悟安云商用密码应用安全性评估_密码测评服务

悟安云商用密码应用安全性评估

悟安云商用密码应用安全性评估，身份鉴别，电子门禁记录数据存储的完整性，视频监控记录数据存储的完整性。密钥全生命周期管理，包括密码生成、密钥存储、使用、分发、导入、导出、备份、恢复、归档、销毁。

密评重要性

根据《中华人民共和国密码法》相关要求，依据GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》、《信息系统密码测评要求》及《商用密码应用安全性评估测评过程指南（试行）》等标准规范，对重要网络信息系统开展商用密码应用安全性评估工作，进一步规范重要网络信息系统密码应用，实现“以评促建、以评促改、以评促用”。商用密码应用安全性评估（简称“密评”）是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估的活动。密评是对密码应用安全的评估，立足系统安全、体系安全和动态安全，对包括密码算法、密码协议和密码设备等进行整体安全性评估。

开展密评工作的必要性 icon

开展密评是应网络安全严峻形势的迫切需要

建立密评体系，就是为了解决商用密码应用中存在的突出问题，为重要网络与信息系统的安全提供科学评价方法，以评促建、以评促改、以评促用，逐步规范商用密码的使用和管理，从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络与信息系统中的有效使用，切实构建起坚实可靠的网络空间安全密码屏障。

开展密评是系统安全维护的必然要求

商用密码应用安全是整体的、系统的、动态的。密码安全是网络与信息系统安全的前提，构建成体系的、安全有效的密码保障系统，对重要网络与信息系统有效抵御网络攻击具有关键作用和重要意义。密码应用是否合规、正确、有效，涉及密码算法、协议、产品、技术体系、密钥管理、密码应用等多个方面。有必要委托专业机构、专业人员，采用专业工具和专业手段，对系统整体的商用密码应用安全进行专项测试和综合评估，形成科学准确的评估结果，以便及时掌握商用密码安全现状，采取必要的技术和管理措施。

开展密评是相关责任主体的法定职责

《中华人民共和国密码法》规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护自行或者委托商用密码检测机构开展商用密码应用安全性评估。《中华人民共和国网络安全法》也指出，网络运营者应当履行网络安全保护义务，并明确在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护。采取技术措施和其他必要措施，维护网络数据的完整性、保密性和可用性。《网络安全等级保护条例 (征求意见稿)》强化密码应用要求，突出密码应用监管，重点面向网络安全等级保护第三级及以上系统，落实密码应用安全性评估制度。因此，针对网络安全等级保护第三级及以上信息系统、关键信息基础设施开展密评，将是网络运营者和主管部门的法定责任。

密评工作流程

密码应用安全性评估包括两部分重要内容：信息系统规划阶段对密码应用方案的评审和建设完成后对信息系统开展的实际测评。

密码产品解决方案（三级） icon

物理和环境安全
35114视频系统

国密门禁系统*

网络和通信安全
安全接入终端

国密安全接入网关*

加密隔离网关

IPSec VPN/SSL VPN*

国密SSL证书*

国密浏览器

设备和计算安全
远程安全管控系统

密码统一服务平台

日志审计系统

国密USB Key*

应用和数据安全
文件加密存储网关

数据脱敏系统

数据库加密服务器*

数字水印系统

可信时间戳服务器

签名验签服务器*

协同签名手机盾

密钥管理安全
密钥管理系统

数字证书认证系统

密码机/平台*

建设要点
身份鉴别，电子门禁记录数据存储的完整性，视频监控记录数据存储的完整性。

建设要点
身份鉴别，通信数据的机密性保护，通信数据的完整性保护，访问控制信息的完整性，安全接入认证。

建设要点
身份鉴别，远程管理通信安全，系统访问控制信息完整性，重要信息资源安全标记完整性，日志记录完整性，重要可执行程序完整性及来源真实性。

建设要点
身份鉴别，访问控制信息完整性，重要信息资源安全标记完整性，重要传输数据机密性和完整性，重要数据存储机密性和完整性，数据原发和接收行为的不可否认性。

建设要点
密钥全生命周期管理，包括密码生成、密钥存储、使用、分发、导入、导出、备份、恢复、归档、销毁。

服务内容

密评定级备案咨询

参考相关国标、行标及行业主管单位下发的指导文件，协助用户确定测评系统边界，并明确定级标准与测评定级。协助完成《密评备案表》和《专家评审意见》等材料，完成系统测评备案流程。

密码应用差距分析

通过工具扫描和人工核查等安全测试方法，对被测系统进行安全风险评估、排查与差距分析，结合密码应用测评标准提供差距分析报告与整改实施建议。

密评建设方案支撑

根据《GB/T39786-2021信息系统密码应用基本要求》等相关标准文件，结合行业特性要求、监管单位要求和密码安全业务需求进行密码应用方案设计与撰写，协助用户对方案进行机构评审或专家评审。

密评整改咨询指导

对系统密码应用设计与建设方案进行评估，梳理密码支撑能力建设合规性与合理性，提供密码应用支撑体系建设与实施难点咨询服务，指导用户开展密码合规性建设与密码服务运营。

协助检查标准管理

对协助主备检查所需的文档和资料，协助进行行业检查，协助用户配合密码管理局的现场检查工作，每个客户均建立项目工作群组，密评技术专家与客户技术直接对接，便捷高效的沟通，控制项目范围、时间和质量，让客户省时、一次性、低费用、快速通过商用密码应用安全性评估。

服务优势

专业的安全厂商
公司代理安全行业内多家专业厂商，拥有专业的密评产品选型经验。密码安全产品全部符合GB∕T 37092-2018密码模块技术要求，让业务既稳定又安全。

数百家企业的安全服务经验
国内最早从事等级保护咨询的司之一，具有金融/政府/大型企业/医疗/教育等行业的标志性客户，得到各级领导认可。

稳健的测评机构合作关系
与我司合作的密码测评机构遍布国内各省市，快速的解决用户密评问题。密评工作应选择有资质的整改咨询公司+有资质的测评机构。

专业技术服务团队
技术实力和服务能力通过行业认证。拥有丰富经验的密评技术服务人员，能够快速响应和解决客户实际问题。

部分用户

公司简介

北京旗云天下科技有限公司(以下简称旗云天下)主要致力于专业、权威的网络安全与第三方软件质量服务咨询机构。中心目前拥有第三方检测机构所需的各类资质证书以及成熟的软硬件设施平台，并拥有一支掌握国内一流的质量测试与网络安全技术的骨干测试力量，可以为党政机关、企事业单位提供通用软件、嵌入式软件、移动终端软件等多种类型软件的检测与安全服务，以及为信息系统运营人员提供甲方项目管理、安全测试技术等咨询及培训。公司成立于2014年，位于春和路39号院星光视界中心，现有人员为20余人，其中下设网络安全服务部门，部门的工作职责主要为信息系统提供商用密码应用安全性评估、网络安全等级保护服务、渗透漏扫测试、合规性检查、应用安全测试、风险评估、代码安全审计、APP安全检测等技术服务。