密码测评实施流程与方法

创作时间:

2025-01-22 01:18:05

作者:

@小白创作中心

密码测评实施流程与方法

密码测评，全称为“密码应用安全性评估”，是一种通过一系列测试和分析来评估密码的安全性和强度的方法。以下详细介绍密码测评的实施流程与方法：

一、实施流程

1. 测评准备

是开展测评工作的前提和基础，主要任务是掌握被测信息系统的详细情况并准备测评工具，为编制密评方案做好准备。测评准备活动包括项目启动、信息收集和分析、工具和表单准备3项主要任务。

项目启动：测评方组建测评项目组，获取被测单位及被测信息系统的基本情况，从基本资料、人员、计划安排等方面为整个测评项目的实施做准备。
信息收集和分析：测评方通过调查表格查阅被测信息系统资料等方式，了解被测信息系统的构成和密码应用情况，为编制密评方案和开展现场测评工作奠定基础。
工具和表单准备：测评项目组成员在进行现场测评之前，应熟悉与被测信息系统相关的组件、校准测评工具并准备各类表单等。测评过程中使用的测评工具应符合国家密码管理部门相关管理政策要求和密码相关国家标准、行业标准要求。

2. 密评方案编制

活动的目标是整理及分析测评准备活动中获取的被测信息系统相关资料，为现场测评活动提供指导。密评方案编制活动包括测评对象确定、测评指标确定、测评检查点确定、测评内容确定及密评方案编制5项主要任务。

测评对象确定：根据已经了解到的被测信息系统信息，分析整个被测信息系统及其涉及的业务应用系统，以及与此相关的密码应用情况，确定本次测评的对象。
测评指标确定：根据已经了解到的被测信息系统定级结果，确定本次测评的指标。
测评检查点确定：测评过程中对一些关键安全点进行现场检查、确定，以防密码产品、密码服务虽然被正确配置，但是未接入被测信息系统之类的情况发生。测评方可通过抓包测试、查看关键设备配置等方法，确认密码算法、密码技术、密码产品和密码服务的合规性、正确性和有效性。这些检查点应该在密评方案编制时确定，并且充分考虑到检查的可行性和风险，最大限度避免对被测信息系统的影响，尤其应避免给在线运行业务系统造成影响。
测评内容确定：测评实施前，需确定现场测评的具体实施内容，即单元测评内容。
密评方案编制：密评方案是测评工作实施的基础，用于指导密评现场实施活动，密评方案应包括但不限于项目概述、测评对象、测评指标、测评检查点以及测评实施等。

3. 现场测评

是测评工作的核心活动，主要任务是根据密评方案分步实施所有测评项目，以了解被测信息系统真实的密码应用现状，获取足够的证据，发现存在的密码应用安全性问题。现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还3项主要任务。

现场测评准备：启动现场测评工作，以保证测评方能够顺利实施测评。
现场测评和结果记录：开展多种测评活动并记录结果。
结果确认和资料归还：经过被测单位确认的各类测评结果记录，包括测评活动中发现的问题、问题的证据和证据源、每项测评活动中被测单位配合人员的书面认可文件。

4. 分析与报告编制

是给出测评工作结果的活动，主要任务是根据密评方案和GMT0115的有关要求，通过单元测评、整体测评、量化评估和风险分析等方法，找出被测信息系统密码应用的安全保护现状与相应等级系统的保护要求之间的差距，并分析这些差距可能导致的被测信息系统所面临的风险，从而给出各个测评对象的测评结果和被测信息系统的评估结论，形成密评报告。分析与报告编制活动包括单元测评、整体测评、量化评估、风险分析、评估结论形成及密评报告编制6项任务。

单元测评：主要针对各测评指标中的各个测评对象，客观、准确地分析测评方案，对每个测评对象分别进行测评实施和结果判定，汇总针对各测评单元设计的所有测评对象的测评实施结果，得出各测评单元的判定结果，并以表格的形式逐一列出。
整体测评：针对测评结果为部分符合和不符合的测评对象，采取逐条判定的方法，给出具体的整体测评结果。
量化评估：综合单元测评结果和整体测评结果，计算各测评指标的各测评对象修正后的测评结果得分、各测评单元得分、各安全层面得分和整体得分，并对被测信息系统的密码应用安全性进行总体评价。
风险分析：依据相关规范和标准，采用风险分析方法，分析测评结果中存在的安全问题以及可能给被测信息系统安全造成的影响。
评估结论形成：在测评结果汇总、量化评估以及风险分析基础上，形成评估结论。
密评报告编制：根据分析与报告编制活动的各项任务输出形成密评报告。