1.2.密码应用安全性评估基本原理
①概念:商用密码应用安全性评估(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。
②管理的必要性:纯粹依靠技术手段建立的信息安全保障体系无法达到对整个系统的安全保护。
③管理标准:国际上比较重要的信息安全管理标准有 ISO/IEC TR13335、BS7799、NIST SP800 系列等。2000 年 12 月,BS7799- 1 通过国际标准化组织认可,正式成为国际标准 ISO 17799,2005 年,改版后的 BS7799-2 成为 ISO/IEC 27001, 即信息安全管理体系要求。我国信息安全管理 标准 GB/T 22080-2016《信息技术 安全技术 信息安全管理体系要求》就是等同 采用的国际标准 ISO/IEC 27001:2013。
④PDCA管理循环:即Plan-Do-Check-Act管理循环,是一种经典的信息管理过程管理方式。PDCA管理环由美国质量管理专家休哈特提出,由美国质量管理家戴明普及,故由称“戴明环”。
⑤Plan——计划,建立信息安全管理体系环境;Do——实施并运行信息安全管理体系;Check——检查,监视并评审信息安全管理体系;Act——改进,改进信息安全管理体系。
⑥信息系统的安全风险,是由来自于自然、环境或人为的威胁,利用系统存在 的脆弱性,给系统造成负面影响的潜在可能。
⑦GB/T 20984-2007《信息安全技术信息安全风险评估规范》对信息安全风险 评估的定义是:依据国家有关信息技术标准,运用相应的技术手段和方法,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进 行评价的过程。包括三个基本活动:确定评估范围和方法,搜集和分析风险 相关数据,解释风险评估结果。
⑧信息安全风险评估的基本要素:资产、威胁、脆弱性、风险和安全措施。资产是对组织有价值的信息或者资源,包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等;威胁包括人为威胁(故意和无意)和非人为威胁(自然和环境),风险评估关心的时威胁发生的可能性;脆弱性也称为漏洞,即可能被威胁利用的资产的薄弱环节,风险评估过程中要识别脆弱性,并评估脆弱性的严重性和可被利用的容易程度;风险即威胁发生时给组织带来的直接或间接的损失或伤害,可用其发生的概率和危害的大小来度量;安全措施时保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施、规程和机制。
1.2.密码应用安全性评估基本原理相关推荐
- 杨元原博士国密课堂 · 第二期 | 商用密码应用安全性评估:Part2. 商用密码算法
#国密课堂# 第二期 商用密码应用 安全性评估 Part 2. 商用密码算法 在第一期国密课堂 中,杨博士带大家简单了解了密码算法的概念.第二期杨博士带我们继续走近商用密码应用安全性评估领域,进一 ...
- 【国内首家!】阿里云专有云通过商用密码应用安全性评估
简介:阿里云凭借自研飞天云操作系统的全方位安全能力,成为国内首家通过云平台密评的云厂商. 近日,国内首个针对云平台的商用密码应用安全性评估(以下简称密评)结果出炉.阿里云凭借自研飞天云操作系统的全方位 ...
- 《商用密码应用与安全性评估》第四章 密码应用安全性评估实施要点-小结
密码应用安全性评估包括:信息系统规划阶段对密码应用方案的评审/评估.建设完成后对信息系统开展的实际测评. 总体要求.物理和环境安全.网络与通信安全.设备与计算安全.应用与数据安全.密钥管理.安全管理 ...
- 商用密码应用安全性评估量化评估规则(2021版)
量化评估框架 参考 GM/T BBBB<信息系统密码应用测评要求>,本规则从三个方面进行量化评估: 密码使用安全(Cryptography Deployment security)是指,密 ...
- 商用密码应用安全性评估(密评)六大基础问题解答
2021年3月9日,国家市场监管总局.国家标准化管理委员会发布公告,正式发布国家标准GB/T39786-2021<信息安全技术 信息系统密码应用基本要求>,该标准将于2021年10月1日起 ...
- 商用密码应用与安全性评估之(四)密码应用安全性评估实施要点
商用密码应用与安全性评估之(四)密码应用安全性评估实施要点 商用密码应用安全性评估的主要内容 1. 评估依据和基本原则 2. 评估主要内容 1) 商用密码应用合规性评估 2) 商用密码应用正确性评估 ...
- 密评(商用密码应用安全性评估)
密评的全称,商用密码应用安全性评估,是指在采用商用密码技术.产品和服务集成建设的网络和信息系统中,对其密码应用的合规性.正确性和有效性进行评估. 即按照有关法律法规和标准规范,对网络与信息系统使用商用 ...
- 《密码法》之商用密码应用安全性评估----六问
密评六大基础问题解答 商用密码应用安全性评估,以下简称密评: Q1:运营单位怎么判定是否需要开展商用密码应用安全性评估? 1)<密码法>第二十七条 法律.行政法规和国家有关规定要求使用商用 ...
- 附下载 | 图解密评联委会《商用密码应用安全性评估FAQ(第二版)》
密码作为保障数据安全的核心技术和基础支撑,已经渗透到社会生产生活的方方面面,在维护国家安全.促进经济社会发展.保护人民群众利益等方面发挥着不可替代的重要作用.近年来,我国陆续出台<密码法> ...
最新文章
- 学习全基因组测序数据分析1:测序技术
- linux计时函数的使用
- 医学研究——造福全人类
- Spring mvc集成log4j2
- mysql报错:Reading table information for completion of table and column names
- 网络故障排除工具 | 快速定位网络故障
- NGUI 使用Grid自动排列UI
- Mysql学习总结(8)——MySql基本查询、连接查询、子查询、正则表达查询讲解...
- android 贝塞尔曲线_OpenGL 实践之贝塞尔曲线绘制
- Redis基础(八)——集群
- IPv4 和 IPv6 有什么区别
- 用SpringMVC参数传递时,解决get请求时中文乱码的问题
- 缓存与缓冲的区别 cache与buffer的区别
- Word2016以上版本兼容模式不能使用公式编辑器的解决办法
- 开源语音Speex丨Windows环境配置和测试(一)
- 腾讯历届笔试题(1)
- 苹果系统macos腾讯企点无法打开麦克风权限
- AES算法中S盒的FPGA实现 II
- 二极管、三极管在实际使用中的理解
- 分布式存储与集中式存储