a）身份鉴别
系统管理员采用UKey使用基于SM2算法的数字证书进行身份鉴别，数字证书由XX颁发且在有效期内，Ukey具有商用密码产品认证证书。
普通用户采用“账号口令+短信验证”或省统一身份认证平台等方式进行登录，未使用密码技术实现身份鉴别。故身份鉴别指标符合情况判定为部分符合。

b）访问控制信息完整性
本系统用户权限由省统一身份认证平台进行分配，无二次授权，访问控制信息完整性存储由省统一身份认证平台实现。故访问控制信息完整性指标符合情况判定为不适用。

c）重要信息资源安全标记
《<XX系统密码应用方案>商用密码应用安全性评估报告》中重要信息资源安全标记完整性指标不适用，系统无重要信息资源安全标记完整性保护需求，故不适用。

d）重要数据传输机密性、重要数据传输完整性
系统未采用密码技术保证信息系统应用的重要数据在传输过程中的机密性和完整性。故重要数据传输机密性指标、重要数据传输完整性指标的符合情况判定为不符合。

e）重要数据存储机密性
系统通过调用云服务器密码机采用SM4算法实现XX系统鉴别数据、个人敏感信息、重要业务数据的存储机密性，云服务器密码机具有商用密码产品认证证书且符合二级密码模块要求。故重要数据存储机密性指标的符合情况判定为符合。

f）重要数据存储完整性
系统通过云服务器密码机采用HMAC-SM3技术实现XX系统的鉴别数据、个人敏感信息、重要业务数据、日志信息存储完整性，云服务器密码机具有商用密码产品认证证书且符合二级密码模块要求。故重要数据存储完整性指标的符合情况判定为符合。

g）不可否认性
系统未涉及法律责任认定，无不可否认性需求。
综上所述：应用和数据安全方面，身份鉴别为部分符合，访问控制信息完整性为不适用，重要信息资源安全标记完整性为不适用，重要数据传输机密性为不符合，重要数据存储机密性为符合，重要数据传输完整性为不符合，重要数据存储完整性为符合，不可否认性为不适用。

本文由 li_ 创作，采用 知识共享署名4.0 国际许可协议进行许可。
本站文章除注明转载/出处外，均为本站原创或翻译，转载前请务必署名。