密码测评服务

一 服务简介：

商用密码应用安全性评估，是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评 估验证的活动。 国家密码管理局支持商用密码应用安全性评估技术、标准、工具创新，完善商用密码应用安全性评估标准体系，鼓励设立商用密码应用安全性评估行业组织，加强行业自律，维护行业秩序。

二 测评方法：

商用密码应用安全性评估涉及五种基本测评方法:访谈、文档审查、实地察看、配置检查、工具测试。

1、访谈

测评人员通过与信息系统有关人员进行访谈，了解信息系统商用密码应用相关的密码算法、密码技术密码产品和密码服务。

2、文档审查

测评人员通过查阅信息系统的相关文档，获取证据证明信息系统的商用密码措施是否合规、正确。

3、实地察看

测评人员通过现场实地观察和了解密码产品、密码技术、密码功能等使用和实现的实际情况，获取证明信息系统的商用密码应用安全的证据。

4、配置检查

测评人员根据被测单位出具商用密码产品认证证书、安全策略文档等，确认实际部署的密码产品与声称情况的一致性，并在测试检查点查看配置的正确性。

三 内容及流程

依据《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)测评内容主要包括总体要求、密码技术应用要求、密钥管理、安全管理四大部分。

其中，总体要求测评包括密码算法、密码技术、密码产品密码服务;密码技术应用要求测评包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全:密钥管理测评覆盖密钥的生成、存储、分发、导入、导出使用、备份、恢复、归档、销毁等全生命周期;安全管理测评覆盖制度、人员、实施、应急等方面。具体测评流程如下图：