精华内容
下载资源
问答
  • 安全性类型不正确怎么处理
    万次阅读
    2019-12-29 11:56:30

    目录

    •写在前面

    •原子性

    加锁机制


    •写在前面

    进程想要执行任务需要依赖线程,换句话说就是进程中的最小执行单位就是线程,并且一个进程中至少有一个线程。提到多线程这里要说两个概念,就是串行和并行,搞清楚这个我们才能更好的理解多线程。所谓串行其实是相对于单条线程来执行多个任务来说的,我们就拿下载文件来举个例子,我们下载多个文件,在串行中它是按照一定的顺序去进行下载的,也就是说必须等下载完A之后,才能开始下载B,它们在时间上是不可能发生重叠的。

    要编写线程安全的代码,其核心在于要对状态访问操作进行管理,特别是对共享的和可变的状态的访问。要是的对象是线程安全的,需要采用同步机制来协同对对象可变状态的访问,如果无法实现协同,那么可能会导致数据破坏以及其他不该出现的结果。java中的同步机制是关键字synchronized,它提供了独占式的加锁方式,不仅如此还包括volatile类型变量,显式锁Lock以及原子变量。

    单线程近似定义为“所见即所知”,那么定义线程安全性,则当多个线程访问某个类时,这个类始终都能表现出正确的行为,那么就称这个类是线程安全的。一个类在单线程中运行都不正确,那么它肯定是不会是线程安全的。如果正确的实现了某个对象,那么在任何操作中(包括调用对象的公有方法或者对其公有域进行读写操作)都不会违背不变性条件或后验条件。在线程安全类的对象实例上执行的任何串行或并行操作都不会处于无效状态。

    无状态的对象一定是安全的,啥是无状态?这个类既不包括任何域,也不包括任何对其他类中域的引用。举个例子,大多数Servlet都是无状态的,从而极大的降低了在实现Servlet线程安全性时的复杂性,只有当Servlet在处理请求时需要保存一些信息,线程安全性才会成为一个问题。

    •原子性

    其实原子性就是一个不可分割的,我们怎么理解呢?举个例子,当我们在无状态对象中增加一个状态时,会发生什么情况?比我们要计算一个类调用了多少次(这个类可以是Servlet),我们定义一个私有的Long类型的域(命名为count),在方法中没调用一次就将这个值加一(即count++),如下。

       Integer count = 0;
       public void getCount() {
           count ++;
           System.out.println(count);
       }

    由于我们没有对这个类进行任何的同步机制操作,所以这个类是非线程安全的,虽然在单线程环境中能正确运行,但在多线程情况下就会出现问题。我们注意到count++这个操作,这个操作看上去是一个操作,其实这个操作并非原子性的,因为它并不会作为一个不可分割的操作来执行,实际上count++ 包含了三个独立的操作,分为读取count的值,将值加1,然后计算结构写入count中,这是一个“读取-修改-写入”的操作序列,并且其结果依赖于之前的状态。在并发下就会出现问题,我再多线程下跑了上面那段代码,结果如下

    我们可以看到,这里出现了两个26,为什么会出现这种情况,出现这种情况显然表明我们这个方法根本就不是线程安全的,出现这种问题的原因有很多,我们说最常见的一种,就是我们A线程在进入方法后,拿到了count的值,刚把这个值读取出来还没有改变count的值的时候,结果线程B也进来的,那么导致线程A和线程B拿到的count值是一样的。

    在并发编程中,这种由于不恰当的执行时序而出现不正确的结果是一种非常重要的情况,它有一个正式的名字,叫“竞态条件”。竞态条件是啥?当某个计算的正确性取决于多个线程的交替执行时序时,那么就会发生竞态条件,最常见的竞态条件类型就是“先检查后执行”操作,即通过一个可能失效的观察结果来决定下一步的动作。比如首先观察到某个条件为真(例如文件X不存在),然后根据这个观察结果采用相应的动作(创建文件X),但事实上,在你观察到这个结果以及开始创建文件之间,观察结果可能变得无效(另一个线程在这个期间创建了文件X),从而导致各种问题(未预期的异常、数据覆盖、文件被破坏等)。

    与大多数并发错误一样,竞态条件并不总是会产生错误,还需要某种不恰当的执行时序。原子操作是对于访问同一个状态的所有操作(包括该操作本身)来说,这个操作是一个以原子方式执行的操作。而我们前面提到的类似count++的这种操作,叫做复合操作,即包含了一组必须以原子方式执行的操作以确保线程安全性。在实际情况中,应该尽可能的使用现有的线程安全对象来管理类的状态,与非线程安全的对象相比,判断线程安全对象的可能状态及其状态转换情况要更为容易,从而也更容易维护和验证线程安全性。这里值得一提的是,java中给我们弄好了很多原子操作的类型,在这个包下java.util.concurrent.atomic。

    加锁机制

    上面我们说了,我们可以对单个类进行原子性操作,这样可以保证我们程序的安全性,但是,我们想一想,如果当多个原子性的操作同时进行时,而且各个原子性操作之间都存在相互依赖的关系,这种情况下,我们怎么保证程序运行正确(线程安全)?如果还是使用原子性操作的方法,那么我们要保持状态的一致性,就需要在单个原子操作中更新所有相关的状态变量。

