密評“模擬”一次考，來看看你能答多少分→

發布時間：2024-06-27

瀏覽次數：3367

2024年高考落下帷幕，多地高考成績陸續公布，高考查分“名場面”屢上熱搜。

說到考卷，小天也想給大家分享一張考卷：密評“模擬”考！作為國家重要戰略資源，密碼是保障網絡與信息安全的核心技術和基礎支持，是保護國家安全的戰略性資源。《中華人民共和國密碼法》《商用密碼管理條例》《商用密碼應用安全性評估管理辦法》中均提到商用密碼應用安全性評估，明確指出關鍵信息基礎設施、政務信息系統建設都要“過密評”。

密評，大家都比較熟悉了。但“過密評”卻未必，用5W1H “六何”分析法來（What、Where、When、Who、Why、How）解析“過密評”這件事兒，可以更為清晰客觀地了解TA！

點擊問題，即可查看答案→

Q：What——密評是什么？

密評全稱是商用密碼應用安全性評估，旨在確保網絡與信息系統中商用密碼技術、產品和服務的合規性、正確性和有效性。

Q：Where——在哪里過密評？

密評的地點通常是在實際信息系統運行的機房中，具體的評估工作可能需要在密評機構的辦公地點或實際的信息系統環境中進行。在選擇密評機構和進行評估工作時，應注意確保機構的資質和專業性，并與機構充分溝通和配合。

Q：When——什么時間過密評？

具體的密評時間點應由系統運營者根據自身的安全需求和評估計劃來確定。通常，這可能會與系統的規劃、建設、投入運行等關鍵階段相結合，以確保在重要時刻之前完成評估。

Q：Who——什么人來過密評？

密評的參與人員主要包括密評人員、系統運營者、商用密碼檢測機構以及其他相關人員。密評人員負責執行評估工作，系統運營者負責配合評估并提供支持，商用密碼檢測機構負責接受委托并開展評估工作，其他相關人員可以根據需要協助工作。這些人員共同協作，確保密評工作的順利進行。

Q：Why——為什么要過密評？

在法律層面：根據《中華人民共和國密碼法》和相關法律法規，法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，并自行或委托商用密碼檢測機構開展商用密碼應用安全性評估。

在安全層面：密評可以及時發現在密碼應用過程中存在的問題，為網絡和信息安全提供科學的評價方法。通過密評，可以逐步規范密碼的使用和管理，從根本上改變密碼應用不廣泛、不規范、不安全的現狀，確保密碼在網絡和信息系統中得到有效應用。

劃重點劃重點，怎么過才是關鍵！

Q：How——如何過密評？

1、根據法規要求和信息系統的重要性，確定需要進行密評的具體系統和網絡；

2、詳細調查被測系統的基本信息、行業特征、密碼管理策略等；

3、基于收集的信息編制詳細的密碼應用改造方案；

4、根據密碼應用改造方案對信息系統進行改造；

5、組織測評機構對信息系統進行測評。

本文從管理與技術兩個層面總結凝練出密評建設中常見的8個問題，涵蓋“過密評”的重點、難點以及得分點，一起來學習下吧。

管理層面（30分）

1、如何建立完善密評管理制度？

管理制度應包括人員管理、密鑰管理、建設運行、應急處置、密碼軟硬件及介質等管理制度。

2、依據什么進行密評人員職責劃分？

根據GB/T 39786《信息安全技術信息系統密碼應用基本要求》，信息系統應具備密鑰管理員、密碼安全審計員、密碼操作員等相關人員。

3、密評方案的設置、評估有哪些要點？（重點※、難點△）

需在信息系統規劃階段，依據密碼相關標準和信息系統密碼應用需求，制定密碼應用方案并根據密碼應用方案制定密碼實施方案；測評時核查是否有通過評估的密碼應用方案，并核查是否按照密碼應用方案制定密碼實施方案。

4、如何進行密評的應急處置？

制定密碼應用應急策略，做好應急資源準備，當密碼應用安全事件發生時，立即啟動應急處置措施，結合實際情況及時處置。

天融信商密安全支撐

天融信可以提供涵蓋密評全流程的解決方案，結合客戶當前應用系統的運行狀況和功能，梳理密評場景并進行密碼建設方案設計，同時為客戶提供人員管理、密碼管理、建設運行、應急處置、密碼軟硬件及介質管理等制度，并安排專項人員跟進，為客戶密評全流程保駕護航。

技術層面（70分）

5、在物理和環境層面，有哪些技術得分點？（10分）

1）身份鑒別（重點※）

2）電子門禁記錄數據存儲完整性

3）視頻監控記錄數據存儲完整性

6、在網絡和通信層面，有哪些技術得分點？（20分）

1）身份鑒別（重點※）

2）通信數據完整性

3）通信過程中重要數據的機密性（重點※）

4）網絡邊界訪問控制信息的完整性

5）安全接入認證

7、在設備和計算層面，有哪些技術得分點？（10分）

1）身份鑒別（重點※）

2）遠程管理通道安全（重點※）

3）系統資源訪問控制信息完整性

4）重要信息資源安全標記完整性

5）日志記錄完整性

6）重要可執行程序完整性、重要可執行程序來源真實性

8、在應用和數據層面，有哪些技術得分點？（30分）

1）身份鑒別（重點※、難點△）

2）訪問控制信息完整性（難點△）

3）重要信息系統安全標記完整性

4）重要數據傳輸機密性（重點※、難點△）

5）重要數據存儲機密性（重點※、難點△）

6）重要數據傳輸完整性（難點△）

7）重要數據存儲完整性（重點※、難點△）

8）不可否認性（重點※）

天融信商密安全支撐

自1998年開始，天融信面向國內市場提供VPN產品，并于2001年首批通過商用密碼認證，歷經二十余年的技術積累與市場考驗，目前已具備成熟、完善的商用密碼解決方案，包括VPN、服務器密碼機、簽名驗簽服務器、PCI-E密碼卡、云服務器密碼機、密碼服務管理平臺、協同簽名系統、密鑰管理系統等商用密碼產品，滿足密評技術層面各類技術要求，助力客戶拿下密評“得分點”。