产品概述
明鉴密码应用安全检测评估系统(以下简称:密评工具箱)是信息系统运营单位开展密码测评工作的一体化专用设备,具有规范检查、工具调用、结果展示等功能,集成定制有专门的密码安全检查工具,为密码检查、测评工作提供专业检查知识和检查方法,并实现对获取数据的关联分析、统计比对、处理流转等功能,提高密码检查、测评工作的标准化、规范化和专业化水平。
明鉴密码应用安全检测评估系统是安恒信息技术股份有限公司经过密码安全团队的技术研究和风险评估项目经验并结合密码安全相关技术规范、标准,研制开发的一款针对物理和环境安全、设备和计算安全、网络和通信安全、应用和数据安全等的检查设备。
- 测评标准辅助:充分结合“GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》”、“《信息系统密码应用测评过程指南》”、“商用密码应用安全性评估报告模板(2020版)”等指导性文件,并形成检查知识库指导测评过程。
- 测评项目管理:模块中可对测评项目进行新建、修改、审核和批准等管理操作,对于已批准的项目进度显示为已完成,可以下载报告。测评项目相关数据使用国密算法进行加密,确保项目信息安全。
- 测评流程辅助:可以对被测系统进行信息采集,待测方根据实际情况输入待测系统的信息包括基本信息、承载业务情况、网络拓扑图、密码应用情况,也可以通过上传标准信息文档。
- 测评工具:系统集成了多款多款密码学测评工具,针对较高密码技术要求的测试项进行辅助测试,包括密码算法检测、通信协议检测、数字证书检测、随机数检测等。
产品介绍
2.1 产品硬件组成
密评工具箱包含1套密码测评管理系统(内置规范化密码测评流程及相关知识库,期望能将原本仅靠人力、分散的测评工作,变得更加系统化、流程化,工具化;期望简化测评人员的操作手续,对整个测评过程起到辅助作用)。同时配置有4个密码安全检查工具(包括通信协议检测工具、随机数检测工具、密码算法检测工具是、数字证书检测工具、电子印章检测工具、SSL通道扫描工具)。
2.2 产品功能概要
密评工具箱将4个密码测评工具通过“作业知识库”与《信息系统密码应用测评要求》等5项指导性文件进行结合,将密码相关安全要求检查方法在工具箱中的检查流程、检查工具种进行落地。同时,通过内置的标准化得分计算方法与差距分析方法能够有效提高测评人员的工作效率,同时可以使信息系统运营和使用单位从技术和管理角度明确了自身系统与密码安全要求的具体差异,是整改和建设的最佳依据。
2.3 产品功能结构
密评工具箱功能由“平台管理模块”、“任务执行模块”、“测评工具模块”三大模块组成。
- 平台管理模块
平台管理模块是整个工具箱的基础数据支撑模块,主要实现了整个工具箱管理平台的资源管理,包括检查任务的创建、编辑、删除等,检查工具的管理,检查工具及平台升级的管理等。
- 任务执行模块
任务执行模块是整个工具箱的任务流程管理模块,是信息系统运营和使用单位自检自查工作主要的操作模块。包括任务基本信息管理、被测系统情况调查、单元测评、整体测评、总体安全状态分析、总体评价,最终自动汇总各阶段检查结果形成符合规范模板的密码安全检查测评报告。测评工程中通过测评工具的使用完成相关技术类检测结果的判断,并且关联密码测评知识库完成对密码安全的检查全过程。
- 测评工具模块
测评工具模块是密码测评中技术检测模块,是密评相关安全要求符合情况检查、测评技术检测方法,该模块提供了6个技术检查工具,包括密码算法检测工具、数据证书检测工具、随机数检测工具、通信协议检测工具、电子印章检测工具、SSL通道扫描工具。
2.4 检查工具
| 序号 | 工具类别 | 检测方向 | 工具检查项 |
| 1 | 通信协议检测工具(SSLVPN、IPSecVPN) | 数据机密性、数据完整性、身份鉴别 | 自动解析协议消息类型,以及加密套件和协议中传输的证书 |
| 加密套件识别 | |||
| 协议中传输的证书获取检测 | |||
| 2 | 随机数检测工具(国标GBT 32915) | 密钥管理 | 随机数质量检测(国标 GBT 32915) |
| 3 | 密码算法检测工具(SM2/3/4、AES、RSA、ECC) | 数据机密性 | 密码算法验证SM2、RSA、ECC密钥加密正确 |
| 密码算法验证SM2、RSA、ECC密钥解密正确 | |||
| 数据完整性、身份鉴别 | 密码算法验证SM2、RSA、EC密钥签名正确 | ||
| 密码算法验证SM2、RSA、EC密钥验签正确 | |||
| 数据完整性 | 密码算法验证SM3 | ||
| 密码算法验证SHA-256 | |||
| 数据机密性、数据完整性 | 密码算法验证SM4、AES加密正确 | ||
| 密码算法验证SM4、AES解密正确 | |||
| 数据机密性 | 密码算法加密模式检测(ECB, CBC, CTR) | ||
| 4 | 数字证书检测工具(SM2、RSA、ECC) | 密钥管理、身份鉴别 | 证书格式解析检测 |
| 证书算法检测 | |||
| 证书私钥匹配验证 | |||
| 证书公私钥随机性检测 | |||
| 5 | 电子印章检测工具 | 印章、签名有效性检测 | 提供对电子签章文档完整性校验及内容解析,提取签章文档中解析电子印章数据,从签章有效性、证书有效性、所采用加密算法等角度,进行电子签章、印章有效性验证,给出验证结果与验证详情 |
| 6 | SSL通道扫描工具 | SSL通道安全性检测 | 通过远程检测方式对WEB进行SSL通道密码安全性检测,检测包括机密性和完整性协商结果、协议类型、国密算法套件、国密 SSL 证书有效性(证书链)、抗重放攻击,通道应用数据等检测功能,给出验证结果与验证详情 |
应用场景说明
- 测评准备:测评准备阶段,内置基本情况调查指引,实现包括基本信息、承载业务情况、网络拓扑图、密码应用情况等信息的采集。也可以信息采集工具,上传标准信息采集文档。
- 方案生成:系统预置多种密码测评方案模版,可灵活调整测评范围,解析待测方提交的待测系统的实际情况,自动生成测试方案,并导出测评方案,降低前期准备工作量,提高工作效率。
- 现场测评:在该阶段,测评全流程工作指引,可多人协作,按照预设置的方案逐项测评。内置密码学解析验证工具,辅助密法算法、随机数、证书、安全协议的检测,与测评项结果一一对应。
- 报告编制:标准化的报告模板与计分算法,确保结果准确性,对于测评的结果,自动进行评估汇总,实时统计。查看安全问题、风险评估、处置建议等,选择需要输出内容编制测评报告。
产品特点
- 安全:项目数据使用国密算法加密存储,安全无忧。
- 协作:可多人协作共同完成测评工作,效率高。
- 创新:内置密码检测工具,自动化识别、判别密码算法。
- 专业:内置完整测评流程覆盖密码测评全流程。
- 独立:一体化测评系统,测评过程不依赖第三方软件。
- 高效:自动生成测评方案、测评报告,自动完成测评工作70%工作量。