    说到这里,我们就不得不提一下java提供的一种内置的锁机制来支持原子性,即同步代码块(synchronized block),同步代码快包括两部分,一个作为锁的对象引用,一个作为由这个锁保护的代码块。以关键字synchronized来修饰的方法就是一种横跨整个方法体的同步代码块,其中该同步代码块的锁就是方法调用所在的对象。每个Java对象都可以用作一个实现同步的锁,这些所被称为内置锁或监视器锁。线程在进入同步代码块之前会自动获得锁,并且在退出同步代码块时自动释放锁,这里要说,获得内置锁的唯一途径就是进入由这个锁保护的同步代码块或方法。值得一提的是,内置锁相当于一种互斥锁,意味着最多只有一个线程能持有这种锁。要注意了,任何一个执行同步代码块的线程,都不能看到有其他线程正在执行由同一锁保护的同步代码块(这里涉及到可见性的问题)。synchronized直接加在方法上,虽然能很方便的解决线程安全的问题,但是也会带来性能低下的问题,所以synchronized怎么使用,也是值得学习的。

    可重入函数可以由多于一个任务并发使用,而不必担心数据错误。相反,不可重入函数不能由超过一个任务所共享,除非能确保函数的互斥(或者使用信号量,或者在代码的关键部分禁用中断)。可重入函数可以在任意时刻被中断,稍后再继续运行,不会丢失数据。可重入函数要么使用本地变量,要么在使用全局变量时保护自己的数据。

    当某个线程请求一个由其他线程持有的锁时,发出请求的线程就会被阻塞,然而,由于内置锁是可重入的,因此如果某个线程试图获得一个已经由它自己持有的锁,那么这个请求就会成功。“重入”意味着获取锁的操作的粒度是线程,而不是调用。重入的一种实现方式是,为每一个锁关联一个获取计数值和一个所有者线程,当计数值为0时,这个锁就被认为是没有被任何线程持有。当线程请求一个未被持有的锁时,JVM将记下锁的持有者,并且将获取计数值置为1,如果同一个线程再次请求获取这个锁,计数值将递增,而当线程退出同步代码块时,计数器会相应的递减,当计数值为0时,这个锁将被释放。

    到此我们就可以将多个复合操作封装到一个同步代码块中,但是这样是不够的,如果用同步代码块来协调对某个变量的访问,那么在访问这个变量的所有位置上都需要使用同步。而且,当使用锁来协调对某个变量的访问是,在访问变量的所有位置上都要使用同一个锁。而且,并不是只有在写入共享变量时才需要使用同步,对于可能被多个线程同时访问的可变状态变量,在访问它时都需要有同一个锁,这种情况下,我们成状态变量时由这个锁保护的。

    在这里值得一提的是,当使用锁时,你应该清楚代码块中实现的功能,以及在执行该代码块时是否需要很长的时间。无论是执行计算密集的操作,还是在执行某个可能阻塞的操作,如果持有锁的时间过长,那么都会带来活跃性或性能的问题。当执行时间较长的计算或者可能无法快速完成的操作时(例如网络IO或控制台IO),一定不要持有锁。

    更多相关内容
  • 如何分析软件安全性需求

    千次阅读 2021-02-20 14:33:31
    软件安全性需求是指系统可靠地控制、监控和审计谁能够在哪种资源上执行哪种动作的能力,以及检测安全漏洞并从中恢复的能力。

    作者简介

    Gavin,程序员、软件架构师、企业架构师,关注智能制造。

    本文是专栏《智能制造系统架构》中的文章,其它文章请参阅入坑智能制造系统架构

    软件安全性需求是指系统可靠地控制、监控和审计谁能够在哪种资源上执行哪种动作的能力,以及检测安全漏洞并从中恢复的能力。

    安全策略与安全机制

    软件系统通过安全策略定义安全性需要。安全策略定义了系统对资源的控制和保证,以及应该给当事人赋予的表示,以确定对系统中的每种资源(或者每种类型的资源)有什么样的访问。典型的安全策略会根据系统内不同类型的当事人,各种类型的信息,以及每组当事人所需要的访问类型来定义信息访问策略。安全性策略还需要定义如何控制特定敏感系统操作的执行。策略也应该定义必须执行的信息完整性约束以及保护信息不会收到授权变更。

    安全策略通过安全机制来保证。安全机制是执行安全策略确定规则所需的技术、配置选项以及过程,它还会提供系统所需的机密性、完整性、可说明性和可用性的保证。

    常见安全机制包括:

    • 验证、授权和审计
    • 信息私有性和完整性机制
    • 不可否认机制
    • 系统可用性机制
    • 安全监控机制

    分析软件安全性需求的步骤

    分析软件安全性需求的步骤包括:

