【3】密评-物理和环境安全测评

这篇具有很好参考价值的文章主要介绍了【3】密评-物理和环境安全测评。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

0x01 依据

     GB/T 39786 -2021《信息安全技术 信息系统密码应用基本要求》针对等保三级系统要求:

物理和环境层面:

a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性;

b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性;

c)宜采用密码技术保证视频监控音像记录数据的存储完整性;

 0x02 测评实施

a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性;

1)访谈被测系统的有关负责人,调研清楚系统所在的物理机房的位置,包括但不限于系统所在的IDC机房、容灾备份机房、云服务提供商机房、运营商机房、其他单位或部门管辖的机房等。

2)调研清楚系统所在的物理机房的安防设备的产品名称和型号,主要是电子门禁设备、电子门禁系统等。

3)查验被测电子门禁系统是否采用密码技术来确保进入重要区域人员身份鉴别信息的真实性,并截取相关关键数据,作为证据材料。

 b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性;

核查是否采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对电子门禁系统进出记录数据进行存储完整性保护并验证完整性保护机制是否正确和有效等。

1)查看系统所在机房的电子门禁系统的进出记录。

2)尝试修改电子门禁进出记录的相关数据,查看是否使用密码技术进行了存储的完整性保护。

3)对被测系统所处机房的电子门禁系统使用的密码技术技术进行分析,验证DAK是否均满足要求。

 c)宜采用密码技术保证视频监控音像记录数据的存储完整性;

核查是否采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对视频监控音像记录数据进行存储完整性保护,并验证完整性保护机制是否正确有效。

1)查看系统所在的机房的视频监控画面截图。

2)查看视频监控数据,尝试修改视频监控记录的相关数据,查看是否使用密码技术进行了存储的完整性保护。

3)对被测系统所处机房的视频监控系统使用使用的密码技术技术进行分析,验证DAK是否均满足要求。

  0x03 预期结果

a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性;

经核查,【机房】相关管理员、系统管理员,审查电子门禁系统相关技术文档,实地检查电子门禁系统后核实,机房访问人员在进入【XX机房】时使用国密CPU 门禁卡实现物理身份鉴别,算法为SM1。进入机房需要进行登记和查验,需要在大门处登记姓名、单位信息、并刷身份证,需要专门的机房管理人员带领进入,记录进入人员的身份信息。机房访问人员在进入机房区域部署有国密门禁读卡器对进入人员进行身份鉴别。电子门禁产品提供商为海康威视,门禁基本原理是,在国密CPU门禁卡的安全存取模块内提前导入的SM1密钥,在安全门禁读卡器中内置有国密PSAM卡,国密CPU门禁卡与安全门禁读卡器采用密钥分散的对称加密技术+随机数进行相互认证,以完成挑战-应答,从而验证机房进出人员身份的真实性。产品型号为【HT-XXX】,商密产品认证证书编号为【GMXXXX】,模块安全等级合规。

  b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性;

经核查,【机房】相关管理员、系统管理员,审查电子门禁系统相关技术文档,实地检查电子门禁系统,以及在安全管理系统后台尝试完整性保护验证措施后核实:电子门禁记录数据采用SM2 算法进行数字签名,并在检查完整性时校验签名值,从而保护其完整性。通过登录安全管理系统后台,可以查看电子门禁进出记录,每一条进出记录上均可进行一次且只能进行一次审计(即验证签名),查看后台数据库的电子门禁进出记录数据库表,发现电子门禁进出记录存储的内容包括一项签名值。完整性实现原理是:在电子门禁系统接受到来自读卡器的刷卡记录报文(无论刷卡成功与否)时,调用密码模块中的签名私钥,对该条进出记录事件的相关数据,采用SM2 算法进行签名,并将签名值连同门禁进出记录的相关字段存储在安全管理系统后台的数据库中。通过篡改门禁记录可以发现,安全管理系统审计该条门禁记录时会审计失败,即验证失败。产品型号为【HT-XXX】,商密产品认证证书编号为【GMXXXX】,模块安全等级合规。

 c)宜采用密码技术保证视频监控音像记录数据的存储完整性;

经核查,【机房】相关管理员、系统管理员,审查视频监控系统相关技术文档,实地检查视频监控系统,以及在视频监控系统将视频数据导出后检查视频文件后核实,视频音像监控记录数据采用HMAC-SM3 技术保护其完整性。通过登录视频安全管理系统,可以查看视频音像监控记录,通过核查得知,视频在存储前,对视频数据添加数字签名后,分散存储在磁盘阵列中,在导出或播放视频时,将分散的数据进行重组,并对视频数据进行验签,以保证其存储完整性。视频监控文件的导入导出均需要插入智能密码钥匙并输入PIN码后才能操作。
产品型号为【HT-XXX】,商密产品认证证书编号为【GMXXXX】,模块安全等级合规。

0x04 取证材料

a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性;

1、提供门禁设施照片

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

2、提供门禁系统人员进出日志截图

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全
3、机房进出记录登记表照片 

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

4、门禁系统、视频监控、智能IC卡,PCIE密码卡(商用密码产品证书

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

5、密钥注入器和门禁发卡器照片

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

 b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性;

 1、电子门禁系统,PCIE密码卡(商用密码产品证书

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

2、门禁卡记录的MAC值

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

3、HMAC-SM3算法截图

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

4、门禁记录被篡改报警信息

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

 c)宜采用密码技术保证视频监控音像记录数据的存储完整性;

