密码应用安全性(应用加密)
密码应用安全性(应用加密)
评估密码系统安全性主要有三种方法:
无条件安全性:这种评价方法考虑的是假定攻击者拥有无限的计算资源,但仍然无法破译该密码系统。
计算安全性:这种方法是指如果使用目前最好的方法攻破它所需要的计算资源远远超出攻击者拥有的计算资源,则可以认为这个密码系统是安全的。
可证明安全性:这种方法是将密码系统的安全性归结为某个经过深入研究的困难问题(如大整数素因子分解、计算离散对数等)。这种评估方法存在的问题是它只说明了这个密码方法的安全性与某个困难问题相关,没有完全证明问题本身的安全性,并给出它们的等价性证明。
商用密码应用安全性评估60分达到合格线。
等级测评与商用密码应用安全性评估的分值计算依据不同的公式,且分数合格线不同,等级测评70分达到合格线,商用密码应用安全性评估60分达到合格线。等级测评结论分为优、良、中、差,密码应用安全性评估的测评结论则分为符合、基本符合、不符合等。
最后,告诉大家,因等级测评与商用密码应用安全性评估的目标对象、过程和方法的整体一致性为两项测评活动的融合奠定了良好的技术基础,只要在相关环节中解决好指标和报告引起的活动差异,如通过合并指标进行统一调研,就可以实现“一次入场,完成两项测评”。但必须注意的是,等级测评与商用密码应用安全性评估的结合是以合规为前提、提升效率为目标,在测评过程中要始终明确两者的主旨,在提高效率的同时应兼顾测评的质量。随着测评现场情况的不断变化,以及不断出现的新的应用场景,两者结合的方法仍需不断的完善,为更好的完成等级测评与商用密码应用安全性评估工作打下基础。
商用密码应用安全性评估周期是一年。
安全评估利用大量安全性行业经验和漏洞扫描的最先进技术,从内部和外部两个角度,对企业信息系统进行全面的评估。商用密码应用安全性评估周期是一年。
网络安全评估又叫安全评价。一个组织的信息系统经常会面临内部和外部威胁的风险。随着黑客技术的日趋先进,没有这些黑客技术的经验与知识很难充分保护您的系统。
商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
开展密评,是为了解决商用密码应用中存在的突出问题,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。
从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。开展密评,是国家网络安全和密码相关法律法规提出的明确要求,是法定责任和义务。
总体要求:
密码算法:使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,重点关注密码算法的合规性。
密码技术:使用的密码技术应遵循密码相关国家标准和行业标准。重点关注加密技术的合规性,密码技术应保证自身的安全性,可靠性,与信息系统的互联互通性。
密码产品:使用的密码产品与密码模块应通过国家密码管理部门核准。“密码模块”可包括密码卡、密码机、定制密码模块、密码软件等多种形态。
重点关注密码产品的合规性和有效性,密码产品和密码模块需根据国家相关规定进行密码产品安全等级确定、检测。其中根据GM/T0028-2014《密码模块安全技术要求》确定安全等级,依据GM/T0039-2015《密码模块安全检测要求》进行产品检测。
密码服务:使用的密码服务应通过国家密码管理部门许可。如CA认证机构应获得《电子认证服务使用密码许可证》以及《电子认证服务许可证》。
