密碼技術是信息安全領域的核心技術,它能有效解決信息的保密性、完整性以及真實性問題。密碼技術的規范、有效管理對推進我國信息化進程具有重大意義。密碼測評技術是信息安全測評的重要內容,它是構建國家信息安全測評認證體系的基礎,也是指導密碼技術產品和密碼系統安全測評的有效手段。密碼測評技術對于提高我國對密碼算法和密碼產品安全隱患的發現能力,保障我國密碼算法和密碼產品的安全性、先進性具有重要的現實意義。
我公司是由國家密碼管理局指定的國產商用密碼測評服務機構,根據《信息系統安全等級保護基本要求》,各級信息系統安全保護的基本技術要求分別從物理安全、網絡安全、主機安全、應用安全和數據安全及備份恢復五個層面提出,并在每一層面給出了相應的安全控制點,其中近半數部分(近50%)安全控制點必須利用密碼技術或依靠密碼技術的支撐來實現。測評根據GB/T 22239-2008:《信息安全技術信息系統安全等級保護基本要求》、國家密碼管理局2009.3.《信息安全等級保護商用密碼技術實施要求》中的要求,針對信息系統中使用的商用密碼產品和密碼技術,測試其密碼管理、密碼配用策略、密碼安全防護、網絡安全、主機安全、應用安全、數據安全等方面的內容,以確定其通過密碼產品和密碼技術實現的信息系統真實性、機密性、完整性和抗抵賴性。
依據國家密碼管理局要求,我公司提供密碼測評的服務內容嚴格按照測評過程指南要求進行,保障客觀公眾的原則、經濟型和可重復性原則、可重復性和可再現性原則、結果完善性原則的基礎上,不影響測試系統的正常運行保護敏感信息的泄露,充分做到測評準備活動,方案編制活動,現場測評活動,分析及報告編制活動的完整和合規。遵循信息系統密碼安全建設和方案的框架,提出以安全密碼防護為核心的商用密碼解決方案。
測評流程: