《商用密码应用安全性评估项目需求.docx》由会员分享,可在线阅读,更多相关《商用密码应用安全性评估项目需求.docx(7页珍藏版)》请在课桌文档上搜索。
1、商用密码应用安全性评估项目需求一、项目依据及背景2020年1月1日,中华人民共和国密码法正式施行。该法对密码应用和开展商用密码应用安全性评估的要求作了明确规定。同时网络安全法、电子签名法、商用密码管理条例也都对密码的应用提出明确要求。中央办公厅、国务院办公厅关于印发金融和重要领域密码应用与创新发展工作规划(20182022年)的通知(厅字(2018)36号)要求,国务院办公厅关于国家政务信息化项目建设管理办法(国办发(2019)57号)、省委密码工作领导小组于2019年6月印发了XX省密码应用与创新发展实施方案(X密组发(2019)1号),对开展商用密码应用安全性评估工作做了具体部署。根据商用
2、密码应用安全性评估管理办法(试行)规定,应对三级系统开展商用密码应用安全性评估工作,对商用密码应用的合规性、正确性、有效性进行准确评估分析。二、项目建设内容依据中华人民共和国密码法、GB/T39786-2021信息安全技术信息系统密码应用要求、信息系统密码应用测评要求、信息系统密码应用测评过程指南等相关文件及标准要求,对系统进行测评。三、商用密码应用安全性评估服务1 .商用密码应用安全性评估内容根据信息系统的安全保护等级,依据GB/T39786-2021信息安全技术信息系统密码应用基本要求的条款要求,逐一对信息系统密码应用进行检测,测评的内容包括但不限于以下内容:1.1 安全技术测评:包括物理
3、和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面的安全测评。1.2 安全管理测评:包括密钥管理、安全管理(分为制度、人员、建设和应急四个子模块)两个方面的安全测评。商用密码应用安全性要求具体内容:(1)物理和环境安全序号工作单元名称工作单元描述1身份鉴别应使用密码技术的真实性服务来保护物理访问控制身份鉴别信息,保证重要区域进入人员身份的真实性。2电子门禁记录数据完整性检查使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性情况。3视频记录数据完整性检查使用密码技术的完整性服务来保证视频监控音像记录的完整性情况。(2)网络和通信安全序号工作单元名称工作单元描述1身份鉴别
4、检查网络和通信设备的身份标识与鉴别和用户登录的配置情况。3通信数据完整性通过抓包分析及验证的方式对访通信数据的完整性进行分析检查。4通信数据机密性通过抓包分析及验证的方式对访通信数据的机密性进行分析检查。5网络边界访问控制信息完整性通过抓包分析、配置检查、工具测试等方式对访问控制信息的完整性进行分析检查。6安全接入认证检查是否使用数据签名等密码技术对从外部接入到内部网络的行为进行安全认证。(3)设备和计算安全序号工作单元名称工作单元描述1身份鉴别检查服务器的身份标识与鉴别和用户登录的配置情况。2远程管理通道安全核查远程管理过程中,身份鉴别数据是否采用密码技术进行保护;身份过程是否满足要求。3系
5、统资源访问控制信息完整性检查各主机相应操作系统或数据库的自主访问控制设置情况,包括安全策略覆盖、访问控制信息完整性情况等。4重要信息资源安全标记完整性通过访谈系统管理员和安全管理员关于信息系统重要信息资源的敏感标记设置,并且通过相关技术手段进行强制访问控制措施有效性,同时检查敏感标记的完整性。5日记记录完整性检查各主机服务器相应操作系统或数据库的日志记录的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计记录的保护及完整性验证情况。6重要可执行程序文件完整性、重要可执行程序来源真实性对重要程序及文件的完整性进行分析检查。(4)应用和数据安全序号工作单元名称工作单元描述1身份鉴别检查业务应用
6、系统的身份标识与鉴别功能设置和使用配置情况;2访问控制检查业务应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。3重要信息资源安全标记完整性通过访谈系统管理员和安全管理员关于信息系统重要信息资源的敏感标记设置,并且通过相关技术手段进行强制访问控制措施有效性,同时检查敏感标记的完整性。4重要数据传输机密性检查业务应用系统的重要数据传输机制、加密算法等信息。5重要数据存储机密性检查业务应用系统的重要数据传输机制、加密算法等信息。6重要数据传输完整性检查重要数据存储的环境及安全性。7重要数据存储完整性检查重要数据存储的环境及安全性。8不可否认性检查业务应用系统的数据接收
7、行为和数据原发行为是否进行了不可否认性确定。(5)安全管理序号工作单元名称工作单元描述1管理制度检查密码安全管理制度的制订情况。2人员管理通过访谈安全主管,检查人员名单等文档,检查关于密码管理的相关规定及岗位设置、职责情况。3建设运行通过检查相关密码项目文档对密码项目的规划、建设及运行情况进行检查。4应急处置通过访谈系统运维负责人,检查密码应用安全事件的应急预案、记录分析文档、密码应用安全事件报告和处置管理制度等过程,评估被评估单位是否采取必要的措施对密码应用安全事件进行等级划分和对密码应用安全事件的报告、处理过程进行有效的管理。2 .商用密码应用安全性评估测评依据:1)GBT39786-20
