密评:网络和通信层面

这篇具有很好参考价值的文章主要介绍了密评:网络和通信层面。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

依据GB/T 39786 -2021《信息安全技术 信息系统密码应用基本要求》针对等保三级系统要求:

网络和通信层面:

a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性;

b)宜采用密码技术保证通信过程中数据的完整性;

c)应采用密码技术保证通信过程中重要数据的机密性;

d)宜采用密码技术保证网络边界访问控制信息的完整性;

e)可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性;


说明:在描述这一块内容之前,我们要确定好网络和通信层面的测评对象(参考文件:《商用密码应用安全性评估FAQ》第二版)

       信息系统一般通过网络技术来实现与外界的互联互通,GB/T 39786-2021《信息安全技
术信息系统密码应用基本要求》规定了信息系统在网络和通信安全层面的密码应用技术要
求,这些要求涉及到通信的主体(通信双方)、信息系统与网络边界外建立的网络通信信道,以及提供通信保护功能的设备、组件和产品。

那么该如何确定网络和通信安全层面的测评对象呢?测评对象选取的粒度应该怎样把握呢?

       网络和通信安全层面的测评对象主要是针对跨网络访问的通信信道,这里的跨网络访问
指的是从不受保护的网络区域访问被测系统。

       可以从通信主体和网络类型两个方面来确定网络和通信安全层面的测评对象:

    (1)网络类型:这里主要依据网络之间是否相对独立进行分类,如互联网、政务外网、
企业专网
等;

    (2) 通信主体:指的是参与通信的各方,典型的如客户端与服务端。例如,PC机上运
行的浏览器与服务器上运行的web服务系统,移动智能终端上运行的APP与服务器上运行的
应用系统;也可以是服务端与服务端,例如,IPSec VPN与IPSec VPN之间。

网络边界访问控制信息完整性,密评,网络

假设某OA系统存在:

①办公内网国密浏览器与后台管理系统之间的通信信道;

②互联网VPN与运维SSL VPN之间的运维通信信道;

③政务外网IPSec与IPSec VPN之间的通信信道


 身份鉴别:(高风险)

测评指标:1)采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性(第一级到第三级)。

                  2)采用密码技术对通信实体进行双向身份鉴别,保证通信实体身份的真实性(第四级)。

测评对象:信息系统与网络边界外建立的网络通信信道,以及提供通信保护功能的设备或组件、密码产品。

可能缓解的措施:

测评实施步骤和取证材料:

测评实施:①利用Wireshark抓取办公内网国密浏览器与后台管理系统之间的通信信道的数据流量包,分析其通信过程中所使用的密码算法和密码技术是否符合商用密码应用安全性评估相关标准;

具体命令:ip.addr == xx.xx.xx.xx && tls

                  ip.addr == xx.xx.xx.xx&& tls && http.request.method == "POST"

如果有其他要求的话(端口号):ip.addr == xx.xx.xx.xx && tls && tcp.port == xxx

取证材料:wireshark抓取办公内网国密浏览器与后台管理系统之间的数据流量包截图、导出的数字证书截图、数字证书的有效性验证截图、证书的颁发者合规性证明截图等。

办公内网国密浏览器与后台管理系统之间的数据流量包截图 网络边界访问控制信息完整性,密评,网络
国密浏览器商用密码产品认证证书 网络边界访问控制信息完整性,密评,网络  
导出的数字证书截图 网络边界访问控制信息完整性,密评,网络
数字证书的有效性验证截图(有效期、颁发者、签名算法)  网络边界访问控制信息完整性,密评,网络
证书的颁发者合规性证明截图 网络边界访问控制信息完整性,密评,网络网络边界访问控制信息完整性,密评,网络
........ ........

测评实施:②利用Wireshark抓取互联网VPN与运维SSL VPN之间的运维通信信道的数据流量包,分析其通信过程中所使用的密码算法和密码技术是否符合商用密码应用安全性评估相关标准;

具体命令:ip.addr == xx.xx.xx.xx && tls

                  ip.addr == xx.xx.xx.xx&& tls && http.request.method == "POST"

如果有其他要求的话(端口号):ip.addr == xx.xx.xx.xx && tls && tcp.port == xxx

取证材料:wireshark抓取互联网VPN与运维SSL VPN之间的运维通信信道之间的数据流量包截图、SSL VPN配置文件截图、SSL VPN商用密码产品认证证书、流量导出的数字证书截图、数字证书的有效性验证截图、证书的颁发者合规性证明截图等。

wireshark抓取互联网VPN与运维SSL VPN之间的运维通信信道之间的数据流量包截图 网络边界访问控制信息完整性,密评,网络
SSL VPN配置文件截图 网络边界访问控制信息完整性,密评,网络
SSL VPN商用密码产品认证证书
流量导出的数字证书截图         同上的操作步骤(略)
数字证书的有效性验证截图         同上的操作步骤(略)                
证书的颁发者合规性证明截图         同上的操作步骤(略)
........... ............

