午夜电影亚洲精品一区,日韩在线毛片,久久综合九色综合欧洲,久久婷婷综合在线视频观看6,国产美女天天爽在线hd

• 密評評分

5. 評測過(guò)程：

5. 評測報告：評測最后階段由評測機構編寫(xiě)評測報告，評測報告一般一式4份，1份提交國家密碼管理局、1份提交被評測單位所屬省部密碼管理部門(mén)、1份提交委托單位、1份由評測機構留存。

密評技術(shù)要求

密評主要針對涉及到商用密碼的網(wǎng)絡(luò )和信息系統。這里的商用密碼指對不涉及國家秘密內容的信息進(jìn)行加密保護或者安全認證所使用的密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)。

• 密碼技術(shù)：采用特定變換的方法對信息進(jìn)行加密保護、安全認證的技術(shù)。如SM3哈希算法、SM4分組密碼算法、SM2公鑰密碼算法等。
• 密碼產(chǎn)品：實(shí)現密碼功能、承載密碼技術(shù)的實(shí)體，包括密碼機、密碼芯片和模塊等。
• 密碼服務(wù)：基于密碼技術(shù)和產(chǎn)品，實(shí)現密碼功能，提供密碼保障的行為。

密改：又稱(chēng)國密改造，是通過(guò)密評的重要一步，被評測信息系統需要經(jīng)過(guò)密改，從而支持國產(chǎn)商用密碼，并達到安全、合規、正確、有效的要求。從密評技術(shù)要求上分析，需要在物理和環(huán)境安全、網(wǎng)絡(luò )和通信安全、設備和計算安全、應用和數據安全四個(gè)方面上借助商用密碼技術(shù)、產(chǎn)品或服務(wù)，實(shí)現密改。

業(yè)界主推的密改技術(shù)路徑主要有三條：“免”改造、“重”改造和“易”改造。

• 免改造：信息系統無(wú)需進(jìn)行密改，只需簡(jiǎn)單配置
• 重改造：信息系統調用復雜的基礎密碼產(chǎn)品接口完成密改，如對接服務(wù)器密碼機、簽名驗證服務(wù)器等
• 易改造：信息系統使用針對密評研發(fā)的專(zhuān)業(yè)密碼服務(wù)產(chǎn)品，無(wú)改動(dòng)或較少改動(dòng)信息系統來(lái)實(shí)現密改。

密碼應用技術(shù)架構

• 信息系統實(shí)體身份真實(shí)性/身份鑒別、重要數據機密性、重要數據完整性以及操作行為的不可否認性。
• 密鑰生命周期安全：密鑰生成、使用、存儲、備份、恢復、歸檔、導入導出以及銷(xiāo)毀等 其中，密鑰生命周期安全可以借助服務(wù)器密碼機或者密鑰管理系統來(lái)完成，因此信息系統密改工作集中在第一點(diǎn)。密碼應用技術(shù)架構整體也是圍繞技術(shù)要求的四個(gè)方面來(lái)規劃和落地。

物理和環(huán)境安全

物理和環(huán)境安全：對重要物理區域（如：機房）出入人員采用密碼技術(shù)進(jìn)行身份鑒別，并對門(mén)禁進(jìn)出記錄、視頻監控數據進(jìn)行完整性保護。

• 身份鑒別：機房需要部署國密門(mén)禁讀卡器，通過(guò)國密門(mén)禁IC卡和國密門(mén)禁讀卡器，基于國密算法，實(shí)現用戶(hù)身份鑒別。讀卡器和門(mén)禁卡必須具有國家密碼管理部門(mén)頒發(fā)的認證證書(shū)。如：光電安辰國密門(mén)禁設備等
• 重要數據完整性：門(mén)禁記錄數據、視頻監控記錄數據存儲需要保證完整性。如：門(mén)禁記錄通過(guò)門(mén)禁管理系統進(jìn)行完整性保護、視頻監控記錄通過(guò)視頻監控管理系統進(jìn)行完整性保護。這類(lèi)系統一般采用內置密碼卡或者外接密碼機的方式，并通過(guò)SM3-HMAC對重要數據進(jìn)行完整性保護。注：密碼機、密碼卡和視頻監控管理系統需要具有國家密碼管理部門(mén)頒發(fā)的認證證書(shū)

網(wǎng)絡(luò )和通信安全

網(wǎng)絡(luò )和通信安全：對業(yè)務(wù)系統網(wǎng)絡(luò )通信實(shí)體，采用密碼技術(shù)進(jìn)行身份鑒別，并對傳輸數據進(jìn)行機密性和完整性保護。