8、21信息安全技术信息系统密码应用基本要求2)信息系统密码应用测评要求3)信息系统密码应用测评过程指南4)信息系统密码应用高风险判定指引5)商用密码应用安全性评估量化评估规则6)商用密码应用安全性评估管理办法(试行)7)其他相关国家标准和密码行业标准等3.商用密码应用安全性评估实施方案设计与具体实施将遵循以下原则:(1)客观性和公正性原则:评估实施过程中评估人员应保证在最小主观判断情形下,按照评估双方认可的评估方案,基于明确定义的评估方式和解释,实施评估活动。(2)经济性和可重用性原则:评估工作可重用已有评估结果,包括商用密码应用安全性评估结果。所有重用结果都应以结果适用于待评估系统为前提,并能
9、够客观反映目前系统的安全状态。(3)可重复性和可再现性原则:依照同样的要求,使用同样的评估方法,不同的评估机构对每个评估实施过程的重复执行应得到同样的结果。可再现性和可重复性的区别在于,前者关注不同评估者评估结果的一致性,后者则与同一评估者评估结果的一致性有关。(4)结果完善性原则:在正确理解GB/T39786-2021信息安全技术信息系统密码应用基本要求各个要求项内容的基础之上,检测所产生的结果应客观反映系统的运行状态。评估过程和结果应服从正确的评估方法,以确保其满足要求。(5)保密性原则:评估的过程数据和结果数据严格保密,确保所有的阅读和使用均得到用户的授权,项目结束后用户提供的所有项目资
10、料和与用户信息资产相关的资料均安全销毁。四、服务要求1、实施要求供应商应在对采购方信息系统详细了解的基础上,编制针对性的商用密码应用安全性评估的整体实施方案,包括项目概述、测评范围和内容、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。2、人员配置要求为保障项目按质、按量、按时及有序实施,供应商应承诺对本项目建立一个完善和稳定的项目团队、管理机构及执行流程。供应商应详细描述测评人员的组成、资质及各自职责的划分。供应商应配置有一定资历及经验的测评人员进行本次测评工作:项目负责人要求具有密码工作经验,具有信息技术(信息安全)高级工程师职称、等保高级测评师证书、软件
11、性能测试高级工程师证书、注册信息专业安全人员证书(ClSP)、信息系统审计师(CISA)和数据治理工程师证书,信息安全管理系统审计认证(DNV).信息安全保障人员认证证书(ClSAW)、渗透测试认证证书(NSCP)、商用密码应用安全性评估人员测评能力考核证书。项目团队人员要求具有商用密码应用安全性评估人员测评能力考核证书软件高级测试工程师证书、软件质量检验师证书、安全保障人员认证证书(CISAW)、注册信息安全工程师(CISP),确保项目的顺利实施。并在投标文件中提供相应的资格证书复印件。3、测评工具等要求(1)本次商用密码应用安全性评估实施过程中所使用到的各种工具软件由供应商推荐,经采购人确
12、认后由供应商提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。(2)安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由供应商推荐,经采购人确认后由供应商提供并在测评中使用。安全测评需要的运行环境(如场地、网络环境等)由采购人提供,供应商应详细描述需要的运行环境的具体要求。(3)为规范项目实施流程,供应商应具有自主研发的测评项目流程管理系统,并具有相关部门认可的密码测评相关工具。4、测评实施要求供应商应具有较强的技术服务能力,参与过密码检测和评价体
13、系的编写以及公安部门执法检查指引相关方案和文档编写等,需提供证明文件。供应商应根据采购人工作需求、进度要求、实际情况进一步完善信息系统整体测评实施方案,对项目目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明。实施过程中形成的阶段性成果文件须指定相关责任人,明确相关职责。在整改过程中,如需现场服务,供应商技术人员应赶到现场协助处理。项目完成后,必须提交完整的技术文档、测评报告、整改建议等,并负责对相关人员进行培训。5、项目组织实施(1)供应商应保证投标项目在采购人条件成熟时立即开展实施。(2)供应商需根据自己的工程实施经验结合采购人的实际需求进一步细化和
14、完善工作任务书,作为工程实施的指导性文件。(3)供应商应根据采购人工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划,对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明,以确保工程实施按时保质的完成。6、项目服务承诺(1)供应商应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则,做到守时、保质。(2)供应商对本采购需求中的内容及在投标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论供应商中标与否,其对上述内容的保密责任将长期存在。(3)测评的品质保证:供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问,结合技术领先、结论可靠的测评工具为客户作商用密码应用安全性评估。承诺测评过程按照国家标准进行,并保证对客户的资料严格保密。五、项目验收(1)供应商应对采购人各信息系统进行商用密码应用安全性评估,形成测评报告,包括但不限于以下几种:1)商用密码应用安全性评估测评方案(一份)2)商用密码应用安全性评估报告(每系统一份)3)商用密码应用安全性评估整改建议书(每系统一份)4)其他过程性文档(一份)(2)测评工作结束之后,协助采购人完成系统备案工作。
