一、要求内容 

a)在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证； 

b)应对通信过程中的整个报文或会话过程进行加密； 

c)应基于硬件化的设备对重要通信过程进行加解密运算和密钥管理。 

二、实施建议 

无论在身份验证阶段还是数据传输阶段都使用加密的形式传输数据，通常的方法可以使用SSL或TLS等方式。 

三、常见问题 

应用系统通信数据加密往往忽视在连接建立初期的身份验证阶段。 

四、实施难点 

若增加完善的保密性通信功能需要协调开发厂家修改程序。 

五、测评方法 

形式 访谈，检查，测试。 对象 安全管理员，应用系统，相关证明材料（证书）。 

实施 

a)应访谈安全管理员，询问业务系统数据在通信过程中是否采取保密措施（如在通信双方建立连接之前利用密码技术进行会话初始化验证，在通信过程中对整个报文或会话过程进行加密等），具体措施有哪些，是否应用系统的通信都采取了上述措施； 

b)应检查应用系统，查看其是否基于硬件化的设备，产生密钥，进行加解密运算； 

c)应检查相关证明材料（证书），查看主要应用系统采用的密码算法是否符合国家有关部门要求； 

d)应测试应用系统，通过查看通信双方数据包的内容，查看系统是否能在通信双方建立连接之前，利用密码技术进行会话初始化验证（如SSL建立加密通道前是否利用密码技术进行会话初始验证）；在通信过程中，是否对整个报文或会话过程进行加密。 

六、参考资料 

IATF 3.1中提供了一些通信过程中数据保密的方法： 4．3．2．3 通信流保护 数据填充可用来提供通信流保护。向通信协议携带的数据中增加冗余数据（通常随机地）可以隐藏基础数据的特征（如数据速率、数据频率等）。当与数据加密联合使用时，这一机制还能隐藏基础数据的内容。 地址隐藏也可用来提供通信流保护。地址隐藏包括网络地址转换：通过网络地址转换，一个局域网中的机器的IP 地址被替换为保护防火墙的地址。网络层地址可以被加密隧道隐藏，它也能提供数据的保密性。