随着《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规陆续出台,国家与密码相关的法律法规体系逐渐健全,密码作为一种先进的生产工具,为新质生产力的发展提供安全保障。各单位需对标国家法律法规要求,及时发现乱用、弃用、误用密码技术、密码产品和服务的行为发生,避免滞后于国家政策要求,造成数据泄露等风险发生。
中科国昱密码应用安全性评估检测工具箱(cryptography application security evaluation toolbox)是一套采用密评任务管理和密码分析工具相结合,实现密码应用安全性评估的便携式一体化设备或软件系统。具有密评检查任务管理、密码分析工具调用、检查结果分析、密评报告自动生成、密码资产漏洞分析、密码设备日志自动解析等功能,能够对通信协议、密码算法、数字证书、电子签章、数字信封、随机数等密码应用的正确性、合规性、有效性进行分析验证。
中科国昱密码应用安全性评估检测工具箱主要用于密码应用安全性评估,对信息系统采用的密码技术、产品、服务和密钥管理等进行合规性、正确性、有效性的检测。测评机构或用户在使用测评工具开展现场测评时,应根据测评方案中确定的测评对象、测评指标、测评工具接入点及测评实施内容。
密码应用安全性评估检测工具箱,将机房、门禁系统、视频监控系统、重要业务系统、APP、数据库、密码资产、管理制度等作为测评对象,对密码安全管理制度、密码技术、密码算法、密码协议等情况进行安全性评估和检测,形成专业的密评报告,统计分析评估结果,智能化输出密评报告。密码应用安全性评估检测工具箱作为现场检查 人员的工作平台,用于执行现场密码安全检测评估任务,具备任务管理、测评管理、密码分析工具、漏洞分析、日志分析等,提供强大的密码应用安全分析能力、密评流程管理能力以及规范化管理能力。
全面展示密码应用安全性评估检测成果
全面展示评估检测任务、评估检测内容及评估检测结果,具备评估检测任务信息统计展示能力,包含评估检测对象、评估检测人员、评估检测问题分布等信息。
-
方便快捷的全面评估检测任务管理 全面的评估检测任务管理,能够新建任务、指派评估检测人员、关联评估检测对象,能对任务进行增删改查等操作;具备详细的评估检测任务信息展示能力,包含评估检测任务名称、任务开始时间、任务结束时间、评估检测对象、被检单位名称、评估检测人员等信息。
-
详细的评估检测指标管理 详细的评估检测指标管理,提供丰富的、系统化的密码应用安全评估检查指标,涵盖物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理等不同等级信息系统的评估检查内容;每个评估检查结果将被标记为符合、部分符合、不符合三种类型,为检查评估提供帮助。
-
强大的网络数据采集能力 基于规则配置的网络数据采集,既能全面采集网络数据,又能定向采集特定的网络数据。
-
支持多种数据源导入分析 既能支持在线数据网络采集,又能支持 Wireshark、Tcpdump 等工具采集分析存储的离线数据包为输入源,方便多种数据源的接入。
-
支持多种密码协议分析 支持常见国密协议和国际密码协议,对于私有密码协议,通过基于规则配置,也能做到快速支持。
-
支持多种密码算法分析 支持常见的国密算法和国际密码算法检测,对于私有密码算法,通过基于规则配置,也能做到快速支持。对密码应用使用密码算法能做到实时在线检测和离线检测。
-
专有的密码模块漏洞库 针对密码模块构建专有的漏洞库,对密码资产的安全漏洞可实现智能检测。
-
与第三方平台无缝对接 支持 XML、Json 等多种分析结果的导入和导出,与第三方平台实现无缝对接。
-
