✆ 022-23709999
定制台历
定制展板
定制鼠标垫
折页、样册、DM单
定制台灯
定制易拉宝展架
为什么要做密码测评
Vulnerability Scanning
网络安全严峻形式
▁▁▁▁
根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。
网络安全严峻形式
▁▁▁▁
根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。
大数据分析
▁▁▁▁
委托专业机构、专业人员采用专业工具对系统整体密码安全进行专项测试和综合评估,形成科学的评估结果
大数据分析
▁▁▁▁
委托专业机构、专业人员采用专业工具对系统整体密码安全进行专项测试和综合评估,形成科学的评估结果
相关责任主体的法定要求
▁▁▁▁
做好密评工作,是推动《密码法》贯彻落实,构建网络空间密码保障体系的重要举措。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
相关责任主体的法定要求
▁▁▁▁
做好密评工作,是推动《密码法》贯彻落实,构建网络空间密码保障体系的重要举措。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
密码应用的基本要求
合规性
使用的密码算法、密码协议、密码管理符合国家法律法规和标准规定,密码产品或服务经过国家密码管理局核准和认证机构认证合格。
正确性
密码算法、密码协议、密钥管理、密码产品或服务使用正确,即按密码相关的国家和行业标准进行正确设计和实现,密码产品和服务的部署、使用正确。
有效性
密码保障系统在系统运行过程中能够发挥实际效用,保障信息系统的安全需求,解决信息系统的安全问题
哪些系统应当开展密码测评?
根据《中华人民共和国密码法》、《商用密码应用安全性评估管理办法(试行)》等法规条例, 关键信息基础设施、网络安全等级保护第三级及以上信息系统和政务信息化系统,每年至少评估一次。目前密评工作的重点行业包括但不限于以下行业,此处仅为部分列举:
|
行业 |
系统运营主体 |
|
政府 |
大数据局、公安、监狱/劳教、法院/检察院、地震局、自然资源厅/局、人力资源和社会保障厅/局、交通运输厅/局、水利、旅游、体育、林业、审计、地矿等单位 |
|
金融 |
各级银行、证券、保险、基金、信托、期货、市场监管总局、银保监会、证监会等 |
|
医疗 |
省级卫健委/市级卫健局、三级医院 |
|
教育 |
教育厅/局/高校、省教育考试 |
|
运营商 |
电信、移动、联通 |
密码应用安全性评估的测评项目
密码测评标准遵循《信息安全技术 信息系统密码应用基本要求》 (GB/T 39786-2021),该要求是基于《中华人民共和国密码法》等上位法律法规制定的标准细则,对于信息系统密码应用划分为自低向高的五个等级。
密评结果的判定方法
系统中是否存在高风险项,以及各应用点的分值情况,这两者共同决定了密评结果。特别是高风险项,具有‘一票否决’的关键作用。
1、符合:量化评估的分数为100分,且风险分析为“无风险”
2、基本符合:量化评估分数大于等于60分,小于100分,且风险分析为“无高风险”
3、不符合:量化评估分数小于60分。或风险分析为“有高风险”
符合
量化评估的分数为100分,且风险分析为“无风验”
基本符合
量化评估分数大于等于60分,小于100分,且风险分析为“无高风险”
不符合
量化评估分数小于60分,或风险分析为“有高风险”
密码测评服务流程
不同阶段如何正确开展密码应用安全评估工作?
专业、专注、系统、前瞻、不仅有专业职业团队,还有强有力的技术支持
优秀团队
公司拥有数十名国家注册的初、中、高级网络安全等级保护测评师;
CISSP、CISA等权威信息安全管理专家;
NSATP、CISP等网络渗透专家;
CCIE、JNCIS等权威网络专家;
RHCE、MCSE、AIX等权威系统专家;
OCP、MCP等权威数据库专家;
PHP、Java等软件架构师。
行业经验
金融行业超过200+系统安全测评服务经验;
卫生行业超过100+系统安全测评服务经验;
政府行业超过350+系统安全测评服务经验;
企事业单位超过80+系统安全测评服务经验;
九三阅兵、G20峰会、全运会、两会网络安全保障;
总体安全成本低
以等级保护服务为基础,可持续提供安全规划咨询、风险评估、安全值守、安全巡检、应急响应、安全培训、差距分析、基线加固、安全预警等一系列增值服务,可随意组合构成一站式服务包,为客户提供可持续立体化信息安全体系建设服务
