如有计划办的企业,可协助解决企业人员问题,可咨询我们,v---x:133----四二捌五----2518
密钥生存周期管理检查要点 A.1 概述 密钥管理对于保证密钥全生存周期的安全性是至关重要的,可以保证密钥(除公钥外)不被非授权的访问、使用、泄露、修改和替换,可以保证公钥不被非授权的修改和替换。信息系统的应用与数据层面的密钥体系由业务系统根据密码应用需求在密码应用方案中明确。密钥管理包括密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节。以下给出各个环节的检查要点建议,检查结果可用于密码应用测评结果评判参考。 A.2 密钥产生 a) 检查目的 密钥产生所使用的随机数发生器或密钥协商算法是否为经国家密码管理部门核准的。 b) 检查对象 密钥、密钥管理制度及策略类文档,以及信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现。 c) 检查要点 1) 确认密钥是否在符合GB/T 37092的密码产品中产生; 2) 确认密钥协商算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求; 3) 核实密钥产生功能的正确性和有效性,如随机数发生器的运行状态、所产生密钥的关联信息,密钥关联信息包括密钥种类、长度、拥有者、使用起始时间、使用终止时间等。 A.3 密钥分发 a) 检查目的 密钥分发过程是否保证了密钥的机密性、完整性以及分发者、接收者身份的真实性等。 b) 检查对象 密钥、密钥管理制度及策略类文档,以及信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现。 c) 检查要点 1) 确认系统内部采用何种密钥分发方式—离线分发方式、在线分发方式、混合分发方式; 2) 确认密钥传递过程中信息系统使用了哪些密码技术对密钥进行处理以保护其机密性、完整性与真实性,并核实保护措施使用的正确性和有效性。 A.4 密钥存储 a) 检查目的 密钥(除公钥)存储过程是否保证了不被非授权的访问或篡改,公钥存储过程是否保证了不被非授权的篡改。 b) 检查对象密钥、密钥管理制度及策略类文档,以及信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现。 c) 检查要点 1) 确认系统内部所有密钥(除公钥)是否均以密文形式进行存储,或者位于受保护的安全区域; 2) 确认密钥(除公钥)存储过程中信息系统使用了哪些密码技术对密钥进行处理以保护其机密性(除公钥)、完整性,并核实保护措施使用的正确性和有效性; 3) 确认公钥存储过程中信息系统使用了哪些密码技术对公钥进行处理以保护其完整性,并核实保护措施使用的正确性和有效性。 A.5 密钥使用 a) 检查目的 所有密钥是否都有明确的用途且各类密钥是否均被正确地使用、管理。 b) 检查对象 密钥、密钥管理制度及策略类文档,以及信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现。 c) 检查要点 1) 确认信息系统内部是否具有严格的密钥使用管理机制,以及所有密钥是否有明确的用途并按用途被正确使用; 2) 确认信息系统是否具有公钥认证机制,以鉴别公钥的真实性与完整性,公钥密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求; 3) 确认信息系统采用了何种安全措施来防止密钥泄露或替换,是否使用了密码算法以及算法是否符合相关法规和标准的要求,并核实当发生密钥泄漏时,系统是否具备应急处理和响应措施; 4) 确认信息系统是否定期更换密钥,并核实密钥更换处理流程中是否采取有效措施保证密钥更换时的安全性。
密钥更新 a) 检查目的 密钥是否会根据相应的更新策略进行更新。 b) 检查对象 密钥、密钥管理制度及策略类文档,以及信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现。 c) 检查要点 1) 确认信息系统内部是否具有密钥的更新策略,并核实当密钥超过使用期限、已泄露或存在泄露风险时,是否会根据相应的更新策略进行密钥更新。 A.7 密钥归档 a) 检查目的 密钥归档过程是否保证了密钥的安全性和正确性,并生成了审计信息。 b) 检查对象 密钥、密钥管理制度及策略类文档,以及信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现。 c) 检查要点 1) 确认信息系统内部密钥归档时是否采取有效的安全措施,以保证归档密钥的安全性和正确性; 2) 核实归档密钥是否仅用于解密该密钥加密的历史信息或验证该密钥签名的历史信息; 3) 确认密钥归档的审计信息是否包括归档的密钥、归档的时间等信息。 A.8 密钥撤销 a) 检查目的 公钥证书是否具备撤销机制。 b) 检查对象 密钥、密钥管理制度及策略类文档,以及信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现。 c) 检查要点 1) 若信息系统内部使用公钥证书,则确认是否有公钥证书撤销机制和撤销机制的触发条件,并确认是否有效执行; 2) 核实撤销后的密钥是否已不具备使用效力。 A.9 密钥备份 a) 检查目的 密钥备份过程是否保证了密钥的机密性和完整性,并生成了审计信息。 b) 检查对象 密钥、密钥管理制度及策略类文档,以及信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现。 c) 检查要点 1) 若信息系统内部存在需要归档的密钥,则确认是否具有密钥备份机制并有效执行; 2) 确认密钥备份过程中系统使用了哪些密码技术对密钥进行处理以保护其机密性、完整性; 3) 确认密钥备份的审计信息是否包括备份的主体、时间等信息。 A.10 密钥恢复 a) 检查目的 密钥是否具备恢复机制,并生成审计信息。 b) 检查对象 密钥、密钥管理制度及策略类文档,以及信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现。 c) 检查要点 1) 确认系统内部是否具有密钥的恢复机制并有效执行; 2) 确认密钥恢复的审计信息是否包括恢复的主体、时间等信息。 A.11 密钥销毁 a) 检查目的 密钥是否具备销毁机制,销毁过程是否具备不可逆性。 b) 检查对象 密钥、密钥管理制度及策略类文档,以及信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现。 c) 检查要点 1) 确认系统内部是否具有密钥的销毁机制并有效执行; 2) 核实密钥销毁过程和销毁方式,确认是否密钥销毁后无法被恢复。
服务区域:广东省、广州(天河、萝岗开发区、黄埔开发区、南沙新区、番禺、花都、从化、增城、越秀、白云)、珠海市、中山市、江门市、佛山市、惠州市、东莞市、深圳市、肇庆市、云浮市、茂名市、湛江市、清远市、韶关市、梅州市、汕头市、潮州市、河源市、揭阳市、阳江市
全国各省、市、自治区:广东省、海南省、福建省、湖南省、四川省、重庆市、贵州省、云南省、广西壮族自治区、湖北省、河南省、山东省、河北省、陕西省、山西省、浙江省、江苏省、辽宁省、黑龙江省、吉林省、上海市、天津市、北京市、甘肃省、西藏自治区、安徽省、青海省、宁夏回族自治区、内蒙古自治区、新疆维吾尔族自治区
WX:一三三+++++四二捌伍++++++二伍一捌
本公司拥有通用航空企业经营许可(即民用无人驾驶航空器经许可):航空摄影、空中巡查、空中拍照、无人机测绘、空中广告、表演飞行等范围
无人机服务及相关业务:通用航空经营许可(即原来的:民用无人驾驶航空器经营许可、道路运输经营许可、AOPA无人机多旋翼驾驶员培训、无人机研发生产销售、无人机合作办学、无人机实训室建设、无人机集群表演(编队新款表演飞行秀 可支持定制3D无人机集群灯光秀)、无人机航拍,