数字证书合规检测 对数字证书格式解析、数字证书有效性、数字证书应用等方面进行检测,通过流量采集提取数字证书或导入证书文件、分析验证等方法,判定证书的有效性和应用的正确性、合规性。
-
电子签章检测 实现对PDF和OFD文档校验分析,从签章文档中解析签章格式数据,提供对签章、印章验证功能,自动判断是否符合国密要求。
-
数字信封检测 对使用数字信封的数据内容进行检测,分析使用的加密算法、公钥算法等,判断是否符合国密要求。
-
随机数检测 对系统使用密钥随机数或网络传输中使用随机数的随机性进行检测,依据《GM/T0005-2012 随机性检测规范》规范,进行15项技术检测,测评人员使用检测结果进行辅助分析。
-
密评报告的自动化生成 密评机构在进行测评的时候,产生大量的数据,需要对数据进行核对验证等工作,量大且繁杂,密码应用安全性评估检测工具箱能完成复杂数据的整理、归类,并支持密评报告的自动生成,无须修改,即可打印,符合相关标准。
密码应用安全性评估检测工具箱可旁路部署,接入被评估检测单位网络,执行评估检测任务创建和管理、评估检测评估和流程管理等安全管理检查相关工作,不影响业务系统正常运行。
全面的流程化管理
密码应用安全性评估检测工具箱能够提供密码应用安全性评估检测流程和任务管理能力,规范评估检测流程和评估检测标准,支撑各单位快速、高效、自动化、规范化地开展密码应用安全性评估检测工作。
-
自动化密评报告生成 密码应用安全性评估检测工具箱具备评估检测结果的自动化分析和报告输出能力,能够有效减少人工分析工作量和降低分析难度,并且保证评估检测标准统一与评估检测尺度一致。
-
密码应用分析结果的自动填充 密码应用安全性评估检测工具箱具备将密码应用分析的结果自动填充到密评报告需要的位置,测评工程师只需要根据测评对象选择相对应的密码应用分析的结果。
-
专用评估检测分析工具与通用评估检测分析工具的融合 密码应用安全性评估检测工具箱提供专用评估检测套件如通信协议、密码算法、数字证书、电子签章、数字信封、随机数等评估检测能力,还提供通用评估检测套件如集成强大的漏洞扫描和资产探测能力,评估检测工程师无须带多个工具箱到用户现场。
-
提供强大的 SaaS 服务模式评估检测能力 密码应用安全性评估检测工具箱提供 SaaS 服务模式,在密评机构或客户内部部署 1 台高性能服务器,用于安装密码应用安全性评估检测工具箱软件,密评工程师通过安全可靠的传输通道连接密码应用安全性评估检测工具箱即可实现评估检测,无须带工具箱到被测评单位现场,仅需带抓包工具即可轻松完成测评或评估检测。
密码应用安全性评估检测工具箱,可应用于对各单位的密码应用安全性评估督查工作或密评机构密码应用测评工作,也可应用于各单位常态化密码应用安全自查整改工作。
-
规范化密码应用安全评估检测工作 统一密码应用安全评估检测标准与方法,降低评估检测技术门槛,提高评估检测效率和结果客观性,提高密码应用安全检查工作的标准化、规范化和专业化水平。
-
辅助决策密码应用安全建设方向 借助工具箱提供的密码应用安全评估检测报告,参照报告提供的整改建议,使用户能够有的放矢,解决密码应用安全建设短板,帮助用户打造密码应用安全保护体系,为用户密码应用安全建设保驾护航。
-
提高密码应用风险检查效率 工具箱提供一系列自动化专业技术分析工具,协助快速通过工具进行现场安全检查,精准识别密码应用安全状况,使密码应用安全保护评估检测工作的高效开展,提升工作质量和效率。
-
助力密码应用安全合规建设 满足国家监管需求,助力国家密码应用安全常态化评估检测发展方向,落实监管机构职能, 真正发挥密码的应用价值。使用户能够周期性发现日常运营过程中产生的隐患,从而能够快速做出整改以满足国家监管及行业监管方的密码应用安全合规要求。
欢迎电话咨询:周经理 18156072748