国密改造

方案、产品、测评,多方位服务

产品简介

密评管理系统

商密应用评估管理系统是一款软件+硬件一体化的设备产品,呈现为(1U机架式服务器的形态),在整体上采用了B/S(浏览器/服务器)架构。在安装配置好系统后,测评人员可以使用浏览器登录到系统中。


商密应用评估管理系统,针对信息系统的密码应用测评工作,依据国标《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》和中国密码学会密评联委会发布的《信息系统密码应用测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》、《商用密码应用安全性评估报告模板(2020版)》等指导文件,为测评机构/被测单位统一的测评流程指导,保障测评标准落地、测评结果一致和测评工作高效。

产品优势

  • 自动化报告输出

    符合商用密码应用安全性评估报告模板。

  • 智能化量化打分

    根据量化评估规则自动计算评分。

  • 在线密评工具支持

    可选配丰富的密码测评工具。

产品功能

  • 实施标准和要求

    商密应用评估管理系统内置了国标《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》全文内容,支持在线查阅所有测评指标项和对应的等级要求。系统还基于《信息系统密码应用测评要求》,对密评的40多条测评指标项,进行了详细的测评实施和结果判定的步骤说明。测评人员在商密码应用评估管理系统的引导下,可以保证测评实施是合规有效的。

  • 测评全流程覆盖

    商密应用评估管理系统基于《信息系统密码应用测评过程指南》,覆盖了测评项目的整个流程,包括测评准备、方案编制、现场测评、分析与报告编制。其中测评准备阶段收集被测系统信息,方案编制阶段确定测评对象、测评指标、测评方法,现场测评阶段记录测评结果,分析与报告编制阶段将测评结果汇总,进行单元测评和整体测评,并进行风险分析和报告导出。

  • 信息采集和报告输出

    商密应用评估管理系统基于《商用密码应用安全性评估报告模板(2020版)》,对整个测评流程进行了自动化处理,包括测评准备阶段的自动化信息收集(支持采集信息的excelEXCEL格式模版导入),方案编制阶段的自动化WORD格式方案导出,以及分析与报告编制阶段的自动化测评结果汇总分析和最终测评报告的WORD格式导出。

  • 量化评估和高风险判定

    商密应用评估管理系统基于《商用密码应用安全性评估量化评估规则》,支持对被测系统自动化量化打分,并基于《信息系统密码应用高风险判定指引》,智能化引导测评人员对被测系统进行风险识别。此外,系统还内置了量化评估规则和高风险判定指引的相关文件全文内容,供测评人员在线查阅。

  • 密码测评工具支持

    商密应用评估管理系统自带丰富的测评工具,以帮助测评人员进行现场检测。包括4个基本工具:密码算法验证、安全协议分析、证书合规检测、数据机密性检测。

    密码算法验证

    支持 SM2 / SM3 / SM4 等商密算法,以及 RSA / AES / SHA 等国际算法的运算正确性验证。

    安全协议分析

    网络通信包解析,识别 TCP / IP 协议,支持 SSL / TLS、IPSec、SSL VPN、IPSec VPN等加密协议。

    证书合规检测

    X.509 数字证书解析,支持 RSA / ECC / SM2 等公钥证书类型,证书文件须是 PEM / DER格式编码。

    数据机密性检测

    数据加密后的机密性主要体现在其随机性,检测标准基于国标随机性检测标准(GMT 0005/GBT 32915)。


    客户如需更全面的测试工具,可以选配便携式密评工具箱商密应用评估便携式工具箱。

  • 项目人员管理

    商密应用评估管理系统支持登录用户的角色创建和管理,内置3个不同的测评角色,包括测评人、审核人、批准人。测评项目创建时可以灵活配置不同角色的人员,并且可以在测评过程中进行添加修改操作。

  • Ukey增强认证(可选)

    商密应用评估管理系统支持用户使用国密USB Key进行多因子身份认证。客户可根据需求选配这一功能。