云服务怎么做密评?密评测评的具体实施步骤
随着云计算的发展,云服务器的使用率越来越高,很多用户都不清楚云服务怎么做密评?根据法规要求和信息系统的重要性,确定需要进行密评的具体系统和网络。密评方案是测评工作实施的基础,用于指导密评现场实施活动,今天就跟着小编一起了解下云服务器是怎么做密评工作的。
云服务怎么做密评?
密评,即商用密码应用安全性评估,是对采用商业密码技术的网络和信息系统进行合规性、正确性和有效性评估的过程。以下是密评的主要流程和涉及对象:
密评对象涉及四个方面:基础信息网络、重要信息系统(如能源、教育等)、工业控制系统和面向社会服务的政务信息系统。特别是关键信息基础设施和网络安全等级保护三级以上系统,每年需要至少进行一次评估。
进行密评时,系统需遵循密码算法(需符合法律法规和标准)、密码技术(合规性为核心)、密码产品(需通过国家核准并符合安全等级)和密码服务(如电子认证须获得许可)四个层面的要求。
密评流程包括五个关键环节:首先,评估密码应用方案,确保设计符合要求;其次,测评准备工作,提供系统详细资料和测评工具;接着,方案编制,确定测评目标,分析系统应用情况;现场测评阶段,通过访谈、文档审查等手段进行深入测试;最后,分析测评结果,编制详细的测评报告,包括各项结论和风险评估。
密评测评的具体实施步骤
密评测评的具体实施步骤包括以下几个主要阶段:
测评准备阶段:
项目启动:组建测评项目组,获取被测单位及被测信息系统的基本情况,包括基本资料、人员、计划安排等。
信息收集和分析:通过调查表格查阅被测信息系统资料,了解其构成和密码应用情况。
工具和表单准备:熟悉与被测信息系统相关的组件,校准测评工具,并准备各类表单。
方案编制阶段:
确定测评对象:根据了解到的被测信息系统信息,分析其业务应用系统和密码应用情况,确定测评对象。
确定测评指标:根据被测信息系统的定级结果,确定测评指标。
确定测评检查点:确定关键安全点进行现场检查,确保密码产品、服务和技术的合规性、正确性和有效性。
编制密评方案:整理和分析获取的资料,编制密评方案,包括项目概述、测评对象、测评指标、检查点和实施步骤等。
现场测评阶段:
实施准备:根据密评方案分步实施所有测评项目,了解被测信息系统真实的密码应用现状,并记录结果。
开展多种测评活动:通过抓包测试、查看关键设备配置等方法,确认密码算法、技术和服务的合规性、正确性和有效性。
报告编制阶段:
判定测评结果:根据现场测评结果,判定密码应用的合规性、正确性和有效性。
风险分析:分析测评中发现的风险和问题。
编制测评报告:撰写详细的测评报告,包括测评结果、风险分析和改进建议。
密评是指对涉密信息系统、网络和设备进行的安全评估。云服务怎么做密评?以上就是详细的步骤介绍,对于不少单位来说通过做好密评工作可以确定其安全等级,并提出相应的安全建议和措施。