【4】密评-网络和通信安全测评

0x01 依据       

GB/T 39786 -2021《 信息安全技术 信息系统密码应用基本要求》针对等保三级系统要求:

网络和通信层面:

a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性;

b)宜采用密码技术保证通信过程中数据的完整性;

c)应采用密码技术保证通信过程中重要数据的机密性;

d)宜采用密码技术保证网络边界访问控制信息的完整性;

e)采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性;(第四级)

0x02 测评实施 

a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性;

1、根据网络拓扑分析信道个数:用户内网访问信道,用户互联网访问信道,管理员运维内网信道,管理员互联网访问信道等。
2、需要询问管理员用户和普通用户在网络通信层面使用的信道是否一样? 特别是跨网络访问的情况,比如互联网访问信道。
3、VPN建立信道的,要查看VPN配置数字证书的情况,算法配置的情况,截图留存,要现场抓取VPN信道建立时的流量,根据报文,导出数字证书,查看证书签发机构,有效期、使用方法等信息。
4、如果采用国密浏览器,则提供国密浏览器产品认证证书电子版。
5、如果采用USBkey的方式建立信道,则需要提取用户数字证书,查看证书签发机构,有效期、使用方法等信息,还要提供USBKey的产品认证证书。

b)宜采用密码技术保证通信过程中数据的完整性;

1、此过程重要的是抓取报文,如果客户端直接访问web服务器,可以在客户端启动密评专用抓包工具,分析报文流量。
2、如果客户采用先拨VPN再访问应用系统的方式,则可以通过netsh 命令进行抓包,生成net.etl 再进行分析。
netsh trace start capture=YES report=YES persistent=YES  tracefile=c:\net.etl  maxSize=100M
netsh trace stop
3、如果在VPN之内访问应用,可以先通过openssl s_client -connect %addr%:%port%  -showcerts  -build_chain  >>%datestr%.log  命令尝试提取密码套件和证书。
4、可以直接通过浏览器下载证书和观察密码套件,需截图留存。

c)应采用密码技术保证通信过程中重要数据的机密性;

1、此过程重要的是抓取报文,如果客户端直接访问web服务器,可以在客户端启动密评专用抓包工具,分析报文流量。
2、如果客户采用先拨VPN再访问应用系统的方式,则可以通过netsh 命令进行抓包,生成net.etl 再进行分析。
netsh trace start capture=YES report=YES persistent=YES  tracefile=c:\net.etl  maxSize=100M
netsh trace stop
3、如果在VPN之内访问应用,可以先通过openssl s_client -connect %addr%:%port%  -showcerts  -build_chain  >>%datestr%.log  命令尝试提取密码套件和证书。
4、可以直接通过浏览器下载证书和观察密码套件,需截图留存。

d)宜采用密码技术保证网络边界访问控制信息的完整性;

1、目前阶段通过防火墙,路由器,交换机,网闸等做边界访问控制设备时,该项为不符合,业界如有设备对ACL做到了完整性保护,记录产品厂商型号。
2、VPN设备做边界访问控制设备时,有商密认证证书时,该项默认为符合。

e)采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性;(第四级)

1、常用的方法是 对接入设备进行指纹提取和匹配,保证设备的合法性。
2、VPN的远程接入只是网络层面的身份鉴别,不能保证设备的真实性,所以不能缓解。

  0x03 预期结果

a)身份鉴别

经核查,【XX信道】:1)【XX用户】使用【XXX国密浏览器与SSL VPN 安全网关建立访问信道,SSL VPN 安全网关密码套件配置为【X】;2)经抓取访问信道流量分析,传输信道使用商密TLCP协议进行保护,协商使用的密码套件为【X】;3)使用的身份鉴别算法为X,通信建立时客户端对服务端证书进行了单向身份鉴别,双证书机制,签名证书和加密证书签名算法为【SM2_with_SM3】;4)证书处于有效期内;5)SSL VPN 安全网关商密型号为【X】,商密产品认证证书编号为【GMXXXXXXX】,模块安全等级合规;【XXX国密浏览器】商密型号为【WS-KXLLQ-GM-FL-V1.0】,商密产品认证证书编号为【GMX】,模块安全等级合规。

b)通信数据的完整性

经核查,【XX信道】:1)【用户】使用【XXX国密浏览器】与SSL VPN 安全网关建立访问信道;2)经抓取网络访问信道流量分析,传输信道使用商密TLCP协议进行保护,协商使用的密码套件为【ECC_SM4_SM3(0xe013)】;3)SSL VPN 安全网关商密型号为【SJJ1929-G】,商密产品认证证书编号为【GM003719920201315】,模块安全等级合规;【XXX国密浏览器】商密型号为【WS-KXLLQ-GM-FL-V1.0】,商密产品认证证书编号为【GM001112220202035】,模块安全等级合规;4)建立SSL的数字证书为有资质的CA颁发机构生成,公私钥的生成和管理有保障。