    1. 确定敏感资源:首先要确定要确保哪些资源的安全。系统所有的安全性都需要由关键的关注点来驱动。
    2. 定义安全策略:通过安全策略定义谁应该被信任、对哪些系统资源做出什么样的访问(以及所有在这种访问上的约束,如限制在特定的时间段或者每周特定的几天)、系统需要确保的完整性,以及访问敏感资源时所需要的可说明性。策略一般应该根据资源和用户的分组来定义(通常基于组织的单元和角色),而不是列举大量特定的情况。并且注意策略不是设计,因此它需要定义哪种访问会提供给谁,而不是定义如何到达这种访问方式。
    3. 识别对系统的威胁:识别出对安全策略可能存在的威胁。识别威胁清晰地定义了需要保护什么,以及需要针对什么威胁来保护。
    4. 设计安全实现:设计系统范围的安全性基础架构,从而可以在面临威胁模型中的风险时执行系统安全策略。这个步骤中,要考虑使用特定的安全技术,像单点登录系统、网络防火墙、SSL通信链接安全性、加密技术、策略管理系统等。
    5. 评估安全风险:为系统设计好安全性基础架构之后,需要重新评估风险,考虑安全性基础架构是否达到了可接受的成本和风险之间的平衡。

    安全性原则

    安全性原则包括:

    • 尽可能赋予最少量的权限:总是给安全性用户赋予他们执行任务所需的最少量权限。
    • 保证最弱环节的安全性:识别并改善系统安全性的最弱环节,直到安全性风险达到一种可接受的等级。
    • 深度防御:与其依赖于一种安全措施来应对系统的所有威胁,不如考虑对防御进行分层来提供更好的防护。
    • 分离和划分:应该尽量清晰地分离不同的责任,从而在需要的情况下,把各种责任的权限分配给不同的用户,并划分系统不同部分的职责,以实现独立控制。
    • 保持安全设计简单:安全性需求较强的系统需要足够简单,以使我们能够保证它的安全并加以验证。
    • 不要依赖于隐晦:系统的设计假设潜在的攻击者知道它如何实现。
    • 使用安全默认值:确保安全的默认行为对使用的系统安全性有效。
    • 安全地出现故障:确保即使系统出现了故障,也能安全地处理。
    • 假设外部实体不受信任:要确保所有外部实体在验证之前都是不受信任的,从而避免意料之外的情况违背安全性原则。
    • 审计敏感事件:大多数系统都包含了大量与安全相关的关键事件,如重新设置密码,分配强大的角色,以及操作审计轨迹等。这些敏感事件需要安全地进行审计,从而监控对它们的使用。

    安全性需求

    在软件架构设计时,应该考虑如下安全性相关的需求:

    遵守安全性原则

    对用户进行身份验证

    身份验证是要可靠地识别使用系统的参与者。特别是对于制造企业,随着网络化建设,互联网与企业的进一步融合,用户和设备及应用程序和数据正在向传统企业边界和控制区域之外迁移。这意味着,如果有人拥有正确的用户凭据,则他们将被允许进入他们请求的任何站点、应用程序或设备。这导致暴露的风险增加,从而瓦解了曾经值得信任的企业控制区域,并使许多公司面临数据泄露、恶意软件和勒索软件攻击的风险。因此企业网络的内部越来越不值得信任。因此,基于严格身份验证过程,定义了称为零信任的网络安全模式,只有经过身份验证和授权的用户和设备才能访问应用程序和数据。

    具体要求包括:

    • 唯一标识:系统中的每位参与者都应该由唯一标识
    • 账户管理方式:账户的产生、修改、变更、删除以及身份认证应采用统一的身份认证平台来实现。当参与者可能需要通过多种身份验证技术在不同系统作多重登录时,推荐在不同的底层系统上使用某种形式的单点登录技术作统一层。
    • 认证失败后的处理方式设计,防止黑客暴力猜测:连续失败登录后锁定账户。账户锁定后可以由系统管理员解锁,也可以在一段时间后自动解锁。
    • 区分公共区域和受限区域:将站点分割为公共访问区域和受限访问区域,受限区域只能接受特定用户的访问,而且用户必须通过站点的身份验证。当未经认证的用户试图访问受限资源时,应用应自动提示用户认证。
    • 使用强密码策略:内部系统的口令规则需要符合口令管理规则, 要求输入至少 8 位字符,其中要包含大写字母、小写字母、数字和特殊字符。
    • 能够禁用账户:在系统受到威胁时使凭证失效或禁用账户,则可以避免遭受进一步的攻击。
    • 不在用户存储中存储密码:如果必须验证密码,可以不实际存储密码。相反,可以存储一个单向哈希值,然后使用用户所提供的密码重新计算哈希值。为减少对用户存储的词典攻击威胁,可以使用强密码,并将随机 salt 值与该密码结合使用。
    • 支持密码有效期:密码不应固定不变,而应作为常规密码维护的一部分,通过设置密码有效期对密码进行更改。
    • 不在网络上以纯文本形式发送密码:以纯文本形式在网络上发送的密码容易被窃听。为了解决这一问题,应确保通信通道的安全,例如,使用 SSL 对数据流加密。
    • 保护身份验证 Cookie:身份验证 cookie 被窃取意味着登录被窃取。可以通过加密和安全的通信通道来保护验证凭证。另外,还应限制验证凭证的有效期,以防止因重复攻击导致的欺骗威胁。
    • 同一用户同时只允许登录一个:对进入保护区域的用户需要进行重新认证(比如从普通用户操作改变到管理员级别权限的操作、修改个人密码的操作)。
    • 不使用多重关键字查找:使用多重关键字查找用户记录可能会导致SQL或LDAP注入问题。比如同时使用用户名和密码作为键来查找用户记录,且不检测SQL或LDAP注入,则任一字段都可能产生风险。

