自然资源云平台密码应用安全测评.docx

《自然资源云平台密码应用安全测评.docx》由会员分享，可在线阅读，更多相关《自然资源云平台密码应用安全测评.docx（15页珍藏版）》请在第一文库网上搜索。

1、自然资源云平台密码应用安全测评采购需求一、任务概况为全面贯彻总体国家安全观和网络强国战略，深入贯彻落实中华人民共和国密码法相关要求,保障自然资源云平台信息系统密码安全，符合国家相关管理要求，提升我单位重要信息系统密码防护水平，确保自然资源云平台重要信息系统持续安全稳定运行，我单位通过政府采购密码安全测评服务(密码应用安全性评估服务)的方式，依据信息安全技术信息系统密码应用基本要求(GB/T39786-2023)、信息系统密码应用测评要求(GM/T0115-2023),信息系统密码应用测评过程指南GM/T0116-2023等标准规范，针对自然资源云平台进行一次信息密码应用安全性评估，从而强化我单

2、位密码应用安全管理，进一步完善密码应用安全体系。二、预算价格本项目预算为人民币20万元。三、需求描述(一)按照信息系统密码应用安全性评估相关要求，开展信息系统密码应用安全性评估工作，符合国家有关信息系统密码应用安全性评估工作要求。(二)依据信息安全技术信息系统密码应用基本要求(GB/T39786-2023)、信息系统密码测评要求(GM/T115-2023)、信息系统密码应用测评过程指南(GM/T116-2023),商用密码应用安全性评估量化评估规则、信息系统密码应用高风险判定指引等标准对自然资源云平台从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行

3、、应急处置等方面进行密码应用安全性评估。通过评估检验自然资源云平台信息系统密码应用是否合规、正确、有效，针对被测系统在密码应用安全方面存在的安全问题提出可行性完善建议，为进一步完善信息系统的密码应用安全管理体系、加强信息系统的密码应用安全防护措施提供依据。四、需执行的国家相关标准、行业、地方或其他标准规范自然资源云平台商用密码应用安全性评估项目的依据如下：信息安全技术信息系统密码应用基本要求(GB/T39786-2023)信息系统密码测评要求(GMzTOI15-2023)信息系统密码应用测评过程指南(GM/T0116-2023)商用密码应用安全性评估量化评估规则信息系统密码应用高风险判定指引商

4、用密码应用安全性评估报告模板（2023版）五、测评内容（一）测评基本内容商用密码应用安全性评估时按照等级保护相应等级信息系统要求分别从系统技术、密钥管理和安全管理等方面全方位对信息系统的密码使用情况进行评估，评估范围主要包括：物理机房、服务器、操作系统、数据库系统、交换机、路由器、防火墙、密码算法、密码技术、密码产品、密码服务、应用、安全管理相关文档等，主要测评内容包含但不限于下表所示：序号评估内容评估对象1总体要求测评密码算法测评密码算法密码技术测评密码技术密码产品测评密码产品密码服务测评密码服务2物理和环境安全测评身份鉴别物理机房电子门禁记录数据完整性物理机房视频记录数据完整性物理机房硬件

5、密码模块实现物理机房3网络和通信安全测评身份鉴别交换机、路由器、防火墙等访问控制信息完整性交换机、路由器、防火墙等通信数据完整性交换机、路由器、防火墙等序号评估内容评估对象通信数据机密性交换机、路由器、防火墙等集中管理通道安全交换机、路由器、防火墙等密码模块安全交换机、路由器、防火墙等4设备和计算安全测评身份鉴别操作系统、数据库、服务器等远程管理身份鉴别信息机密性操作系统、数据库、服务器等访问控制信息完整性操作系统、数据库、服务器等敏感标记完整性操作系统、数据库、服务器等重要程序或文件完整性操作系统、数据库、服务器等日志记录完整性操作系统、数据库、服务器等硬件密码模块实现操作系统、数据库、服务

6、器等5应用和数据安全测评身份鉴别应用访问控制应用数据传输机密性应用数据存储机密性应用数据传输完整性应用数据存储完整性应用日志记录完整性应用重要应用程序加载和卸载应用抗抵赖应用硬件密码模块实现应用6安全管理测评制度安全管理相关文档人员安全管理相关文档实施安全管理相关文档运行安全管理相关文档（二）具体技术要求1 .总体测评要求1）密码算法测评测评单元测评指标测评方式密码算法合规性检查信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。访谈、文档审查、实地查看、配置检查。2）密码技术测评测评单元测评指标测评方式密码技术合规性检查信息系统中使用的密码技术应遵循密码相

7、关国家标准和行业标准。访谈、文档审查、实地查看、配置检查。3）密码产品测评测评单元测评指标测评方式密码产品合规性检查信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。访谈、文档审查、实地查看、配置检查。4）密码服务测评测评单元测评指标测评方式密码服务合规性检查信息系统中使用的密码服务应通过国家密码管理部门许可。访谈、文档审态、实地查看、配置检查。2 .物理和环境安全测评漏评单元测评指标测评方式身份鉴别在电子门禁系统中，应使用密码技术的真实性功能来保护物理访问控制身份鉴别信息，保证重要区域进入人员身份的真实性。访谈、文档审查、实地杳看、配置检查、工具测试。电子门禁记录数据完整性应使用