 1、视频监控系统、PCIE密码卡(商密产品认证证书)

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

2、提供视频摄像头照片

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

3、提供视频监控照片

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

4、视频回放验证签名截图

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

5、视频记录MAC值

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

6、HMAC-SM3算法截图

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

7、视频记录被篡改提醒

      测试截取一段视频后进行播放,看是否提醒被篡改

0x05 其他情况

密评之物理和环境安全身份鉴别使用什么算法,商用密码应用安全性评估,密评,商用密码,物理和环境安全

在上述示例中:
9-1 中,可选择一个 密码 应用最合规、正确、有效的门禁进行测评,测评过程中两个门      禁中有一个满足测评要求即可。但是同时要注意,如果门禁 1 与门禁 2 之间物理区域还有      非授权人员可以访问的话,则必须对门 禁 2 测评;而外层门禁可能会起到安全加固和安全      风险缓解作用,密评机构需根据实际情况进行确认。
9-2 中,应选择门禁 1 测评。
9-3 中,门禁 1 和门禁 2 都需要测评。

 文章来源地址https://www.toymoban.com/news/detail-851341.html

到了这里,关于【3】密评-物理和环境安全测评的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全等级保护测评 S3A3 安全物理环境 详解_s2a3安全物理环境(1)

    测评要求 应用指南 ****a) 应将各类机柜、设施和设备等通过接地系统安全接地。 测评实施关注对象 机房内机柜、设施和设备接地情况 结果记录 经核查,XXX机房内机柜、设施和设备均已通过接地系统安全接地。 b ) 应采取措施防止感应雷,例如设置防雷保安器或过压保护装

    2024年04月15日
    浏览(49)
  • 【安全防御】身份鉴别技术

    身份认证技术用于在计算机网络中确认操作者的身份。在计算机网络世界中,用户的身份信息是用一组特定的数据来表示的,计算机也只能识别用户的数字身份。身份认证技术能够作为系统安全的第一道防线,主要用于确认网络用户的身份,防止非法访问和恶意攻击,确保数

    2024年02月03日
    浏览(39)
  • 商用密码应用与安全性评估要点笔记(密评管理测评要求、测评过程指南)

    4.5 密评管理测评要求 词条 内容 层面 管理制度(包括6个测评单元) 单元-1 具备密码应用安全管理制度(1-4级) 测评指标:具备密码应用安全管理制度,包括人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度 测评对象:安全管理制度类文档 测评实施

    2024年02月01日
    浏览(49)
  • 商用密码应用与安全性评估要点笔记(密评技术测评要求)

    4.4 密码应用技术测评要求 词条 内容 层面 物理和环境安全(包含3个测评单元) 单元-1 身份鉴别(1-4级) 测评指标:采用密码技术进行物理访问身份鉴别,保证重点区域进入人员身份真实性 测评对象:信息系统所在机房等重要区域及其电子门禁系统 测评实施:算法、技术、

    2024年02月04日
    浏览(69)
  • 操作系统安全:Windows与Linux的安全标识符,身份鉴别和访问控制

    「作者简介」: 2022年北京冬奥会中国代表队,CSDN Top100,学习更多干货,请关注专栏《网络安全自学教程》 操作系统有4个安全目标,也就是说想要保证操作系统的安全,就必须实现这4个需求: 标识系统中的用户和进行身份鉴别。 依据系统安全策略对用户的操作进行访问控

    2024年04月26日
    浏览(44)
  • ebay测评,物理环境与IP环境:解决平台风控问题的关键

    近期eBay平台出现了大量风控问题,导致许多买家账号受到影响。实际上,这主要是由于环境搭建方面存在主要问题。时至2023年,许多人的技术方案仍停留在几年前,要么使用一键新机工具配合国外IP,要么使用指纹浏览器配合国外IP。然而,平台的风控措施是不断变化的,技

    2024年02月09日
    浏览(47)
  • 物理与IP环境的重要性:打造稳定可靠的亚马逊测评环境

    在亚马逊平台上进行测评补单、撸卡和撸货等活动,首要问题是确保环境的安全性和稳定性。一个稳定的环境是进行测评和撸卡的基础,如果无法解决安全性问题,那么从事这些项目就不值得。在环境技术研发领域已经有六七年的经验,在早期测试了许多方案,如手机系统、

    2024年02月13日
    浏览(43)
  • 【密码学复习】第十章 身份鉴别

    身份鉴别的定义 定义:身份 鉴别 , 又称为身份识别、身份认证。它是证实客户的真实身份与其所声称的身份是否相符的过程。 口令身份鉴别       固定口令(四) 注册环节:双因子认证 ① 接收用户提供的口令 pw (PIN); ② 生成用户的其它信息(证书等),存入磁卡

    2024年02月08日
    浏览(53)
  • 身份鉴别解读与技术实现分析(1)

    6.1.4.1 身份鉴别 本项要求包括: a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施     在等级保护体系中,

    2024年02月06日
    浏览(35)
  • IPsec_SSL VPN身份鉴别过程简要

    一、IPsec VPN身份鉴别(参考国密标准《GMT 0022-2014 IPsec VPN技术规范》) IKE第一阶段(主模式) “消息2”由响应方发出,消息中具体包含一个SA载荷(确认所接受的SA提议)、响应方的签名证书和加密证书。此消息用明文传输,所以通过wireshark等协议分析工具可以详细看到消息

    2024年02月07日
    浏览(64)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包