    授权访问

    一旦识别了参与者,授权就会涉及限制和强迫允许那些参与者在系统中能做什么。具体要求包括:

    • 应用软件应包含用户权限分配和管理功能设计。如:
      • 系统读、写、执行权限设计。
      • 系统查看、配置、修改、删除、登录、运行等权限设计。
      • 数据访问范围的权限设计
      • 应用功能模块使用权限的设计
      • 限制用户对系统级资源的访问(系统级资源包括文件、文件夹、注册表项、Active Directory 对象、数据库对象、事件日志等。)
      • 应用使用的数据库账户必须是普通权限账户,只能访问允许的数据库;
      • 应用启动进程的权限应遵循“最小授权”原则
    • 应用使用的系统账号(运行环境中的)应遵循“最小授权”原则。不使用“Administrator”, “root”, “sa”, “sysman”, “Supervisor”或其它所有的特权用户被用来运行应用程序或连接到网站服务器,数据库,或中间件。
    • 调用方被映射到应用程序逻辑中间层中的角色,并基于角色成员身份限制对类和方法的访问权限。使用由当前调用方的角色成员身份所确定的有限标识集来执行下游资源访问。
    • 在条件允许的情况下,尽量采用统一的访问控制机制。

    确保信息保密性

    保密性确保只有信息的所有者以及他们选择的共享者才能够读取信息。

    保护敏感信息,具体要求包括:

    • 尽量避免存储机密:在软件中以完全安全的方式存储机密是不可能的。可以接触到服务器的系统管理员可以访问这些数据。例如,当仅仅是验证用户是否知道某个机密时,则没有必要存储该机密。在这种情况下,可以存储代表机密的哈希值,然后使用用户提供的值计算哈希值,以验证该用户是否知道该机密。
    • 不要在代码中存储机密:不要在代码中对机密进行硬编码。即使不将源代码暴露在 Web 服务器上,但从编译过的可执行文件中仍然可以提取字符串常量。配置漏洞可能会允许攻击者检索可执行文件。
    • 不要在永久性 cookie 中存储敏感数据:避免在永久性 cookie 中存储敏感数据。如果存储的是纯文本数据,最终用户能够看到并修改该数据。如果对其加密,必须考虑密钥管理。
    • 不要使用 HTTP-GET 协议传递敏感数据:避免使用 HTTP-GET 协议存储敏感数据,因为该协议使用查询字符串传递数据。使用查询字符串不能确保敏感数据的安全性,因为查询字符串经常被服务器记录下来。
    • 对数据进行加密或确保通信通道的安全:如果在网络上向客户端发送敏感数据,应对数据进行加密或确保通信通道的安全。通常的做法是在客户端与 Web 服务器之间使用 SSL。当应用系统无法达到此要求时可以通过网络访问控制等手段限制可以访问应用系统的用户。
    • 不要向客户端泄漏信息:发生故障时,不要暴露将会导致信息泄漏的消息。例如,不要暴露包括函数名以及调试内部版本时出问题的行数的堆栈跟踪详细信息。应向客户端返回一般性错误消息。
    • 记录详细的错误信息:向错误日志发送详细的错误消息。应该向服务或应用程序的客户发送最少量的信息,如一般性错误消息和自定义错误日志 ID,随后可以将这些信息映射到事件日志中的详细消息。确保没有记录密码或其他敏感数据。
    • 捕捉异常:使用结构化异常处理机制,并捕捉异常现象。这样做可以避免将应用程序置于不协调的状态,这种状态可能会导致信息泄漏。它还有助于保护应用程序免受拒绝服务攻击。

    选择合适的加密方法,具体要求包括:

    • 不使用自创加密方法:成功开发出加密算法和例程是非常难的。因此,应尽量使用平台提供的经过验证和测试的加密服务。
    • 使用正确的算法和密钥大小:选择了正确的算法非常重要,另外,应确保所使用的密钥大小能提供足够的安全级别。密钥越大,安全性越高。
    • 确保加密密钥的安全:加密密钥是输入加密及解密进程的秘密数字。为保证加密数据的安全,必须保护好密钥

    确保信息完整性

    完整性确保信息在未授权的情况下不会被变更(特别是在消息传递的过程中)。正确的输入验证是防御目前应用程序攻击的最有效方法之一。具体要求包括:

