商用密码认证:密码应用测评要求(应用和数据安全)
添加时间:2021-1-25
1.身份鉴别
具体测评单元如下:
a) 测评指标
采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性。(第一级到第四级)
b) 测评对象
业务应用,以及提供身份鉴别功能的密码产品。
c) 测评实施
1) 核查是否符合第5章通用测评要求中“密码算法和密码技术合规性”的测评要求;
2) 核查是否符合第5章通用测评要求中“密钥管理安全性”的测评要求;
3) 核查应用系统是否采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对登录用户进行身份鉴别,并验证应用系统用户身份真实性实现机制是否正确和有效。
d) 结果判定
针对单个测评对象,如果以上测评实施内容均为是,则该测评对象符合本单元的测评指标要求;如果测评实施 3)为否,则不符合本单元的测评指标要求;否则,部分符合本单元的测评指标要求。针对本测评单元,对该单元涉及的所有测评对象的判定结果进行汇总,如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果均为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。
2.访问控制信息完整性
具体测评单元如下:
a) 测评指标
采用密码技术保证信息系统应用的访问控制信息的完整性。(第一级到第四级)
b) 测评对象
业务应用,以及提供完整性保护功能的密码产品。
c) 测评实施
1) 核查是否符合第5章通用测评要求中“密码算法和密码技术合规性”的测评要求;
2) 核查是否符合第5章通用测评要求中“密钥管理安全性”的测评要求;
3) 核查信息系统是否采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对应用的访问控制信息进行完整性保护,并验证应用的访问控制信息完整性保护机制是否正确和有效。
d) 结果判定
针对单个测评对象,如果以上测评实施内容均为是,则该测评对象符合本单元的测评指标要求;如果测评实施3)为否,则不符合本单元的测评指标要求;否则,部分符合本单元的测评指标要求。针对本测评单元,对该单元涉及的所有测评对象的判定结果进行汇总,如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果均为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。
3.重要信息资源安全标记完整性
具体测评单元如下:
a) 测评指标
采用密码技术保证信息系统应用的重要信息资源安全标记的完整性。(第三级到第四级)
b) 测评对象
业务应用,以及提供完整性保护功能的密码产品。
c) 测评实施
1) 核查是否符合第5章通用测评要求中“密码算法和密码技术合规性”的测评要求;
2) 核查是否符合第5章通用测评要求中“密钥管理安全性”的测评要求;
3) 核查应用系统是否采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对应用的重要信息资源安全标记进行完整性保护,并验证安全标记完整性保护机制是否正确和有效。
d) 结果判定
针对单个测评对象,如果以上测评实施内容均为是,则该测评对象符合本单元的测评指标要求;如果测评实施 3)为否,则不符合本单元的测评指标要求;否则,部分符合本单元的测评指标要求。针对本测评单元,对该单元涉及的所有测评对象的判定结果进行汇总,如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果均为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。
4.重要数据传输机密性
具体测评单元如下:
a) 测评指标
采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。(第一级到第四级)
b) 测评对象
业务应用,以及提供机密性保护功能的密码产品。
c) 测评实施
1) 核查是否符合第 5 章通用测评要求中“密码算法和密码技术合规性”的测评要求;
2) 核查是否符合第 5 章通用测评要求中“密钥管理安全性”的测评要求;
3) 核查应用系统是否采用密码技术的加解密功能对重要数据在传输过程中进行机密性保护,并验证传输数据机密性保护机制是否正确和有效。
d) 结果判定
针对单个测评对象,如果以上测评实施内容均为是,则该测评对象符合本单元的测评指标要求;如果测评实施 3)为否,则不符合本单元的测评指标要求;否则,部分符合本单元的测评指标要求。针对本测评单元,对该单元涉及的所有测评对象的判定结果进行汇总,如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果均为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。
5.重要数据存储机密性
具体测评单元如下:
a) 测评指标
采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。(第一级到第四级)
b) 测评对象
业务应用,以及提供机密性保护功能的密码产品。
c) 测评实施
1) 核查是否符合第5章通用测评要求中“密码算法和密码技术合规性”的测评要求;
2) 核查是否符合第5章通用测评要求中“密钥管理安全性”的测评要求;
3) 核查应用系统是否采用密码技术的加解密功能对重要数据在存储过程中进行机密性保护,并验证存储数据机密性保护机制是否正确和有效。
d) 结果判定
针对单个测评对象,如果以上测评实施内容均为是,则该测评对象符合本单元的测评指标要求;如果测评实施 3)为否,则不符合本单元的测评指标要求;否则,部分符合本单元的测评指标要求。针对本测评单元,对该单元涉及的所有测评对象的判定结果进行汇总,如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果均为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。
6.重要数据传输完整性
具体测评单元如下:
a) 测评指标
采用密码技术保证信息系统应用的重要数据在传输过程中的完整性。(第一级到第四级)
b) 测评对象
业务应用,以及提供完整性保护功能的密码产品。
c) 测评实施
1) 核查是否符合第5章通用测评要求中“密码算法和密码技术合规性”的测评要求;
2) 核查是否符合第5章通用测评要求中“密钥管理安全性”的测评要求;
3) 核查应用系统是否采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对重要数据在传输过程中进行完整性保护,并
验证传输数据完整性保护机制是否正确和有效。
d) 结果判定
针对单个测评对象,如果以上测评实施内容均为是,则该测评对象符合本单元的测评指标要求;如果测评实施 3)为否,则不符合本单元的测评指标要求;否则,部分符合本单元的测评指标要求。针对本测评单元,对该单元涉及的所有测评对象的判定结果进行汇总,如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果均为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。
7.重要数据存储完整性
具体测评单元如下:
a) 测评指标
采用密码技术保证信息系统应用的重要数据在存储过程中的完整性。(第一级到第四级)
b) 测评对象
业务应用,以及提供完整性保护功能的密码产品。
c) 测评实施
1) 核查是否符合第5章通用测评要求中“密码算法和密码技术合规性”的测评要求;
2) 核查是否符合第5章通用测评要求中“密钥管理安全性”的测评要求;
3) 核查应用系统是否采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对重要数据在存储过程中进行完整性保护,并验证存储数据完整性保护机制是否正确和有效。
d) 结果判定
针对单个测评对象,如果以上测评实施内容均为是,则该测评对象符合本单元的测评指标要求;如果测评实施 3)为否,则不符合本单元的测评指标要求;否则,部分符合本单元的测评指标要求。针对本测评单元,对该单元涉及的所有测评对象的判定结果进行汇总,如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果均为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。
8.不可否认性
具体测评单元如下:
a) 测评指标
在可能涉及法律责任认定的应用中,采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。(第三级到第四级)
b) 测评对象
业务应用,以及提供不可否认性功能的密码产品。
c) 测评实施
1) 核查是否符合第5章通用测评要求中“密码算法和密码技术合规性”的测评要求;
2) 核查是否符合第5章通用测评要求中“密钥管理安全性”的测评要求;
3) 核查应用系统是否采用基于公钥密码算法的数字签名机制等密码技术对数据原发行为和接收行为实现不可否认性,并验证不可否认性实现机制是否正确和有效。
d) 结果判定
针对单个测评对象,如果以上测评实施内容均为是,则该测评对象符合本单元的测评指标要求;如果测评实施 3)为否,则不符合本单元的测评指标要求;否则,部分符合本单元的测评指标要求。针对本测评单元,对该单元涉及的所有测评对象的判定结果进行汇总,如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果均为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。
关于“商用密码产品认证咨询”的相关资讯
