數據保密性測評如何實施

• 訪談網絡管理員，詢問信息系統中的網絡設備的鑒別信息、敏感的系統管理數據和敏感的用戶數據是否采用加密或其他措施實現傳輸保密性；是否采用加密或其他措施實現存儲保密性，密碼機制強度是否足夠，密鑰保護和管理措施是否有效。

• 訪談系統管理員，詢問信息系統中的操作系統的鑒別信息、敏感的系統管理數據和敏感的用戶數據是否采用加密或其他措施實現傳輸保密性；是否采用加密或其他措施實現存儲保密性，密碼機制強度是否足夠，密鑰保護和管理措施是否有效。

• 訪談數據庫管理員，詢問信息系統中的數據庫系統的鑒別信息、敏感的系統管理數據和敏感的用戶數據是否采用加密或其他措施實現傳輸保密性；是否采用加密或其他措施實現存儲保密性，密碼機制強度是否足夠，密鑰保護和管理措施是否有效。

• 訪談安全管理員，詢問信息系統中應用系統的鑒別信息、敏感的系統管理數據和敏感的用戶數據是否采用加密或其他措施實現傳輸保密性；是否采用加密或其他措施實現存儲保密性，密碼機制強度是否足夠，密鑰保護和管理措施是否有效。

• 訪談安全管理員，詢問當使用便攜式和移動式設備時，對設備中的敏感信息是否加密存儲，密碼機制強度是否足夠，密鑰保護和管理措施是否有效。

• 檢查操作系統、網絡設備、數據庫管理系統、應用系統的設計/驗收文檔，查看其是否有關于系統的鑒別信息敏感的系統管理數據和敏感的用戶數據采用加密或其他措施實現傳輸保密性的描述，是否有采用加密或其他措施實現存儲保密性的描述。

• 檢查相關證明性材料(重點:招標文件、設計方案和設備技術指標、項目建設過程中的監理文檔、建成后的驗收材料等)，查看其是否有特定業務通信的通信信道的說明。

• 測試信息系統中的各種設備、操作系統、數據庫系統和應用系統，通過協議分析工具、網絡嗅探工具等獲取系統傳輸數據分組，查看其是否采用了加密或其他措施實現傳輸保密性，并嘗試對其進行破解，以驗證密碼機制強度是否足夠。

• 測試信息系統中的各種設備、操作系統、數據庫系統和應用系統，查看鑒別信息敏感數據等在系統中是否進行了加密存儲，并嘗試對加密存儲的內容進行破解，以驗證密碼機制強度是否足夠。

• 檢查信息系統中用于保障數據安全性的專用設備是否通過國家權威機構的認證或檢驗。

回答所涉及的環境：聯想天逸510S、Windows 10。