    • 对所有的输入进行安全验证:开始输入验证时,首先假定所有输入都是恶意的,除非有证据表明它们并无恶意。无论输入是来自服务、共享文件、用户还是数据库,只要其来源不在可信任的范围之内,就应对输入进行验证。
    • 采用集中验证方法:将输入验证策略作为应用程序设计的核心元素。考虑集中式验证方法,例如,通过使用共享库中的公共验证和筛选代码。这可确保验证规则应用的一致性。此外,还能减少开发的工作量,且有助于以后的维护工作。
    • 在服务器端进行验证:应使用服务器端代码执行其自身的验证。使用客户端验证可以造成攻击者绕过客户端或关闭客户端脚本例程(例如,通过禁用JavaScript 脚本)。
    • 确保用户没有绕过检查:确保用户没有通过操作参数而绕过检查。防止最终用户可以通过浏览器地址文本框操作 URL 参数。
    • 不信任 HTTP 头信息:HTTP 头在 HTTP 请求和响应开始时发送。应确保 Web 应用程序的任何安全决策都不是基于 HTTP 头中包含的信息,因为攻击者很容易操作 HTTP 头。
    • 注意标准化问题:标准化是指将数据转化为标准形式的过程。接受输入文件名、URL或用户名时必须先进行标准化。
    • 限制、拒绝和净化:输入输入验证的首选方法是从开始就限制允许输入的内容。按照已知的有效类型、模式和范围验证数据。使用以下策略:
      • 限制输入:定义一个筛选器,根据类型、长度、格式和范围来筛选输入的数据。定义应用程序字段可以接受的数据输入,并强制应用该定义。拒绝一切有害数据。
      • 验证数据的类型、长度、格式和范围:在适当的地方对输入数据使用强类型检查,检查字符串字段的长度,检查字符串的格式是否正确。
      • 拒绝已知的有害输入:要拒绝有害数据,需假定应用程序知道恶意输入的所有变体。
      • 净化输入:向客户端写回数据时,对用户输入的数据进行 HTML 编码和 URL 编码检查,过滤特殊字符(包括HTML关键字以及&,\r\n,两个\n等字符)。
    • SQL注入防范:进行数据库操作的时候,对用户提交的数据必须过滤 ’ ; -- 等特殊字符。
    • XML注入防范:当使用XML文件格式存储数据时,若使用Xpath和XSLT功能,必须过滤用户提交数据中的< >  / ' = " 等字符。

    确保可负责性

    很多系统都要求某些或者所有用户对他们的动作负责。在信息系统中可能需要两种不同形式的可负责性:消息的审计和不可抵赖性。审计通过记录系统用户所执行的操作日志,用于确定特定的情况是如何发生的。不可抵赖性要求能够以某种方式确定地识别出消息的创建者,而让他无法抵赖。

    审计的要求包括:

    • 审核并记录跨应用层的访问:审核并记录跨应用层的访问,以便用于认可。考虑应用程序如何在多重应用层间传送调用方标识。
    • 确保日志数据的安全:限制对日志数据的访问,加大了攻击者篡改日志数据以掩饰其攻击行为的难度。应将有权操作日志数据的个人数量减到最小。只为高度信任的账户(如管理员)授予访问权限。
    • 定期备份和分析日志数据:如果从不对日志数据进行分析,则记录活动没有任何意义。应定期(至少一月一次)备份生产服务器上的日志数据。

    保护可用性

    系统可用性既包括可靠性、软件复制、灾难恢复等,也包括可用性相关的安全性内容,保护系统使其免受降低可用性的恶意攻击。这样的攻击叫做拒绝服务(Denial Of Service, Dos)。

    应能设置系统会话时间,防止会话劫持和重复攻击的风险。

    • 限制会话寿命:对于高度保护的应用系统,可将超时时间设置为5分钟,低风险的应用系统设置不能超过20分钟。
    • 对身份验证 cookie 的内容进行加密:如果Cookie信息包含了身份验证信息,则必须对 cookie 内容进行加密。

    整合安全性技术

    安全性一般需要跨系统的多个部分来实现,所以需要对如何在系统中实现端到端的安全性尽早做出设计决定。在系统的安全设计方面,部分重要工作使确保安全性一致地实现,并且将不同部分的技术组合到一起,组成完整、整合的安全系统。

    提供安全性管理

    要确保计划和安全性实现能够得到有效的管理。

    对配置管理必须的安全要求包括:

    • 确保配置存储的安全:基于文本的配置文件、注册表和数据库是存储应用程序配置数据的常用方法。应避免在应用程序的 Web 空间使用配置文件,以防止可能出现的服务器配置漏洞导致配置文件被下载。应避免以纯文本形式存储机密,如数据库连接字符串或账户凭据。通过加密确保这些项目的安全,然后限制对包含加密数据的注册表项、文件或表的访问权限。
    • 使用最少特权进程和服务账户:应用程序配置的一个重要方面是用于运行 Web 服务器进程的进程账户,以及用于访问下游资源和系统的服务账户。应确保为这些账户设置最少特权。

    使用第三方的安全性基础架构

    尽可能地策略执行推到系统的底层基础设备中。

    检查列表

    获取需求的检查列表

    • 你是否确定了系统中包含的敏感资源?
    • 你是否确定了一系列需要访问资源的用户?
    • 你是否确定了系统对信息完整性保证的需求?
    • 你是否确定了系统的可用性需求?
    • 你是否确定了一种安全性策略,来定义系统所需要的安全性,包括允许哪些用户在哪些资源上执行哪些操作以及需要实施的信息完整性?
    • 安全策略是否简单?
    • 你是否已创建出正式的威胁模型,来识别系统所面临的安全性风险?
    • 你是否考虑了系统外部人员和内部人员的威胁?
    • 你是否考虑了系统外部人员和内部人员的威胁?
    • 你是否考虑了系统的部署环境如何根据系统的威胁而改变?
    • 你是否和利益相关者一起推出了示例场景,从而他们理解计划使用的安全策略以及系统所面临的安全性风险?
    • 你是否与外部专家一起对安全性需求进行了评审?

