商用密码应用与安全性评估要点笔记(密码概述、基本原理)
一、密码基础知识
1.1 密码概述
词条 |
内容 |
密码 |
使用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务 |
密码技术 |
密码算法、密码协议、密钥管理 |
密码分类 |
核心密码、普通密码、商用密码(保护不属于国家秘密的信息) |
密码作用 |
保护网络与信息安全。 是基因,是网络安全的核心技术和基础支撑; 是信使,是构建网络信任体系的重要基石; 是卫士,与核技术、航天技术,构成国家三大杀手锏技术,是国之重器,是重要的战略性资源。 |
密码功能 |
信息安全的定义包括CIA,保密性(Confidentiality),完整性(Integrity),可用性(Availability),后发展增加真实性(Authenticity)和不可否认性(Non-repudiation)。 密码四功能:保密性、真实性、完整性和不可否认性。 数据完整性不要求数据来源的可靠性,但真实性一般要依赖于数据完整性。 |
密码应用技术框架 |
密码资源层:序列算法、分组算法、公钥算法、杂凑算法、随机数生产算法->算法软件、算法IP核、算法芯片; 密码支撑层:安全芯片、密码模块、整机; 密码服务层:对称密码服务、公钥密码服务、密码应用服务接口; 密码应用层:安全钉子邮件系统、电子印章、安全公文、桌面安全防护、权限管理、可信时间戳; 密码管理基础设施:提供运维管理、信任管理、设备管理和密钥管理。 |
密码应用中的安全性问题 |
密码技术被弃用,故意忽视密码技术 乱用,不严格、不规范(如验证实体与公钥数字证书的绑定关系) 误用,错误使用、错误配置、使用已经被破解的密码算法 |
1.2 密评基本原理
词条 |
内容 |
密评 |
在采用商用密码技术、产品和服务集成建设的网络与信息系统中,对其密码应用的合规性、正确性和有效性等进行评估。 |
信息安全管理标准 |
ISO/IEC TR13335,国际标准化组织ISO BS7779,BSI英国标准协会,ISO/IEC 27001 信息安全管理体系要求 NIST SP800,美国国家标准与技术研究所 我国GB/T 22080-2016采用国际标准ISO/IEC 27001 合理选择(风险控制和风险平衡原则) |
PDCA管理循环 |
Plan,计划,循环的启动器 Do,实施,以适当的优先权进行管理运作 Check,检查,循环的关键阶段,检查和计划相辅相成 Act,改进,不仅能够解决眼前的问题,还能杜绝类似事故再发生或减低发生的可能性 |
信息安全风险评估的定义 |
NIST SP800-12的定义:分析和解释风险的过程,包括三个基本活动:确定评估的范围和方法、搜集和分析风险相关数据、解释风险评估结果。 |
信息安全风险评估的目的和用途 |
评估目标实体的安全风险。对于可接受风险,只标识、监视不做额外控制;对于不可接受风险,采取措施将其降到可接受范围。 |
信息安全风险评估的基本要素 |
五个方面:资产(安全措施保护的对象)、威胁(人为-有意无意和非人为-自然和环境)、脆弱性(漏洞)、风险(发生的概率和危害大小来衡量)和安全措施(实践规程和机制)。 |
密评在密码应用管理中的定位 |
密评贯穿于密码应用管理过程整个生命周期。Plan-密码应用方案制定和方案评估;Do-密码应用方案实施;Check-初次/定期/应急评估;Act-整改。 CII、网络安全等级保护第三级及以上信息系统,每年至少评估一次。 |
密评与信息安全产品检测的关系 |
GM/T0028-2014《密码模块安全技术要求》,GM/T0039-2015《密码模块安全检测要求》用统一的标准来度量不同类型密码产品的安全等级,采用CC(通用准则)+PP(保护轮廓)+ST(安全目标)模式。密评则类似CC-GB/T39786,PP《金融IC卡发卡系统密码应用要求》,ST-某信息系统密码应用方案 |
密评与信息系统安全的关系 |
除了对信息系统的密码应用安全进行评估,还需要对信息系统的业务和服务安全进行评估(如网络安全等级保护测评)。信息安全的基础-密码应用安全若无法通过则系统通常也不安全。 |
密评与信息安全风险评估的关系 |
密评借鉴了风险评估的原理和方法,存在高风险的信息系统不能通过密评。 |
商用密码应用与安全性评估要点笔记(密码概述、基本原理)相关推荐
- 商用密码应用与安全性评估要点笔记(知识点参考资料汇总)
商用密码应用安全性评估从业人员考核知识点相关参考资料. 词条 内容 密码工作的方针政策 密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑. 党管密码的根本原则.最重要.最根本.最核心的 ...