 c)通信过程中重要数据的机密性

经核查,【XX信道】:1)【用户】使用【XXX国密浏览器】与SSL VPN 安全网关建立访问信道;2)经抓取网络访问信道流量分析,传输信道使用商密TLCP协议进行保护,协商使用的密码套件为【ECC_SM4_SM3(0xe013)】;3)SSL VPN 安全网关商密型号为【SJJ1929-G】,商密产品认证证书编号为【GM003719920201315】,模块安全等级合规;【XXX国密浏览器】商密型号为【WS-KXLLQ-GM-FL-V1.0】,商密产品认证证书编号为【GM001112220202035】,模块安全等级合规;4)建立SSL的数字证书为有资质的CA颁发机构生成,公私钥的生成和管理有保障。

d)网络边界访问控制信息的完整性

经核查,【XX信道】:1)客户端和服务端通信时,使用了SSL VPN安网关设备作为的安全接入网关, 该产品已获得商用密码产品认证证书,能够保证网络边界访问控制信息的完整性;2)SSL VPN 安全网关商密型号为【SJJ1929-G】,商密产品认证证书编号为【GM003719920201315】,模块安全等级合规,访问控制信息完整性检测的通过设备自身实现,密钥保存在设备自身的密码模块内。 

e)安全接入认证

经核查,【XX信道】1)从外部网络连接到内部网络采用了密码技术对设备进行认证,确保设备身份的真实性;2)采用的密码技术为【提取设备指纹通过电子签名或MAC等方式对设备指纹进行验证】。 

 0x04 取证材料

a)身份鉴别

1、VPN设备商用密码产品认证证书

2、VPN设备支持算法套件截图

SSL VPN

IPSec VPN

3、VPN设备实物图

4、VPN设备配置数字签名证书(有效期内)截图

5、VPN客户端与网关抓包,检查使用证书、实际采用算法

6、VPN设备访问控制信息

b)通信数据的完整性

1、VPN设备支持算法套件截图

2、VPN客户端与网关建立连接的截图

3、抓包确认HTTPS协议(部分密评厂商要看解密后数据)

c)通信过程中重要数据的完整性

1、VPN设备支持算法套件截图

2、VPN客户端与网关建立连接的截图

3、抓包确认HTTPS协议(部分密评厂商要看解密后数据)

d)网络边界访问控制信息的完整性

     原有设备不符合+商用密码认证证书(部分符合)


e)安全接入认证 (  一般不适用)

       “安全接入认证”指标适用于设备“物理地”从外部接入信息系统的内部网络之前对设备的身份鉴别,接入后,该设备将成为信息系统内部网络的一部分。比如智能手持移动终端设备接入信息系统网络的场景,对于移动智能终端设备接入的认证属于“安全接入认证”指标的测评范围,该类终端设备经认证接入信息系统网络后则成为网络内的一部分。

   

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/221243.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Linux gtest单元测试

1 安装git sudo apt-get install git2 下载googletest git clone https://github.com/google/googletest.git3 安装googletest 注意1: 如果在 make 过程中报错,可在 CMakeLists.txt 中增加如下行,再执行下面的命令: SET(CMAKE_CXX_FLAGS “-std=c++11”) 注意2: CMakeLists…

【GIT】.gitignore 在忽略目录中放开某目录

示例:忽略build下面的所有目录,只放开build/ast2500-default/workspace/recipes-phosphor/ 目录 .gitignore 实现文件代码 # 忽略 build 目录下的所有目录 # 并放开build/ast2500-default/workspace/recipes-phosphor/ build/* !build/ast2500-defaul…

【从零开始学习JVM | 第一篇】快速了解JVM

前言: 在探索现代软件开发的丰富生态系统时,我们不可避免地会遇到一个强大而神秘的存在——Java虚拟机(JVM)。作为Java语言最核心的组成之一,JVM已经超越了其最初的设计目标,成为一个多语言的运行平台&…

微前端 无界基本用法

目录 无界方案​ 应用加载机制和 js 沙箱机制​ 路由同步机制​ iframe 连接机制和 css 沙箱机制​ 通信机制​ 优势​ 无界入门 无界方案​ 在乾坤的issue中一个议题非常有意思,有个开发者提出能否利用iframe来实现js沙箱能力,这个idea启发了无…

EPWM初学笔记

时钟 PCLKCR0 PCLKCR1 EPWM总体预览 三部分就可以简单的使用EPWM 时基模块,比较模块,动作限定模块 时基模块 TBCTL时基控制寄存器 TBCTR计数寄存器 TBPHS相位寄存器 TBPRD周期寄存器 比较模块 CMPCTL比较控制寄存器 影子模式,加载模式 CMP…

nodejs+vue+elementui校园演出赞助艺术资源管理系统

系统主要分为系统管理员和学生、校外人员三个部分,系统管理员主要功能包括:首页、个人中心、学生管理、校外人员管理、社团信息管理、校内演出管理、校外商演管理、系统管理;基本上实现了整个基于vue的校园艺术资源管理系统的设计与实现信息管…

