商用密码应用安全性评估----技术层面实现

这篇具有很好参考价值的文章主要介绍了商用密码应用安全性评估----技术层面实现。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

网络和通信安全  

     三个密码产品  SSL VPN IPSEC VPN  安全认证网关-----数字证书---双证书-----SM2签名  SM4加密   D 是否使用这些安全产品   A用的算法是否符合国家密码算法要求       K密钥管理是否安全(商用密码产品检测中心认证的)

      对象:一般划分根据

(1)网络类型:这里主要依据网络之间是否相对独立进行分类,如互联网、政务外网、 企业专网等:

(2)通信主体:指的是参与通信的各方,典型的如客户端与服务端。

怎么对通信实体进行身份鉴别:SM2(会话密钥的协商,保证会话的安全性) 国密浏览器 SSL密码套件:0xe103

怎么对通信数据的完整性保证:抓包 判断是否是否使用国密算法 HMACSM3

怎么保证通信过程中重要数据的机密性  SM4

怎么保证网络控制边界访问控制信息的完整性:看是否有安全认证网关 的配置文件或者对经过的路线进行检测配置是否网络边界访问控制信息的完整性(记录了但是没做安全保护)

怎么保证安全接入:

一般进行步骤 :访谈 文档查看 实地查看 检测点查看配置文件 工具测试

  根据不同网络区域干不同的事进行

抓包:证书(使用人 时间 密钥用途 算法SM2和SM3,颁发机构)  算法  版本号 1.2 0x0101

设备和计算安全

  对象:一般根据划分不同得

主要包括通用服务器(如应用服务器、数据库服务器)、数 据库管理系统整机类和系统类的密码产品、堡垒机,至少分成至少分为 密码 产品/设备、具有密码功能的网络及安全设备、采用密码技术的其他产品通用设备、不具 有密码功能的网络及安全设备、虚拟设备和系统。(跟系统相关的资产、密码产品、)

怎么对设备进行登录身份鉴别:一般是运维人员登录取证,同时进行抓包

怎么对保证远程管理通道安全:一般是运维人员登录取证,同时进行抓包

怎么保证系统资源访问控制信息的完整性 访谈一般查看设备配置文件 拍照求证(没保护)

怎么保证重要信息资源安全标记的完整性 访谈一般查看设备配置文件 拍照求证(没保护)

怎么保证日志记录的完整性:访谈一般查看设备配置文件没有就在拍照求证(没保护)

怎么保证重要可执行程序的完整性和重要可执行程序来源的真实性:访谈 拍照求证(没保护)

一般进行步骤 :访谈 文档查看 实地查看 检测点查看配置文件 工具测试

根据不同网络区域干不同的事进行

跟你系统相关的有那些密码产品 系统资源

是怎么管理的怎么运维的 一般怎么登陆的

如果是内网维护的则需要实地查验是否是本地运行 是否关闭外部运维接口。

服务器 一般分为Linux 和 windows, linux 抓包一般是tcpdump 使用TCP dump -i eth0 src ip -w/路径/  b.pcap 

Windows : 一般使用netsh trace start capture=YES report=YES persistent=YES //开启

netsh trace stop //停止

应用和数据安全

划分对象:一般是靠不同业务应用范围进行划分一般是不给大众看就是,还可以参考相关行业规范。业务应用,具体参考通过专家评审后的密码应用方案设定的范围确定。如无密码应用方案,应根据网络安全等级保护定级报告描述的范 围确定

怎么判断等级

怎么保证登录用户身份鉴别:用户登录查看F12看控制台的post或者get的报文

怎么保证访问控制信息的完整性:查看系统的配置文档是否有,是否进行密码技术进行保证完整性

怎么保证重要信息资源安全标记的完整性:查看系统的配置文档是否有,是否进行密码技术进行保证完整性

怎么保证重要数据传输机密性:抓包判断或者在网络层的保证的传输的机密性和完整性能保证应用层这款SM4-CBC

怎么保证重要数据存储机密性:一般是密码机保证 调用密码机SM4-CBC(消息确认码可以保证完整性)

怎么保证重要数据传输完整性:抓包判断或者在网络层的保证的传输的机密性和完整性能保证应用层这款SM3

怎么保证重要数据存储完整性:一般是使用密码机保证调用密码机HMAC-SM3

怎么保证不可否认性:

在抓应用层的数据包时,可能会与网络层数据包进行覆盖,使用F12观看

用自研代码:

1被测系统采用的密码产品应符合相应等级的密 码模块安全要求。对于未使用经检测认证的密码产品,通过开源或自研软件实现数据机密性 和完整性保护的情况,无法判断其密码模块安全等级,而且其采用的算法或密码技术实现安 全性以及软实现带来的密钥管理安全性均无法保证

2判定开源软件或自研软件在密码算法及技术实现方面是否存在高风险;另一 方面,应着重判断密钥全生命周期管理是否安全,应给出充分的密钥安全保护的证据。如其 自行开发或使用开源的软件实现密码功能,但存在密钥明文存储或可越权访问等密钥生命周 期中的高风险问题文章来源地址https://www.toymoban.com/news/detail-578848.html