- 商用密码应用与安全性评估要点笔记(FAQ)
5 商用密码应用安全性评估FAQ汇编 词条 内容 密钥应用基本要求的等级 一般按照信息系统网络安全等级保护的级别确定.对于未完成网络安全等级保护定级的重要信息系统,其密码应用等级至少为第三级. [宜] ...
- 商用密码应用与安全性评估要点笔记(密码发展、密码算法)
1.3 密码发展 词条 内容 创新的动力 信息系统的应用需求和攻击威胁 发展三个阶段 古典密码.机械密码.现代密码 古典密码 代换密码,采用一个代换表将一段明文变换成一段密文.若代换表只有一个,是单表 ...
- 商用密码应用与安全性评估要点笔记(SM9数字签名算法)
1.SM9标识密码算法简介 首先有几个概念需要弄清楚: (1)标识identity,可以唯一确定一个实体身份的信息,且实体无法否认.比如身份证号.手机号.邮箱等. (2)主密钥master key M ...
- 商用密码应用与安全性评估要点笔记(密码标准和产品)
3.5 密码标准和产品 词条 内容 智能IC卡分类 存储器卡,外部可对片内信息任意存储,存放不需要保密的信息 逻辑加密卡,硬件加密逻辑,具备简单的信息处理能力.保密要求较低的场合. 智能CPU卡,如银 ...
- 商用密码应用与安全性评估要点笔记(密码算法ZUC)
1.ZUC算法简介 ZUC算法属于对称密码算法,具体来说是一种序列密码算法或流密码算法.ZUC算法以中国古代数学家祖冲之首字母命令. ZUC算法标准包括三个部分: GMT 0001.1-2012 祖冲 ...
- 商用密码应用与安全性评估要点笔记(密码协议设计、密码功能实现)
1.19 密码协议设计 词条 内容 协议设计与分析 根据经验设计的密钥协议时非常脆弱和危险的,各种未知的攻击会不断涌现.协议安全缺乏安全性证明. 密码协议设计原则 (1)独立完整性原则.(2)消息前提 ...
- 密码学读书笔记系列(三):《商用密码应用与安全性评估》
密码学读书笔记系列(三):<商用密码应用与安全性评估> 思考/前言 第1章 密码基础知识 1.1 密码应用概述 1.2 密码应用安全性评估(密评)的基本原理 1.3 密码技术发展 1.4 ...
- 《商用密码应用与安全性评估》第四章 密码应用安全性评估实施要点-小结
密码应用安全性评估包括:信息系统规划阶段对密码应用方案的评审/评估.建设完成后对信息系统开展的实际测评. 总体要求.物理和环境安全.网络与通信安全.设备与计算安全.应用与数据安全.密钥管理.安全管理 ...
最新文章
- 一个Demo学完Android中所有的服务
- c51汇编语言随机数函数,汇编语言随机数发生器
- ABAP workbench API的使用方法
- 【数据库】一个 rm -rf 把公司整个数据库删没了
- e - 数据结构实验之查找五:平方之哈希表_leetcode算法之哈希表
- java之单例设计模式
- 聊聊rocketmq的SequenceProducerImpl
- LaTeX模板 - FORMCM
- linux系统运行程序设计,seL4的编译和运行
- mfc中插入PNG透明图片
- qt vs tools
- 购买服务器和域名到搭建网站
- 拼多多给羊毛党发年终奖背后的那些事
- win10怎么连接宽带
- python通过代理发送邮件_python发送邮件
- libpython3.7m so静态库_Python3.7:加载共享库时出错:libpython3.7m.so.1.0
- python 继承多个父类_python多继承及父类出现同名方法的处理
- 计算机模型不能预测未来,预测未来是一门艰深的艺术
- postgresql索引_PostgreSQL中的索引— 8(RUM)
- hp 高性能服务器,高密度 高性能 惠普ML110 G7服务器评测