问题一:如何确定设备和计算安全层面的测评对象?
解答如下:
设备和计算层面的测评对象主要包括通用服务器(如应用服务器、数据库服务器)、数据库管理系统、整机类和系统类的密码产品、堡垒机(当系统使用堡垒机用于对设备进行集中管理时,不涉及应用和数据安全层面)等。
交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备一般不作为设备和计算安全层面的测评对象。
需要注意若存在管理通道跨越边界的情况,需在网络和通信安全层面梳理一条远程管理数据传输通道作为测评对象。
建议在密评报告中,对设备和计算层面的测评对象进行分类整理和描述。至少分为密码产品/设备、具有密码功能的网络及安全设备、采用密码技术的其他产品、通用设备、不具有密码功能的网络及安全设备、虚拟设备和系统。
问题二:如何确定设备和计算安全层面的各个测评对象选取的粒度?
解答如下:
1、 通用服务器、堡垒机类
针对通用服务器和堡垒机,以“具有相同硬件、软件配置的设备”为粒度确定测评对象,即具有相同硬件配置(如生产厂商、型号等)和软件配置(如操作系统版本、中间件等)的服务器/堡垒机作为一个测评对象。
以通用服务器为例,若某一信息系统部署了5台生产厂为A、型号为B、操作系统版本为C的应用服务器,还部署了3台生产厂商为D、型号为E、操作系统版本为F的数据库服务器,则在《商用密码应用安全性评估报告》“设备和计算安全测评对象确定结果”中,以“应用服务器(A-B- C)、数据库服务器(D-E-F)”作为测评对象。
对通用服务器、堡垒机类的测评对象进行量化评估时,D/A/K均以各测评对象所包含的各个设备的实际应用情况的最低分值赋分。
2、 密码产品类
针对整机类密码产品(如IPSec VPN网关、SSL VPN网关、安全认证网关、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、云服务器密码机等)、系统类密码产品(如动态令牌认证系统、证书认证系统、证书认证密钥管理系统等),以“具有相同商用密码产品认证证书编号的密码产品”为粒度确定测评对象,即具有同一商用密码产品认证证书的密码产品作为一个测评对象。
比如,某一信息系统部署了5台商用密码产品认证证书编号均为GMxxx的IPSec VPN,则在《商用密码应用安全性评估报告》 “设备和计算安全测评对象确定结果”中,以“IPSec VPN(编号GMxxx)”作为测评对象。
对密码产品类测评对象进行量化评估时,D/A/K均以各测评对象所包含的各个整机类的密码产品或系统类密码产品的实际应用情况的最低分值赋分。
暂无评论内容