1. 物理和环境安全
密码技术在物理环境层面的应用评估:
- 身份鉴别:采用密码技术实现物理访问控制,如智能门禁系统
- 监控记录完整性保护:采用密码技术保证电子门禁记录、视频监控记录等数据的存储完整性
2. 网络和通信安全
密码技术在网络通信层面的应用评估:
- 身份鉴别:通信双方的身份真实性验证
- 通信数据完整性:保证网络传输过程中数据不被篡改
- 通信过程中重要数据的机密性:采用加密技术保护传输中的重要数据
- 网络边界访问控制信息完整性:保证访问控制策略的完整性
- 安全接入认证:远程接入时的身份鉴别和安全认证
3. 设备和计算安全
密码技术在设备计算层面的应用评估:
- 身份鉴别:设备用户的身份真实性验证
- 远程管理通道安全:远程管理通道的机密性和完整性保护
- 系统资源访问控制信息完整性:保证访问控制信息的完整性
- 重要信息资源安全标记完整性:保证安全标记的完整性
- 日志记录完整性:采用密码技术保护日志记录的完整性
- 重要可执行程序完整性:保证重要程序的完整性,防止恶意代码植入
- 重要可执行程序来源真实性:验证程序的来源可信
4. 应用和数据安全
密码技术在应用数据层面的应用评估:
- 身份鉴别:应用系统用户的身份真实性验证
- 访问控制信息完整性:保证访问控制策略的完整性
- 重要信息资源安全标记完整性:保证安全标记的完整性
- 重要数据传输机密性:采用加密技术保护传输中的重要数据
- 重要数据存储机密性:采用加密技术保护存储中的重要数据
- 重要数据存储完整性:采用密码技术保证存储数据的完整性
- 不可否认性:采用数字签名等技术实现行为的抗抵赖
5. 密钥管理
密钥全生命周期管理的评估:
- 密钥生成:密钥生成的随机性、合规性
- 密钥存储:密钥存储的安全性,防止非法访问
- 密钥分发:密钥分发过程的机密性、完整性、真实性保护
- 密钥使用:密钥使用的正确性和安全性
- 密钥备份与恢复:密钥备份恢复机制的安全性
- 密钥归档:归档密钥的安全管理
- 密钥销毁:密钥销毁的彻底性,保证无法恢复
在密钥管理实践中,可借助专业的密钥管理服务提升合规性和安全性。
6. 安全管理
密码安全管理制度的评估:
- 管理制度:密码安全管理制度的建立和发布
- 人员管理:关键岗位人员的设立、背景调查、技能考核及定期培训
- 建设运行:密码保障系统的建设、运行和维护管理
- 应急处置:密码应用安全事件的应急处置预案和演练