山东道普测评技术有限公司是省科学院下属事业单位省计算中心科技成果转化创业团队。山东道普测评技术有限公司青岛分公司致力于综合性第三方信息化风险管控服务:针对网络安全风险提供网络等级保护测评、网络安全风险评估、渗透测试、应急服务、商用密码评估等服务;针对软件项目风险,提供软件工程造价评估、软件全过程质量管控、软件性能测试、应用安全测试、软件验收测试、代码审计等服务;信息化监理、涉密监理与咨询等服务。
商用密码应用安全性评估(商密测评)依据国标GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》对商用密码应用的合规性、正确性、有效性进行全面的量化评估,明确系统密码应用现状与密码应用基本要求之间的差距,分析差距导致系统面临的风险,为进一步提高政务信息系统的密码应用安全保护能力提供有效依据和合理化建议。
1.1商密测评简介 测评目的 依据国标GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》对政务信息系统行商用密码应用安全性评估,检测被测信息系统商用密码应用安全状况,并针对系统密码应用保障体系的资源配置、安全整改和后续运维提出指导建议。 测评依据 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》 《信息系统密码应用测评要求》 《信息系统密码应用测评过程指南》 《信息系统密码应用高风险判定指引》 《商用密码应用安全性评估量化评估规则》 《政务信息系统密码应用方案》等 1.2测评范围 国标基本指标要求包含技术要求、管理要求和通用要求,其中技术要求包含物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4个层面(含密码算法、密码技术、密码产品和密码服务);管理要求包含管理制度、人员管理、建设运行和应急处置4个层面。 1.3测评实施 测评方法 商用密码应用安全性评估使用的测评方法包括:访谈、文档审查、实地查看、配置检查和工具测试。 风险分析 依据密码应用安全相关规范和标准,采用风险分析的方法分析测评结果中存在的安全问题可能对被测系统安全造成的影响, 结合单元测评结果和整体测评结果,根据威胁类型和威胁发生频率和资产价值的高低、根据测评机构自身经验和相关国家标准要求,对被测系统面临的安全风险进行赋值;结合被测系统的安全保护等级对风险分析结果进行评价。 1.4方案特色 商用密码应用安全性评估,是为了解决商用密码应用中存在的突出问题,为网络和信息系统的数据安全防护能力提供科学的评价方法,规范商用密码的使用和管理,构建起坚实可靠的网络安全密码屏障。方案特色如下: (1)站在第三方测评机构的角度,为政务信息系统的密码应用安全提供科学评价方法,以评促建、以评促改、以评促用,规范商用密码的使用和管理,逐步解决商用密码应用中存在的不广泛、不规范、不安全等问题。 (2)秉承 “可信、可见、可证明、可传承”的原则,实事求是、系统地分析政务信息系统密码应用需求,全方位,多角度对系统的商用密码应用安全进行评估,充分掌握商用密码安全现状,提供科学合理的安全加固建议。 (3)综合考虑政务信息系统环境现状、网络基础设施现状、安全体系现状、运维管理现状、密码设备使用现状等多因素,整体规划,目标明确,技术路线可行,具有很好的可推广性和应用前景。
作为省内首家商用密码应用安全性评估机构,道普信息技术有限公司自2018年起,已在山东省内完成20余个信息系统的商密测评,包括山东省信访信息系统、山东省省级政府采购网上商城、东营市政务信息系统、不动产登记信息管理平台等,覆盖云计算、政务、交通、金融、教育、人社、环保等重要领域。通过密评工作开展,初步实现商用密码技术在山东省内的应用和推广,实现重要政务信息系统数据安全保护能力的有效提升。
2018年济南政务云平台商用密码应用安全性评估报告评分全国第一