    架构定义的检查列表

    • 你是否在威胁模型中按照要求程度说明了每种威胁?
    • 你是否尽可能多地使用了第三方安全技术?
    • 你是否为安全性解决方案创建了集成的总体设计?
    • 在设计安全性基础架构的时候,你是否考虑了所有标准的安全性原则?
    • 你的安全性基础架构是是否尽量简单?
    • 你是否定义了如何识别违背安全性的情况以及如何从中恢复?
    • 你是否对所有影响到的视图都应用了安全性视角?
    • 外部专家是否评审了你的安全设计?

    参考资料

     

    展开全文
  • 密码应用安全性评估包括:信息系统规划阶段对密码应用方案的评审/评估、建设完成后对信息系统开展的实际测评 总体要求、物理和环境安全、网络与通信安全、设备与计算安全、应用与数据安全、密钥管理、安全管理 ...

    密码应用安全性评估包括:信息系统规划阶段对密码应用方案的评审/评估、建设完成后对信息系统开展的实际测评。

    总体要求、物理和环境安全、网络与通信安全、设备与计算安全、应用与数据安全、密钥管理、安全管理

    密码应用方案设计应遵循:总体性原则、科学性原则、完备性原则、可行性原则

    密码应用的基础支撑:密钥管理

    在设计密码应用解决方案时,应注意两大方面内容:

    1. 信息系统支撑平台的密码应用
    2. 信息系统业务应用的密码应用

    密码应用解决方案主要包括(一分析、两需求、四设计、三情况)系统现状分析、安全风险及控制需求、密码应用需求、总体方案设计、密码技术方案设计、管理体系设计与运维体系设计、安全与合规性设计等几个部分,并附加密码产品和服务应用情况、业务应用体系改造/建设情况、系统和环境改造/建设情况等内容

    密码应用改造解决方案设计要点:

    1. 要进行系统现状分析,主要对目标系统的规模、业务应用情况、网络拓扑、信息资源、软硬件组成、管理机制、密码应用等现状加以分析
    2. 要对信息系统面临的安全风险和风险控制需求进行分析
    3. 要从技术角度阐述密码应用解决方案的详细设计,重点对各个子系统、密码产品和服务、密码算法和协议、密码应用工作流程、密钥管理实现等部分进行描述
    4. 要进行管理体系设计与运维体系设计,主要是通过制度、人员、实施、应急等保障措施,合规、正确、有效地将密码技术方案部署到信息系统中
    5. 要对所有设计的密码应用方案进行自查
    6. 要对所设计的密码应用解决方案进行自查,每个要求项只能是“符合”或“不符合”。对于不适用项逐条论证,论证内容至少包括:网络或数据的安全需求(资产、数据等的重要性及其安全需求通常有等级保护定级、关键信息基础设施识别等来确定,密码应用解决方案设计时应继承这些内容)、不适用的具体原因(如环境约束、业务条件约束、经济社会稳定性等)和可满足安全要求并达到等效控制的其他替代性风险控制信息
    7. 要对密码产品和服务应用情况、业务系统改造/建设情况、系统和环境改造/建设情况等加以说明

    实施方案应包括:项目概述、项目组织、实施计划、实施内容、保障措施、经济概算

    密码应用应急处置方案首先对潜在的安全威胁(风险)进行分析,重点识别在项目实施过程中在密码/设备运行过程中可能发生的安全事件,并对安全事件进行分类分级应急处置方案应明确应急处置组织的结构职责,并针对潜在的安全威胁给出技术和管理上的应急响应机制及风险防范措施。应急处置方案还应当包括在安全事件发生后的信息公告流程损失评估程序,并给出各个应急处置方案的激活条件

    对于已建信息系统,从中提炼密码应用方案时应重点把握和解决以下问题:

    1. 明确信息系统的详细网络拓扑
    2. 摸清系统中已有的密码产品,包括嵌入在通用设备中的密码部件,如密码卡、软件密码模块等,并明确个密码产品在信息系统网络拓扑中的位置
    3. 梳理密钥管理层次,给出密钥全生命周期的管理过程
    4. 针对重要数据敏感信息,梳理其在信息系统中的流转过程受保护情况(如使用物理防护、密码技术保护或安全管理控制)

    GM/T 0054-2018《信息系统密码应用基本要求》:

    1. 总体要求:规定了密码算法、密码技术、密码产品和密码服务应当符合商用密码管理的相关规定,满足标准规范的相关要求,及合规性
    2. 密码功能要求:从保密性、完整性、真实性和不可否认性四个方面,规定了信息系统中需要用密码保护的对象
    3. 密码技术应用要求:标准的核心内容,分别从物理和环境安全、网络和通信安全、设备和计算安全、设备和计算安全、应用和数据安全四个层面规定了密码技术的应用要求。在总则的基础上,每层还包含了等级保护四个不同等级的具体要求。总则从整体角度给出了每个方面涉及的技术要求,但不规定具体要求。四个等级的要求和条款增加和强制性增强的方式逐级别提升
    4. 密钥管理:对密钥全生命周期的各个环节(密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档和销毁等)做了要求,分贝规定了等级保护四个不同级别的密钥管理要求
    5. 安全管理:从制度、人员、实施和应急等方面,规定了等级保护四个不同级别的安全管理要求
    6. 附录A给出了不同安全保护等级信息系统中的密码技术应用要求,汇总了要求的各个条款和不同等级的推荐强度(无要求、可、宜、应)
    7. 附录B列出了已经发布的密码行业标准

    注:现行国家标准为:GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》,详见:在线预览|GB/T 39786-2021

    测试单元四个组成部分:测评指标、测评对象、测评实施、结果判断

    满足密码算法要求的三种密码算法:

    1. 以国家标准或国家密码行业标准形式公开发布的密码算法
    2. 以特定行业、特定需求设计的专用算法及未公开的通用算法
    3. 由于国际互联互通等需要的兼容的其他算法

    密码技术:是指实现密码的加密保护和安全认证等功能的技术,除密码算法外,还包括密钥管理和密钥协议

    信息系统中使用的密码产品和密码模块都应通过国家密码管理部门的核准

    1. 等级保护第一级信息系统:对选用的密码产品的安全级别无特殊要求
    2. 等级保护第二级信息系统:”采用符合GM/T 0028-2014的二级以上密码模块或通过国家密码管理部门核准的硬件密码产品,实现密码运算和密码管理
    3. 等级保护第三级信息系统:”采用符合GM/T 0028-2014的三级以上密码模块或通过国家密码管理部门核准的硬件密码产品,实现密码运算和密码管理
    4. 等级保护第四级信息系统:”采用符合GM/T 0028-2014的三级以上密码模块或通过国家密码管理部门核准的硬件密码产品,实现密码运算和密码管理

    信息系统中使用的密码服务应通过国家密码管理部门许可(现阶段,密码服务许可的范围还集中在较为成熟的电子认证服务行业,国家密码管理局为通过安全性审查的第三方电子认证服务提供商颁发电子认证服务使用密码许可证商用密码认证机构将为认证合格的其他密码服务颁发相应的认证证书)


    不同等级应用基本要求汇总表见附录A

    等保三级密码技术应用要求(省略的为实现):

    技术要求: 4、6、7、9

    • 物理和环境安全:身份鉴别(宜)、电子门禁记录数据完整性(宜)、视频记录数据完整性(宜)、密码服务
    • 网络和通信安全:身份鉴别、通信数据完整性(宜)、通信过程中重要数据的机密性、网络边界访问控制信息完整性(宜)、安全接入(可)、密码服务
    • 设备和计算安全:身份鉴别、远程管理通道安全、系统资源访问控制信息完整性(宜)、重要信息资源安全标记完整性(宜)、日志记录完整性(宜)、重要可执行程序完整性与来源真实性(宜)、密码服务
    • 应用和数据安全:身份鉴别、访问控制信息完整性(宜)、重要信息资源安全标记完整性(宜)、重要数据传输机密性、重要数据存储机密性、重要数据传输完整性(宜)、重要数据存储完整性(宜)、不可否认性(宜)密码服务

    管理要求: 6、6、5、3

    • 制度:具备密码应用安全管理制度、密钥管理规则建立操作规程、定期修订安全管理制度、明确管理制度发布流程、制度执行过程记录留存(-)
    • 人员:了解并遵守密码相关法律法规、正确使用密码相关产品、建立岗位责任人员培训制度、建立关键岗位人员保密制度调离制度、设置密码管理技术岗位定期考核、背景调查(-)
    • 运行制定密码应用方案、制定实施方案、制定密钥安全管理策略、投入运行前进行密码应用安全性评估、定期开展密码应用安全性评估及攻防对抗演习
    • 应急:应急预案、事件处理、向有关主管部门上报处置情况

    GM/T 0054-2018 信息系统密码应用基本要求

    物理和环境安全密码应用总则:信息系统安全的基础

    1. 采用密码技术实施对重要场所、监控设备等的物理访问控制
    2. 采用密码技术对物理访问控制记录、监控信息等物理和环境的敏感信息数据实施完整性保护
    3. 采用密码技术实现的电子门禁系统应遵循GM/T 0036-2014要求

    1)身份鉴别:使用密码技术的真实性功能来保护物理访问控制身份鉴别信息,保护重要区域进入人员身份的真实性(门禁卡一卡一密,SM4算法鉴别人员身份)

