如何确定被测信息系统密码应用等级?
GB/T 39786-2021中的密码应用等级一般由网络安全等级保护的级别确定。信息系统根据GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》确定等级保护级别时,同步对应确定密码应用等级,即等保定级为第一级的网络与信息系统应遵循GB/T 39786-2021第一级密码应用基本要求,等保定级为第二级的网络与信息系统应遵循GB/T 39786-2021第二级密码应用基本要求,以此类推。对于未完成网络安全等级保护定级的重要信息系统,其密码应用等级至少为第三级。因此在进行密码测评时,建议至少先完成等保的定级备案。
资源池没过密评,客户能部署云密评专区过密评,拿到测评报告吗?
云平台是否过密评不会直接影响租户侧的密评结果,若平台侧已经通过密评,那么云上租户在进行商用密码应用安全性评估时可复用平台侧的部分结果,如云平台已经进行了测评且拿到符合要求的密评报告,那么云上租户在进行测评时可复用物理和环境安全(即机房)的测评结果,反之,若平台侧没有通过密评,那么云上租户在进行密码测评时则不能复用平台侧的测评结果,需要按照密评标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》逐条测评。
购买了云密评专区是否还需要购买密码测评服务?
需要,云密评专区主要为客户提供密码改造服务,即根据客户的业务需求提供加解密、签名验签、SSL加密服务等接口,协助客户按照密评标准满足身份鉴别、通道加密、重要数据存储等指标,需要由客户和云公司共同完成,而密码测评指的是系统建设/改造完成后委托密评机构按照密评标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等多个维度对系统进行测评,由测评机构、客户和云公司共同完成,目前全国共有48家密评机构可进行全国系统的测评。
应用系统是否涉及代码改造?
客户在购买了云密评专区后还需要对应用系统进行代码改造才能满足业务系统的密码需求,客户通过业务系统实际需求调用云密评专区对应的服务,如身份鉴别不满足需求,则需要调用身份认证服务对应的接口,如未对重要业务数据进行安全存储,则根据实际需求,若重要数据需要进行防泄漏(机密性)保护,则调用加解密服务接口以保证重要业务数据的存储机密性,若重要数据需要进行防篡改(完整性)保护,则调用签名验签及服务接口保证重要数据的存储完整性。云密评专区可提供的服务见下表。
密码服务 | 服务说明 |
---|---|
加解密服务 | 为应用系统提供重要数据的加密和解密服务,满足密评中对重要数据传输和存储的机密性要求。 |
身份认证服务 | 为应用系统提供对登录用户的基于国密数字证书的身份认证服务,保证应用系统用户身份的真实性,满足密评中对用户身份真实性鉴别的要求。 |
签名验签服务 | 为应用系统提供重要数据的签名和验签服务,满足密评中对重要数据传输和存储的完整性要求以及操作的不可否认性要求。 |
密钥管理服务 | 为应用系统提供集中的密钥全生命周期管理服务,满足密评中对密钥管理的安全性要求。 |
杂凑密码服务 | 为应用系统提供杂凑密码运算服务,满足密评中对重要数据传输和存储的完整性要求。 |
数字证书服务 | 为用户、应用或设备提供数字证书的签发、更新、注销等全生命周期的管理,为身份鉴别提供数字证书支撑服务。 |
SSL加密服务 | 提供网络通信通道的加密服务,满足密评中对网络和通信安全层面的数据传输机密性和完整性要求。 |
电子签章服务 | 为应用系统提供电子签章服务,电子签章以数字证书为基础,将数字签名、印章图片以及被签章对象进行结合,通过签章形式,满足不可否认性要求。 |
协同签名服务 | 配合移动端密码模块为应用系统移动端提供协同密码服务,满足移动端的密码应用合规性要求。 |
时间戳服务 | 为应用系统提供用于证明原发数据的产生时间,满足时间不可否认性的要求。 |
SSL VPN网关是什么?
SSL VPN网关是专为解决网络间安全互联设计的一款高性能安全产品,基于SSL协议为应用提供基于数字证书的高强度身份认证服务、高强度数据透明隧道加密服务,可以有效保护网络资源的安全访问。
数据加密网关是什么?
数据加密网关针对于数据库数据存储安全的高性能密码网关设备,是基于数据库透明加密原理的数据库主动防御产品,具有透明加解密及完整性保护、密钥合规生命周期管理、独立于数据库的权限控制等功能特性。
数据加密网关与通用服务器密码机的区别?
通用服务器密码机 | 数据库加密网关 |
---|---|
使用通用服务器密码机对代码进行改造实现对数据库数据加密 | 使用专用数据库加密网关进行应用集成实现数据库中数据透明加密 |
加密能力深入应用代码,用户自主性高 | 应用系统无需进行代码改造,应用集成数据库加密机即可完成数据库的加密改造,数据自动被加密和解密; |
应用需进行代码改造,用户、应用开发商、密码机厂商以及测评机构需要紧密配合;应用需要解决加密改造中碰到的技术难题(模糊查询等)。 | 某些加密模式需要改变应用和数据库的网络拓扑结构。 |