1、明鉴密码应用安全测评工具箱耿彬彬Fred.keng安恒信息 高级产品经理CONTENTS目 录01.产品目标基于标准GB/T 39786-2021信息安全技术 信息系统密码应用基本要求,力争打造一款,专业易用的测评抓手。02.产品功能密码应用测评管理系统包含测评标准辅助、测评项目管理、测评流程辅助、�������测评工具四大能力模块。03.用户价值密码应用安全测评工具箱提供符合标准的测评流程引导,安全的测评项目管理过程,以及完备的技术检测。2022 W�����EST L AKE CYBERSECURIT YCONFERENCE01产品目标基于标准GB/T 39786-2021信息安全技术 信息系统密码应用基本要求,
2、力争打造一款,专业易用的测评抓手。产品目标通过集成多款密码学解析验证工具,用于测评算法的正确性、使用协议的正确性等,提升测试效率和测试结果的准确性。12测 评 抓 手专 业 易 用简化测评人员的操作手续,以系统化、流程化,工具化的工具形式对整个测评过程起到辅助作用,让密评工具成为密码应用安全的有力抓手。密码应用安全测评工具箱 将原本仅靠人����力、分散的测评工作,变得更加系统化、流程化,工具化 简化测评人员的操作手续,对整个测评过程起到强大的辅助作用02产品功能密码应用测评管理系统包含测评标准辅助、测评项目管理、测评流程辅助、测评工具四大能力模块。主线业务现场测评密评流程辅助测评过程,提升检测效率,
3、提高检测准确性!四大能力模块密码应用测评管理系�������统包含测评标准辅助、测评项目管理、测评流程辅助、������测评工具四大能力模块。测评工具中包含了随机数检测、密码算法检测、通信协议检测以及数字证书检测等多款密码学解析验证工具。流程指引多人协作测评工具自动报告作业知识库等保互通密评工具箱国密算法加密不依赖第三方工具随机数检测工具通信协议检测工具密码算法检测工具数字证书检测工具电子印章检测工具SSL通道扫描工具标准辅助能力检查范围检查内容检查项检查方法检查结果关联威胁危害分析密评知识库对信息安全技术信息系统密码应用基本要求进行解读,结合密码应用安全相关资产特性,形成密评知识库,为密评的开展提供必要的知识支撑。测
4、评项目管理测评人员在“项目管理”模块中可对测评项目进行新建,修改。在实际测评过程当中,可以通过��������表单分发的形式进行分工合作,在结果汇总的时候进行导入。项目进������度显示为已完成,可以下载报告,测评项目相关数据使用国密算法进行加密,确保项目信息安全。测评流程辅助信息采集方案生成单元测评整体测评风险评估编制报告完备技术检测能力支撑为提高测评效率,提高测评结果的准确性,系统集成了多款多款密码学测评工具,针对较高密码技术要求的测试项进行辅助测试,包括密码算法检测、通信协议检测、数字证书检测、随机数检测、电子印章检测、国密SSL通道检测工具等。测评工具覆盖了SM4,AES、RSA、ECC、SM2等多种符合相关法
5、律法规以及行业标准的算法。工具检测通信协议检测工具通信协议检测工具是协助密评工作中对系统通信过程中的密码应用检测,主要用于检测通信过程中对密码算法、安全协议、数字证书的使用是否合规进行测评密码算法检测工具密码算法检测工具是协助密评工作中对系统所使用的密码算法进行正确性检测。散列/哈希对称密码非对称密码数字签名转码与解码数字证书检测工具数字�������证书检测工具是协助密评工作中对系统中使用的数字证书进行合规性检测,通过工具对证书进行解析,分析其使用的算������法,从时间、签名、证书链等多角度判断证书的有效性随机数检测工具随机数检测工具是协助密评工作中对系统使用的密钥等随机数的随机性进行检测,以GM/T 0005-
6、2012随机性检测规范为依据,进行15项技术检测电子印章检测�������工具电子印章检测工具是实现 OFD 文档完整性校验及解析能力,从签章文档中解析电子签章数据等,实现签章验证服务功能,提供电子签章、印章验证能力,产生验证结果与验证详情国密SSL通道检测工具国密SSL通道检测工具包含以下检测项:协商结果、协议类型、国密算法套件、国密 SSL 证书有效性(证书链)、抗重放攻击,通道应用数据检测功能,包含以下检测项:机密性和完整性03用户价值密码应用安全测评工具箱提供符合标准的测评流程引导,安全的测评项目管理过程,以及完备的技术检测。用户价值安恒密评工具箱助力密码安全测评四大核心价值测评标准辅助:充分结合“
7、GB/T 39786-2021信息安全技术 信息系�������统密码应用基本要求”、“信息系统密码应用测评过程指南”、“商用密码应用安全性评估报告模板(2021版)”等指导性文件,并形成检查知识库指导测评过程,满足标准要求。测评项目管理:模块中可对测评项目进行新建,修改,审核和批准等管理操作并且����可以实现测评任务分解协同作战,对于已批准的项目进度显示为已完成,可以下载报告。测评项目相关数据使用国密算法进行加密,确保项目信息安全。测评流程辅助:可以对被测系统进行信息采集,待测方根据实际情况输入待测系统的信息包括基本信息、承载 业务情况、网络拓扑图、密码应用情况,也可以通过上传标准信息文档,实现简单易用。测评工具:系统集成了多款密码学测评工具,针对较高密码技术要求的测试项进行辅助测试,实现工具化标准检测。
sgpjbg002
工作日 8:30 - 17:30
报告分类