8、密码技术的完整性功能来保证电子门禁系统进出记录的完整性。访谈、文档审查、实地查看、配置检查、工具测试。测评单元测评指标测评方式视频记录数据完整性应使用密码技术的完整性功能来保证视频监控音像记录的完整性。访谈、文档审查、实地查看、配置检查、工具测试。硬件密码模块实现宜采用符合GM/T0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。访谈、文档审查、实地查看、配置检查、工具测试。3 .网络和通信安全测评测评单元测评指标测评方式身份鉴别应在通信前基于密码技术对通信双方进行验证或认证，使用密码技术的机密性和真实性服务来实现防截获、防假冒和防重用，保证传输过程中

9、鉴别信息的机密性和网络设备实体身份的真实性。访谈、文档审查、实地查看、配置检查、工具测试。访问控制信息完整性应使用密码技术的完整性服务来保证网络边界和系统资源访问控制信息的完整性。访谈、文档审查、实地查看、配置检查、工具测试。通信数据完整性应采用密码技术保证通信过程中数据的完整性。访谈、文档审查、实地查看、配置检查、工具测试。通信数据机密性应采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性。访谈、文档审查、实地查看、配置检查、工具测试。集中管理通道安全应采用密码技术建立一条安全的信息传输通道，对网络中的安全设备或安全组件进行集中管理。访谈、文档审查、实地查看、配置检查、工具测试。测

10、评单元测评指标测评方式密码模块安全宜采用符合GM/T0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。访谈、文档审查、实地查看、配置检查、工具测试。4 .设备和计算安全测评测评单元测评指标测评方式身份鉴别应使用密码技术对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。访谈、文档审查、实地查看、配置检查、工具测试。远程管理身份鉴别信息机密性在远程管理时，应使用密码技术的机密性服务来实现鉴别信息的防窃听。访谈、文档审查、实地查看、配置检查、工具测试。访问控制信息完整性应使用密码技术的完整性服务来保证系统资源访问控制信

11、息的完整性。访谈、文档审查、实地查看、配置检查、工具测试。敏感标记完整性应使用密码技术的完整性服务来保证重要信息资源敏感标记的完整性。访谈、文档审查、实地查看、配置检查、工具测试。重要程序或文件完整性应采用可信计算技术建立从系统到应用的信任链，实现系统运行过程中重要程序或文件完整性保护。访谈、文档审查、实地查看、配置检查、工具测试。日志记录完整性应使用密码技术的完整性功能来对日志记录进行完整性保护。访谈、文档审查、实地查看、配置检查、工具测试。硬件密码模块实现宜采用符合GM/T0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。访谈、文档审查、实地杳看、

12、配置检查、工具测试。5 .应用和数据安全测评测评单元测评指标测评方式身份鉴别应使用密码技术对登录的用户进行身份标识和鉴别，实现身份鉴别信息的防截获、防假冒和防重用，保证应用系统用户身份的真实性。访谈、文档审查、实地查看、配置检查、工具测试。访问控制应使用密码技术的完整性服务来保证业务应用系统访问控制策略、数据库表访问控访谈、文档审查、实地查看、配置检查、工具测试。测评单元测评指标测评方式制信息和重要信息资源敏感标记的完整性。数据传输机密性应采用密码技术保证重要数据在传输过程中的机密性，包括但不限于鉴别数据、重要业务数据和重要用户信息等访谈、文档审查、实地查看、配置检查、工具测试。数据存储机密性

13、应采用密码技术保证重要数据在存储过程中的机密性，包括但不限于鉴别数据、重要业务数据和重要用户信息、重要可执行程序等。访谈、文档审查、实地查看、配置检查、工具测试。数据传输完整性应采用密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等。访谈、文档审查、实地查看、配置检查、工具测试。数据存储完整性应采用密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等。访谈、文档审查、实地查看、配置检查、工具测试。日志记录完整性应使

14、用密码技术的完整性功能来实现对日志记录完整性的保护。访谈、文档审查、实地查看、配置检查、工具测试。重要应用程序加载和卸载应采用密码技术对重要应用程序的加载和卸载进行安全控制访谈、文档审查、实地查看、配置检查、工具测试。硬件密码模块实现宜采用符合GM/T0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。访谈、文档审查、实地查看、配置检查、工具测试。6 .安全管理测评测评单元测评指标测评方式制度应制定密码安全管理制度及操作规范、安全操作规范。密码安全管理制度应包括密码建设、运维、人员、设备、密钥等密码管理相关内容。访谈、文档记录核查、实地查看。应定期对密码管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。访谈、文档记录核查、实地查看。应明确相关管理制度发布流程。访谈、文档记录核查、实地查看。人员应了解并遵守商用密码相关法律法规。访谈、