Linix服务器添加dns解析

Linix开通互联网域名地址出现,如下错误: 需要访问的服务器上添加dns解析 vim /etc/sysconfig/network-scripts/ifcfg-ens192 添加如下配置: DNS1202.96.134.13 重启网卡: systemctl restart network 注意如果是docker服务部署…

STM32(PWM、ADC)

1、PWM 定义 PWM,全称为脉冲宽度调制(Pulse Width Modulation),它通过改变信号的高电平和低电平的持续时间比例来控制输出信号的平均功率或电压。 PWM,全称为脉冲宽度调制(Pulse Width Modulation&#xff…

【SQL 基础教程】w3school-SQL-基础知识-总结笔记

SQL-基础-笔记 一、简介 1:什么是 SQL? SQL 是用于访问和处理数据库的标准的计算机语言。 SQL 指结构化查询语言 SQL 使我们有能力访问数据库 SQL 是一种 ANSI 的标准计算机语言 2:SQL 能做什么? SQL 可在数据库中插入新的记录、删…

css实现姓名两端对齐

1.1 效果 1.2 主要代码 text-align-last: justify; 1.3 html完整代码 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0&quo…

数据结构之插入排序

目录 前言 插入排序 直接插入排序 插入排序的时间复杂度 希尔排序 前言 在日常生活中&#xff0c;我们不经意间会遇到很多排序的场景&#xff0c;比如在某宝&#xff0c;某东上买东西&#xff0c;我们可以自己自定义价格是由高到低还是由低到高&#xff0c;再比如在王者某…

机器连接和工业边缘计算

软件应用和IT创新是制造业投资的主要驱动力。解决方案架构应围绕特定标准进行整合&#xff0c;并采用架构蓝图和最佳实践来满足最终用户的需求。此外&#xff0c;边缘计算&#xff08;Edge Computing&#xff09;也将在制造业中加速部署。 边缘计算是制造业的下一个变革驱动力。…

设计模式篇之创建型模式

目录 前言一、简单工厂模式二、工厂方法模式总结 前言 最近开始整理Java设计模式&#xff0c;本篇主要分享设计模式中的创建型模式&#xff0c;并给出demo代码&#xff0c;适合初中级开发学习。分享书籍《大话设计模式》&#xff0c;分享GitHub学习设计模式仓库。 一、简单工厂…

Zookeeper(服务注册中心)安装以及启动服务

概述 ZooKeeper是一个分布式的开源协调服务&#xff0c;用于管理和协调大规模分布式系统中的各种任务。它提供了一个简单的分层命名空间&#xff0c;以及对数据的强一致性&#xff08;ACID特性&#xff09;和高可用性的支持。 ZooKeeper提供了一个类似文件系统的层次结构&…

智能优化算法应用:基于混沌博弈算法无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用&#xff1a;基于混沌博弈算法无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用&#xff1a;基于混沌博弈算法无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.混沌博弈算法4.实验参数设定5.算法结果6.参考…

从零开始的Spring Cloud Gateway指南:构建强大微服务架构

目录 一、 什么是Gateway&#xff1f;1. 网关的由来2. 网关的作用3. 网关的技术实现 二、如何搭建一个简易网关服务1. 引入依赖2. 配置yml文件 三、进阶话题&#xff1a;过滤器和路由配置1. gateway的执行原理2. 路由断言工厂: Predicate Factory3. 网关过滤器&#xff1a;Gate…

UE Windows平台下Linux的交叉编译项目打包

UE Windows平台下Linux的交叉编译项目打包 交叉编译&#xff08;Cross-compilation&#xff09; 使得在以Windows为中心的工作流程中工作的游戏开发者能够以Linux为目标对项目进行打包。目前&#xff0c;只有Windows支持交叉编译。 交叉编译支持的平台 Windows | Linux-x86_…

java8 常用code

文章目录 前言一、lambda1. 排序1.1 按照对象属性排序&#xff1a;1.2 字符串List排序&#xff1a;1.3 数据库排序jpa 2. 聚合2.1 基本聚合&#xff08;返回对象list&#xff09;2.2 多字段组合聚合&#xff08;直接返回对象list数量&#xff09; 二、基础语法2.1 List2.1.1 数…

附录B 存储次层次结构回顾

1. 引言 缓存是指地址离开处理器后遇到的最高级或第一级存储器层次结构。 如果处理器在缓存中找到了所请求的数据项&#xff0c;就说发生了缓存命中。如果处理器没有在缓存中找到所请求的数据项&#xff0c;就说发生了缓存缺失。此时&#xff0c;包含所请求的字的固定大小的数…

五年制专转本经验分享

五年制专转本经验分享 提早设定学习目标&#xff0c;会让你努力更有方向&#xff01;同学们在大一、大二时不要以为专转本离你还很远&#xff0c;时际上根据我们十多年的培训经验来说&#xff0c;专转本备考越早准备越有利于通过&#xff01;大家知道英语科目的话&#xff0c;在…