测评实施: ③利用Wireshark抓取政务外网IPSec与IPSec VPN之间的通信信道的数据流量包,分析其通信过程中所使用的密码算法和密码技术是否符合商用密码应用安全性评估相关标准;

具体命令:ip.addr == xx.xx.xx.xx && isakmp   或者命令加端口限制等。

取证材料:wireshark抓取政务外网IPSec与IPSec VPN之间的通信信道之间的数据流量包截图、IPSec VPN配置文件截图、IPSec VPN商用密码产品认证证书、流量导出的数字证书截图、数字证书的有效性验证截图、证书的颁发者合规性证明截图等。

wireshark抓取政务外网IPSec与IPSec VPN之间的通信信道之间的数据流量包截图 网络边界访问控制信息完整性,密评,网络
IPSec VPN配置文件截图 网络边界访问控制信息完整性,密评,网络
IPSec VPN商用密码产品认证证书
流量导出的数字证书截图        同上的操作步骤(略)
数字证书的有效性验证截图        同上的操作步骤(略)                
证书的颁发者合规性证明截图        同上的操作步骤(略)
........... ............

通信数据的完整性:

测评指标:采用密码技术保证通信过程中数据的完整性(第一级到第四级)。

测评对象:信息系统与网络边界外建立的网络通信信道,以及提供通信保护功能的设备或组件、密码产品。

通信过程中重要数据的机密性:(高风险)

测评指标:采用密码技术保证通信过程中重要数据的机密性(第一级到第四级)。
测评对象:信息系统与网络边界外建立的网络通信信道,以及提供通信保护功能的设备或组件、密码产品。

可能缓解的措施:在“应用和数据安全”层面针对信息系统所有需要保护的重要数据传输采用符合要求的密码技术进行机密性保护,且加密后的数据流能够覆盖网络通信信道。

因为通信数据的完整性和通信过程中重要数据的机密性一般是通过算法套件同步实现的,所以在这一块统一描述:

测评实施步骤和取证材料:

测评实施:①利用Wireshark抓取办公内网国密浏览器与后台管理系统之间的通信信道的数据流量包,分析其通信过程中所使用的密码算法和密码技术是否符合商用密码应用安全性评估相关标准;

具体命令:ip.addr == xx.xx.xx.xx && tls

                  ip.addr == xx.xx.xx.xx&& tls && http.request.method == "POST"

如果有其他要求的话(端口号):ip.addr == xx.xx.xx.xx && tls && tcp.port == xxx

取证材料:wireshark抓取办公内网国密浏览器与后台管理系统之间的通信信道的数据流量算法套件的截图、配置文件等。

wireshark抓取办公内网国密浏览器与后台管理系统之间的通信信道的数据流量算法套件的截图 网络边界访问控制信息完整性,密评,网络
........... ..........

测评实施:②利用Wireshark抓取互联网VPN与运维SSL VPN之间的运维通信信道的数据流量包,分析其通信过程中所使用的密码算法和密码技术是否符合商用密码应用安全性评估相关标准;

具体命令:ip.addr == xx.xx.xx.xx && tls

                  ip.addr == xx.xx.xx.xx&& tls && http.request.method == "POST"

如果有其他要求的话(端口号):ip.addr == xx.xx.xx.xx && tls && tcp.port == xxx

取证材料:wireshark抓取互联网VPN与运维SSL VPN之间的运维通信信道之间的数据流量算法套件的截图、配置文件等。

wireshark抓取互联网VPN与运维SSL VPN之间的运维通信信道之间的数据流量算法套件的截图 网络边界访问控制信息完整性,密评,网络
............. .............

测评实施: ③利用Wireshark抓取政务外网IPSec与IPSec VPN之间的通信信道的数据流量包,分析其通信过程中所使用的密码算法和密码技术是否符合商用密码应用安全性评估相关标准;

具体命令:ip.addr == xx.xx.xx.xx && isakmp   或者命令加端口限制等。

取证材料:wireshark抓取政务外网IPSec与IPSec VPN之间的通信信道之间的数据流量算法套件的截图、配置文件等。

wireshark抓取政务外网IPSec与IPSec VPN之间的通信信道之间的数据流量算法套件的截图 网络边界访问控制信息完整性,密评,网络
............. ..............

网络边界访问控制信息的完整性:

测评指标:采用密码技术保证网络边界访问控制信息的完整性(第一级到第四级)。

测评对象:信息系统与网络边界外建立的网络通信信道,以及提供通信保护功能的设备或组件、密码产品。

注:在网络和通信安全层面,要求为“采用密码技术保证网络边界访问控制信息的完整性”,
强调的是网络边界。因此在该层面中,访问控制信息主要包括部署在网络边界的VPN中的访
问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等进行网络边界访问控制的
信息。

取证材料:SSL VPN/IPSec VPN的商用密码产品认证证书、SSL VPN/IPSec VPN中的访问控制列表等。

SSL VPN/IPSec VPN的商用密码产品认证证书
SSL VPN/IPSec VPN中的访问控制列表 网络边界访问控制信息完整性,密评,网络
........... ............

