密评包含哪些核心技术内容？

1. 物理和环境安全

密码技术在物理环境层面的应用评估：

• 身份鉴别：采用密码技术实现物理访问控制，如智能门禁系统
• 监控记录完整性保护：采用密码技术保证电子门禁记录、视频监控记录等数据的存储完整性

2. 网络和通信安全

密码技术在网络通信层面的应用评估：

• 身份鉴别：通信双方的身份真实性验证
• 通信数据完整性：保证网络传输过程中数据不被篡改
• 通信过程中重要数据的机密性：采用加密技术保护传输中的重要数据
• 网络边界访问控制信息完整性：保证访问控制策略的完整性
• 安全接入认证：远程接入时的身份鉴别和安全认证

3. 设备和计算安全

密码技术在设备计算层面的应用评估：

• 身份鉴别：设备用户的身份真实性验证
• 远程管理通道安全：远程管理通道的机密性和完整性保护
• 系统资源访问控制信息完整性：保证访问控制信息的完整性
• 重要信息资源安全标记完整性：保证安全标记的完整性
• 日志记录完整性：采用密码技术保护日志记录的完整性
• 重要可执行程序完整性：保证重要程序的完整性，防止恶意代码植入
• 重要可执行程序来源真实性：验证程序的来源可信

4. 应用和数据安全

密码技术在应用数据层面的应用评估：

• 身份鉴别：应用系统用户的身份真实性验证
• 访问控制信息完整性：保证访问控制策略的完整性
• 重要信息资源安全标记完整性：保证安全标记的完整性
• 重要数据传输机密性：采用加密技术保护传输中的重要数据
• 重要数据存储机密性：采用加密技术保护存储中的重要数据
• 重要数据存储完整性：采用密码技术保证存储数据的完整性
• 不可否认性：采用数字签名等技术实现行为的抗抵赖

5. 密钥管理

密钥全生命周期管理的评估：

• 密钥生成：密钥生成的随机性、合规性
• 密钥存储：密钥存储的安全性，防止非法访问
• 密钥分发：密钥分发过程的机密性、完整性、真实性保护
• 密钥使用：密钥使用的正确性和安全性
• 密钥备份与恢复：密钥备份恢复机制的安全性
• 密钥归档：归档密钥的安全管理
• 密钥销毁：密钥销毁的彻底性，保证无法恢复

在密钥管理实践中，可借助专业的密钥管理服务提升合规性和安全性。

6. 安全管理

密码安全管理制度的评估：

• 管理制度：密码安全管理制度的建立和发布
• 人员管理：关键岗位人员的设立、背景调查、技能考核及定期培训
• 建设运行：密码保障系统的建设、运行和维护管理
• 应急处置：密码应用安全事件的应急处置预案和演练