信息安全等级保护之技术要求→应用安全→通信保密性

一、要求内容 

a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证; 

b)应对通信过程中的整个报文或会话过程进行加密; 

c)应基于硬件化的设备对重要通信过程进行加解密运算和密钥管理。 

二、实施建议 

无论在身份验证阶段还是数据传输阶段都使用加密的形式传输数据,通常的方法可以使用SSL或TLS等方式。 

三、常见问题 

应用系统通信数据加密往往忽视在连接建立初期的身份验证阶段。 

四、实施难点 

若增加完善的保密性通信功能需要协调开发厂家修改程序。 

五、测评方法 

形式 访谈,检查,测试。 对象 安全管理员,应用系统,相关证明材料(证书)。 

实施 

a)应访谈安全管理员,询问业务系统数据在通信过程中是否采取保密措施(如在通信双方建立连接之前利用密码技术进行会话初始化验证,在通信过程中对整个报文或会话过程进行加密等),具体措施有哪些,是否应用系统的通信都采取了上述措施; 

b)应检查应用系统,查看其是否基于硬件化的设备,产生密钥,进行加解密运算; 

c)应检查相关证明材料(证书),查看主要应用系统采用的密码算法是否符合国家有关部门要求; 

d)应测试应用系统,通过查看通信双方数据包的内容,查看系统是否能在通信双方建立连接之前,利用密码技术进行会话初始化验证(如SSL建立加密通道前是否利用密码技术进行会话初始验证);在通信过程中,是否对整个报文或会话过程进行加密。 

六、参考资料 

IATF 3.1中提供了一些通信过程中数据保密的方法: 4.3.2.3 通信流保护 数据填充可用来提供通信流保护。向通信协议携带的数据中增加冗余数据(通常随机地)可以隐藏基础数据的特征(如数据速率、数据频率等)。当与数据加密联合使用时,这一机制还能隐藏基础数据的内容。 地址隐藏也可用来提供通信流保护。地址隐藏包括网络地址转换:通过网络地址转换,一个局域网中的机器的IP 地址被替换为保护防火墙的地址。网络层地址可以被加密隧道隐藏,它也能提供数据的保密性。

如若转载,请注明出处:http://www.codingwhy.com/view/239.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com