安全接入认证:(高风险、4级要求)

测评对象:采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入设备身份的真实性(第三级到第四级)。

测评指标:信息系统内部网络,以及提供设备入网接入认证功能的设备或组件、密码产品。

可能缓解的措施:

注:“安全接入认证”指标适用于设备“物理地”从外部接入信息系统的内部网络之前对设
备的身份鉴别,接入后,该设备将成为信息系统内部网络的一部分。比如移动设备接入 WiFi
的场景,对于移动设备接入的认证属于“安全接入认证”指标的测评范围。

说明:目前这块三级指标要求是“可”,具体测评实施要结合专家评审过的密码应用方案和实际测评环境,做出合理的判断(纳入测评范围或列为不适用)。


注:系统在实际的商用密码应用安全性评估的测评过程中可能或涉及到多条证据链来支撑测评结果的正确性(以上测评步骤和取证材料仅为参考)。


其他特殊情况:(流量分析是解析不出来本来的协议)浏览器内部设置问题

IE浏览器:

打开控制面板→选择Internet选项→管理浏览器加载项→高级 

网络边界访问控制信息完整性,密评,网络

②Google浏览器:

网络边界访问控制信息完整性,密评,网络

 ③火狐浏览器(参考: HTTPS背后的加密算法_明潮的博客-CSDN博客网络边界访问控制信息完整性,密评,网络网络边界访问控制信息完整性,密评,网络文章来源地址https://www.toymoban.com/news/detail-591003.html

到了这里,关于密评:网络和通信层面的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • ChatGPT是否能够处理对话中的信息丢失和不完整性?

    ChatGPT作为一种预训练的通用语言模型,在对话中处理信息丢失和不完整性方面具有一定的能力。信息丢失和不完整性是指在对话过程中,由于多种原因导致部分信息缺失或不完整。例如,用户可能省略了一些重要细节,或者在对话中存在断断续续的情况。ChatGPT可以通过上下

    2024年02月15日
    浏览(40)
  • 网络信息通信的安全问题以及解决方法

    网络通信笔记 窃听指A,B两者通信时被第三方窃听。例如:美国如何窃听海底光缆这类事件 这种情况也很好解决, 信息加密 就行 假冒是指第三方,冒充A(发送者)或B(接受者),与另外一方进行消息通信。类似盗号的操作 这种情况一般用,数据签名,和消息认证的方式解决 篡改

    2024年02月16日
    浏览(42)
  • 计算机网络——38报文完整性

    数字签名类比于手写签名 发送方数字签署了文件,前提是他是文件的拥有者/创建者 可验证性,不可伪造性,不可抵赖性 谁签署,接收方可以向他人证明是他,而不是其他人签署了这个文件 签署了什么:这份文件,而不是其他文件 简单的对m的数字签名 Bob使用他自己的私钥

    2024年04月12日
    浏览(38)
  • 【网络编程】| 搭建控制台通信demo

    前边我们提到TCP协议是面向的连接的,在 通信时客户端与服务器端必须建立连接 。在网络通讯中,第一次主动发起通讯的程序被称作客户端(Client)程序,简称客户端,而在第一次通讯中等待连接的程序被称作服务器端(Server)程序,简称服务器。 一旦通讯建立,则客户端和服务

    2024年02月06日
    浏览(42)
  • 计算机网络-ACL访问控制列表

    上一篇介绍NAT时候就看到了ACL这个东西了,这个是什么意思?有什么作用呢? 访问控制列表 (ACL, Access Control List)是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。简单来讲就是一个过滤列表,一般配合其它技术实现功能。

    2024年01月19日
    浏览(41)
  • 哈工大计算机网络课程网络安全基本原理详解之:消息完整性与数字签名

    这一小节,我们继续介绍网络完全中的另一个重要内容,就是消息完整性,也为后面的数字签名打下基础。 首先来看一下什么是报文完整性。 报文完整性,也称为消息完整性(message integrity),有时也称为报文/消息认证(或报文鉴别),目标: 证明报文确实来自声称的发送

    2024年02月15日
    浏览(47)
  • ACL 访问控制 过滤数据 维护网络安全(第七课)

    ACL是Access Control List(访问控制列表)的缩写,是一种用于控制文件、目录、网络设备等资源访问权限的方法。ACL可以对每个用户或用户组设置不同的访问权,即在访问控制清单中为每个用户或用户组指定允许或禁止访问该资源的权限。它通常由一系列规则组成,规则定义了一

    2024年02月10日
    浏览(49)
  • 网络系统集成综合实验(六)| 访问控制列表ACL配置

    目录 一、前言 二、实验目的 三、实验需求 四、实验步骤与现象 (一)基本ACL实验 Step1:构建拓扑图如下: Step2:PC的IP地址分别配置如下: Step3:路由器的IP地址配置如下 Step4:配置缺省路由使得各路由器可以通信 通信效果验证: Step5:ACL配置 效果验证: (二)高级ACL实

    2023年04月10日
    浏览(41)
  • 防火墙访问控制、安全审计、网络设备防护检查表

    原件: 防火墙标准检查表 分类 测评项 预期结果 访问控制 应在网络边界部署访问控制设备,启用访问控制功能 启用了访问控制规则 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级 配置数据流只允许授权的IP地址、协议、端口通过 应对进

    2024年02月04日
    浏览(56)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包