到了这里,关于商用密码应用安全性评估----技术层面实现的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 商用密码应用与安全性评估要点笔记(密码标准和产品)

    3.5 密码标准和产品 词条 内容 智能IC卡分类 存储器卡,外部可对片内信息任意存储,存放不需要保密的信息 逻辑加密卡,硬件加密逻辑,具备简单的信息处理能力。保密要求较低的场合。 智能CPU卡,如银行卡、门禁卡、护照、身份证、社保卡、手机SIM卡 接触式(多个金属触

    2024年02月09日
    浏览(38)
  • 《商用密码应用与安全性评估》第三章商用密码标准与产品应用3.3商用密码产品检测

    GM/T 0028-2014《密码模块安全技术要求》将 密码模块 安全分为从一级到四级安全性逐次增强的 4个等级 GM/T 0008-2012《安全芯片密码检测准则》将 安全芯片 安全分为从一级到三级安全性逐次增强的 3个等级 。 对于不同安全等级密码产品的选用,应考虑以下两个方面∶ 运行环境提

    2024年02月06日
    浏览(71)
  • 《商用密码应用与安全性评估》第三章商用密码标准与产品应用3.2商用密码产品类别

    商用密码产品按形态可以划分为六类∶软件、芯片、模块、板卡、整机、系统 软件是指以纯软件形态出现的密码产品,如密码算法软件。 芯片是指以芯片形态出现的密码产品,如算法芯片、安全芯片。 模块是指将单一芯片或多芯片组装在同一块电路板上,具备专用密码功能

    2024年02月12日
    浏览(40)
  • 商用密码应用安全性评估从业人员考核知识点

    1. 密码政策法规(占比10%) 1.1党和国家关于密码工作的方针政策 1.2密码法律法规与规范性文件 1.3涉及密码的网络安全相关法律法规 1.4密码应用政策文件 2. 密码技术基础及相关标准(占比20%) 2.1密码学基础知识 2.2分组密码 2.3序列密码 2.4杂凑密码 2.5公钥密码 2.6实体鉴别协

    2024年02月04日
    浏览(57)
  • 商用密码应用安全性评估(密评)六大基础问题解答

    2021年3月9日,国家市场监管总局、国家标准化管理委员会发布公告,正式发布国家标准GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》,该标准将于2021年10月1日起正式实施。这是贯彻落实我国《密码法》,指导密评工作的一项基础性标准,对于规范和引导信息系统合规、正

    2024年02月16日
    浏览(42)
  • 商用密码应用与安全性评估要点笔记(密评测评方法)

    4.3 密评测评方法 词条 内容 密评方法 对密码算法、密码技术、密码产品和密码服务进行核查。 核查前的工作 确认在信息系统中,应当使用密码保护的资产是否采用了密码技术进行保护(默认情况下按照GB/T39786-2021中对应条款判定),如有不适用,信息系统责任方应当在密码

    2024年02月12日
    浏览(41)
  • 商用密码应用与安全性评估要点笔记(SM3密码杂凑算法)

    1、杂凑密码算法         可以对任意长度的消息M进行压缩,输出定长的消息摘要/杂凑值h,表示为h = H(M)。         一般来说,H具备三个性质:         (1)单向性。已知h,试图找打M满足h=H(M)是困难的。         (2)抗第二/二次原像攻击(弱抗碰撞性)。给定M1,试图

    2024年02月01日
    浏览(49)
  • 商用密码应用与安全性评估要点笔记(SM4算法)

    1、SM4算法简介         SM4是我国发布的分组密码算法,属于对称密码的一种。SM4在2006年公开发布,2012年成为行业标准(GMT 0002-2012 SM4分组密码算法),并于2021年成为国际标准。         SM2分组长度为128bit、密钥长度为128bit、采用32轮非线性迭代结构(非平衡Feistel结构)。

    2024年02月12日
    浏览(41)
  • 商用密码应用与安全性评估要点笔记(不公开的国密算法)

    国密算法中SM1、SM7算法不公开,调用该算法时,需要通过加密芯片的接口进行调用。 1、SM1国密算法         SM1 算法是分组密码算法,分组长度为128位,密钥长度都为 128 比特,算法安全保密强度及相关软硬件实现性能与 AES 相当,算法不公开, 仅以IP核的形式存在于芯片

    2024年02月12日
    浏览(39)
  • 商用密码应用与安全性评估要点笔记(SM2公钥加密算法)

    1、SM2算法简介         SM2密码算法是我国2010年发布的商用密码算法,属于公钥密码算法,也成为非对称密钥机制密码算法。SM2基于椭圆曲线离散对数问题,相对于RSA基于大整数因数分解更具优越性。         SM2算法于2012年成为我国密码行业标准,并于2017年被ISO采纳,成为

    2024年02月01日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包