首页
学习
活动
专区
圈层
工具
发布
技术百科首页 >密评 >密评中的安全审计评估要求是什么?

密评中的安全审计评估要求是什么?

词条归属:密评

1. 审计日志完整性保护

密评中对审计日志的密码应用要求:

  • 日志记录完整性:采用密码技术(如SM3哈希算法)保证日志记录的完整性,防止篡改
  • 日志存储完整性:采用密码技术保护日志存储的完整性
  • 日志传输完整性:远程传输日志时,采用密码技术保证传输过程中的完整性

2. 密码操作审计

密评中需要重点审计的密码操作:

  • 密钥操作审计:密钥生成、存储、分发、使用、备份、恢复、销毁等操作需全程审计
  • 密码设备操作审计:密码机、HSM等密码设备的操作需记录审计日志
  • 密码服务审计:CA证书签发、密钥管理服务调用等操作需记录审计日志
  • 异常操作审计:密码应用异常、密钥使用异常等操作需记录告警日志

3. 审计日志管理要求

密评中对审计日志管理的要求:

  • 日志留存期限:审计日志留存期限符合法律法规要求,通常不少于6个月
  • 日志访问控制:只有授权人员才能访问审计日志,防止日志被篡改或删除
  • 日志可追溯性:所有密码操作可追溯,包括操作主体、操作时间、操作内容、操作结果
  • 日志备份:审计日志需进行备份,防止日志丢失

4. 合规性检查

密评中对安全审计的合规性检查:

  • 审计策略合规性:审计策略是否符合GB/T 39786-2021的要求
  • 审计内容完整性:审计内容是否覆盖所有关键的密码应用操作
  • 审计日志安全性:审计日志本身是否采用了密码技术进行保护
  • 审计分析报告:是否定期生成审计分析报告,发现安全隐患
相关文章
汽车 TARA 威胁分析与商用密码应用评估方案解析
汽车 TARA 威胁分析与商用密码应用评估方案解析 摘要:TARA(Threat Analysis and Risk Assessment)是 ISO 21434 定义的核心风险分析方法,而商用密码应用评估(密评)是国内合规的必经之路。本文将两者结合,从密码技术支撑 TARA 的角度,分析汽车行业...
安当加密-焱垚
2026-06-29
1240
腾讯云运维安全中心(堡垒机)产品技术与应用洞察概要
本文详细解析了腾讯云运维安全中心(堡垒机)的产品特性与应用价值。作为一款自研的SaaS型云原生安全产品,它基于4A能力与零信任架构,具备云原生集成、全链路免密、轻量混合云管控及免运维等核心优势。产品旨在解决内部越权、数据泄露及等保密评合规等痛点,通过事前预防、事中监控与事后审计构建完善的三层防御体系,并结合畅捷通与搜狐的典型案例,展示了其在海量多云资产统管与自动化权限运维中的卓越成效。
gawain2048
2026-04-29
4160
汽车国密算法合规改造全指南
汽车国密算法合规改造全指南 摘要:随着《密码法》和GB/T 39786的深入推进,国密算法在汽车行业的应用已从"可选项"变为"必选项"。从ECU安全启动到V2X通信加密,从OTA固件签名到产线密钥注入,SM2/SM3/SM4正在全面替代RSA/AES/SHA-256。本文系统梳理汽车行业国密改造的...
安当加密-焱垚
2026-07-07
1080
密码测评 过程中应该注意的10个问题
当今世界,网络空间正在加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域、国家安全的新战场。密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,是国家安全的重要战略资源,也是国家实现安全可控信息技术体系弯道超车的重要突破口。
Power7089
2021-03-25
1.6K0
私有化部署的视频会议软件安全吗?(2026 深度评测)
摘要:私有化部署的视频会议软件并不天然等于“绝对安全”,但在数据主权、内网隔离、权限审计、信创国产化和业务系统集成方面,确实比普通公有云会议更适合政务、金融、医疗、央国企等高合规场景。本文从架构、数据流、加密、运维、国产化适配和选型避坑角度,评估私有云视频会议的真实安全边界。
用户12513169
2026-07-08
470
点击加载更多
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
领券