• 身份鑒別：登錄業(yè)務(wù)系統采用國密瀏覽器，瀏覽器到安全網(wǎng)關(guān)等通信實(shí)體雙方通過(guò)國密SSL協(xié)議進(jìn)行身份鑒別，通過(guò)國密SSL證書(shū)使用SM2、SM3和SM4算法實(shí)現通信雙方真實(shí)性，后端需要采用具備商用密碼產(chǎn)品認證證書(shū)的安全網(wǎng)關(guān)。
• 通信數據完整性：瀏覽器與安全網(wǎng)關(guān)之間通信采用國密SSL，使用ECC_SM4_CBC_SM3實(shí)現數據傳輸的完整性，后端需要采用具備商用密碼產(chǎn)品認證證書(shū)的安全網(wǎng)關(guān)。
• 通信數據的機密性：瀏覽器與安全網(wǎng)關(guān)之間通信采用國密SSL，使用ECC_SM4_CBC_SM3實(shí)現數據傳輸的機密性，后端需要采用具備商用密碼產(chǎn)品認證證書(shū)的安全網(wǎng)關(guān)。注：國密SSL需要支持國密雙證（簽名證書(shū)+加密證書(shū)）

設備和計算安全

設備和計算安全：運維管理員在對業(yè)務(wù)系統進(jìn)行運維時(shí)，需要采用密碼技術(shù)進(jìn)行身份鑒別，并保障網(wǎng)絡(luò )環(huán)境中服務(wù)器、應用程序、訪(fǎng)問(wèn)記錄等重要數據的完整性。

• 身份鑒別：對于遠程運維人員采用SSL VPN安全網(wǎng)關(guān)進(jìn)行身份鑒別；對于內部運維人員，采用基于密碼技術(shù)的身份認證堡壘機進(jìn)行身份鑒別。
• 重要數據完整性：堡壘機訪(fǎng)問(wèn)記錄完整性保護，調用密碼產(chǎn)品基于SM3-HMAC密碼算法實(shí)現完整性保護；業(yè)務(wù)系統等服務(wù)器訪(fǎng)問(wèn)記錄以及重要業(yè)務(wù)日志完整性保護，采用專(zhuān)門(mén)的日志服務(wù)器，借助服務(wù)器密碼機采用HMAC-SM3密碼算法對訪(fǎng)問(wèn)記錄/日志進(jìn)行計算并定期進(jìn)行校驗。
  
  
  日志服務(wù)完整性生成和校驗，功能流程如下：
  
  

應用和數據安全

應用和數據安全：用戶(hù)和管理員在訪(fǎng)問(wèn)業(yè)務(wù)系統時(shí)，需要采用密碼技術(shù)進(jìn)行身份鑒別，對重要業(yè)務(wù)數據傳輸的機密性和完整性、重要業(yè)務(wù)數據存儲的機密性和完整性進(jìn)行保護。應用和數據安全是密改的重要一環(huán)。

• 身份鑒別：業(yè)務(wù)系統登錄使用雙因子認證，采用用戶(hù)名/口令和Ukey進(jìn)行身份鑒別，業(yè)務(wù)人員私鑰和數字證書(shū)保存在Ukey中。后端通過(guò)SM4算法對口令進(jìn)行加密存儲，通過(guò)SM2算法對UKey簽名進(jìn)行驗證，密碼算法由密碼機提供。UKey和密碼機需要具有商用密碼產(chǎn)品認證證書(shū)
• 機密性：業(yè)務(wù)數據需要采用SM4進(jìn)行加密傳輸，后端需要對數據進(jìn)行SM4加密存儲。密碼算法由具有商用密碼產(chǎn)品認證證書(shū)的密碼機或密碼卡提供。
• 完整性：業(yè)務(wù)數據通過(guò)SM3-SM2進(jìn)行數字簽名后傳輸，后端通過(guò)調用基礎密碼產(chǎn)品進(jìn)行簽名驗證。業(yè)務(wù)數據存儲完整性通過(guò)對存儲數據進(jìn)行SM3-SM2簽名或者SM3-HMAC哈希值進(jìn)行保存完成。密碼算法由具有商用密碼產(chǎn)品認證證書(shū)的密碼機或密碼卡提供。

雙因子認證UKey流程：

結語(yǔ)

本文未對密評管理要求做深入介紹，只針對技術(shù)要求中需要進(jìn)行密改的地方進(jìn)行了詳細介紹。密評重點(diǎn)考察信息系統中商用密碼使用的合規性、正確性和有效性。應用和數據安全是密改的重中之重，也是重改造的地方，其他方面可以通過(guò)采購合規的密碼產(chǎn)品或服務(wù)達到易改造、免改造的效果。

?文章來(lái)源：密碼應用技術(shù)實(shí)戰