关知识设计4位先行进位电路,并利用设计的4位先行进位电路构造4位快速加法器,能分析对应电路的时间延迟。 视频讲解 实验内容 利用前一步设…...
Java中synchronized的优化
本文介绍为了实现高效并发,虚拟机对 synchronized 做的一系列的锁优化措施 高效并发是从 JDK5 升级到 JDK6 后一项重要的改进项,HotSpot 虚拟机开发团队在 JDK6 这个版本上花费了大量的资源去实现各种锁优化技术,如适应性自旋(Ada…...
软件测试技术课程:软件测试流程
软件测试流程如下: 测试计划测试设计测试执行 单元测试集成测试确认测试系统测试验收测试回归测试验证活动 测试计划 测试计划由测试负责人来编写,用于确定各个测试阶段的目标和策略。这个过程将输出测试计划,明确要完成的测试活动&#x…...
【Redis】聊一下缓存双写一致性
缓存虽然可以提高查询数据的的性能,但是在缓存和数据 进行更新的时候 其实会出现数据不一致现象,而这个不一致其实可能会给业务来带一定影响。无论是Redis 分布式缓存还是其他的缓存机制都面临这样的问题。 数据不一致是如何发生? 数据一致…...
Java学习笔记-04
目录 静态成员 mian方法 多态 抽象类 接口 内部类 成员内部类 静态内部类 方法内部类 匿名内部类 静态成员 static关键字可以修饰成员方法,成员变量被static修饰的成员,成员变量就变成了静态变量,成员方法就变成了静态方法static修…...
pubspec.yaml 第三方依赖版本控制
以下是一些常见的版本控制方式: 精确版本号:您可以指定特定的版本号,例如 dependency_name: 1.2.3。这将确保只有指定的版本被安装和使用。 范围约束:您可以使用比较运算符来指定版本范围,例如 dependency_name: ^1.2…...
KubeSphere 容器平台高可用:环境搭建与可视化操作指南
Linux_k8s篇 欢迎来到Linux的世界,看笔记好好学多敲多打,每个人都是大神! 题目:KubeSphere 容器平台高可用:环境搭建与可视化操作指南 版本号: 1.0,0 作者: 老王要学习 日期: 2025.06.05 适用环境: Ubuntu22 文档说…...
龙虎榜——20250610
上证指数放量收阴线,个股多数下跌,盘中受消息影响大幅波动。 深证指数放量收阴线形成顶分型,指数短线有调整的需求,大概需要一两天。 2025年6月10日龙虎榜行业方向分析 1. 金融科技 代表标的:御银股份、雄帝科技 驱动…...
基于距离变化能量开销动态调整的WSN低功耗拓扑控制开销算法matlab仿真
目录 1.程序功能描述 2.测试软件版本以及运行结果展示 3.核心程序 4.算法仿真参数 5.算法理论概述 6.参考文献 7.完整程序 1.程序功能描述 通过动态调整节点通信的能量开销,平衡网络负载,延长WSN生命周期。具体通过建立基于距离的能量消耗模型&am…...
VB.net复制Ntag213卡写入UID
本示例使用的发卡器:https://item.taobao.com/item.htm?ftt&id615391857885 一、读取旧Ntag卡的UID和数据 Private Sub Button15_Click(sender As Object, e As EventArgs) Handles Button15.Click轻松读卡技术支持:网站:Dim i, j As IntegerDim cardidhex, …...
WordPress插件:AI多语言写作与智能配图、免费AI模型、SEO文章生成
厌倦手动写WordPress文章?AI自动生成,效率提升10倍! 支持多语言、自动配图、定时发布,让内容创作更轻松! AI内容生成 → 不想每天写文章?AI一键生成高质量内容!多语言支持 → 跨境电商必备&am…...
如何在最短时间内提升打ctf(web)的水平?
刚刚刷完2遍 bugku 的 web 题,前来答题。 每个人对刷题理解是不同,有的人是看了writeup就等于刷了,有的人是收藏了writeup就等于刷了,有的人是跟着writeup做了一遍就等于刷了,还有的人是独立思考做了一遍就等于刷了。…...
深度学习习题2
1.如果增加神经网络的宽度,精确度会增加到一个特定阈值后,便开始降低。造成这一现象的可能原因是什么? A、即使增加卷积核的数量,只有少部分的核会被用作预测 B、当卷积核数量增加时,神经网络的预测能力会降低 C、当卷…...
云原生玩法三问:构建自定义开发环境
云原生玩法三问:构建自定义开发环境 引言 临时运维一个古董项目,无文档,无环境,无交接人,俗称三无。 运行设备的环境老,本地环境版本高,ssh不过去。正好最近对 腾讯出品的云原生 cnb 感兴趣&…...
在Mathematica中实现Newton-Raphson迭代的收敛时间算法(一般三次多项式)
考察一般的三次多项式,以r为参数: p[z_, r_] : z^3 (r - 1) z - r; roots[r_] : z /. Solve[p[z, r] 0, z]; 此多项式的根为: 尽管看起来这个多项式是特殊的,其实一般的三次多项式都是可以通过线性变换化为这个形式…...
莫兰迪高级灰总结计划简约商务通用PPT模版
莫兰迪高级灰总结计划简约商务通用PPT模版,莫兰迪调色板清新简约工作汇报PPT模版,莫兰迪时尚风极简设计PPT模版,大学生毕业论文答辩PPT模版,莫兰迪配色总结计划简约商务通用PPT模版,莫兰迪商务汇报PPT模版,…...