    2)电子记录记录数据完整性:应使用密码技术的完整性功能来保证电子门禁系统进出记录完整性(采用MAC或数字签名对记录进行完整性保护)

    3)视频记录数据完整性:应使用密码技术的完整性功能来保证视频监控音像记录的完整性(采用MAC或数字签名对视频监控音像记录进行完整性保护,采用专用设备【如:服务器密码机、加密存储设备、视频加密系统】实现音像记录的完整性)

    4)密码模块实现:应采用符合GM/T 0028-2014要求的三级以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理(第四级信息系统要求,第三级信息系统推荐)

    网络和通信安全密码应用总则:

    1. 采用密码技术对连接到内部网络的设备进行安全认证
    2. 采用密码技术对通信的双方进行认证
    3. 采用密码技术保证通信过程中数据的完整性
    4. 采用密码技术保障通信过程中敏感信息数据字段或整个报文的保密性
    5. 采用密码技术保障网络边界访问控制信息、系统资源访问控制信息的完整性
    6. 采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理

    1)身份鉴别:在通信前基于密码技术对通信双方进行验证和认证,使用密码技术的保密性和真实性功能来实现防拦截防假冒防重用,保证传输过程中鉴别信息的保密性网络设备实体身份的真实性(真实性鉴别通常采用PKI技术实现,“双证书、双中心”部署模式)

    2)内部网络安全接入(四级信息系统要求):应采密码技术对连接到内部网络的设备进行身份鉴别,确保接入网络的设备真实可信(为确保接入内部网络的设备真实可信,首先需利用PKI等技术对所有授权接入设备进行身份唯一性鉴别。连接到内部网络的设备可分为两种情形:①设备从网络边界外接入控制;②设备从网络边界内连接内网。只有通过鉴别的设备才能访问信息系统内网资源)

    3)访问控制信息完整性:使用密码技术的完整性功能俩保证网络边界的系统资源访问控制信息的完整性(除使用防火墙等安全产品外,利用密码技术也能够实现对网络边界的完整性保护,如IPSec/SSL VPN内部的网络边界控制机制等。对于网络访问控制信息保护可采用密码产品对访问控制信息计算MAC或签名后保存以保证信息完整性)

    4)通信数据完整性:应采用密码技术保证通信过程中数据的完整性(通信数据的保密性和完整性是信息系统中最普遍的需求。通常可以采用符合标准的IPSec/SSL VPN来实现通信数据加密和完整性保护【也可以同时实现身份鉴别】)

    5)通信数据保密性:应采用密码技术来保证通信过程中敏感信息数据字段或整个报文的保密性(一般在实现通信数据完整性时可同时实现通信数据的保密性,非敏感网络字段可不进行机密性保护,但仍然需要进行完整性保护)

    6)集中管理通道安全:应采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理(应对管理通道内的敏感数据进行保密性和完整性保护,并与内部网络中的业务通道相分离)

    7)密码模块实现:应采用符合GM/T 0028-2014要求的三级以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理(第四级信息系统要求,第三级信息系统推荐)

    设备和计算安全密码应用总则:本质是保障密码技术的运行和计算环境安全

    1. 采用密码技术对登录的用户进行身份鉴别
    2. 采用密码技术的完整性功能来保证系统资源控制信息的完整性
    3. 采用密码技术的完整性功能来保证重要信息资源敏感标记的完整性
    4. 采用密码技术的完整性功能对重要程序或文件进行完整性保护
    5. 采用密码技术的完整性功能来对日志记录进行完整性保护

    使用密码技术对通用设备的具体保护方式如下:

    1. 利用智能密码钥匙、软件密码模块等身份鉴别介质作为设备管理员的身份凭证,在设备管理员进行设备登录时对其身份进行鉴别
    2. 对于通用设备重要审计日志信息、系统资源访问控制信息、重要信息资源敏感标记等,利用内置可信计算模块、密码卡、加密硬盘、软件密码模块或外接只能密码钥匙、服务器密码机等对他们进行数字签名/MAC计算,来验证这些信息在信息系统中的完整性

    1)身份鉴别:应使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换(身份鉴别有三种鉴别方式:①“知道什么”【如口令】;②“拥有什么”【如动态口令、智能密码钥匙】;③“是什么”【如指纹】。前两种都可以基于密码技术实现)

    2)远程管理鉴别信息保密性:在远程管理时,应使用密码技术的保密性功能来实现鉴别信息的防窃听(实现重要设备信息的完整性保护主要有两种方式:①利用设备内嵌的密码部件【如密码卡、软件密码模块、加密硬盘等】执行密码技术;②利用外部密码产品【如密码机、智能密码钥匙】执行密码计算。密码部件或密码产品需进行MAC或数字签名计算,对存储的系统资源访问控制信息、重要信息资源敏感标记和日志记录等进行完整性保护)

    3)敏感标记完整性:应使用密码技术的完整性功能来保证重要信息资源敏感标记的完整性

    4)重要程序或文件完整性:应采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性保护(“可信计算模块-BIOS-操作系统-重要程序或文件”是一种典型的给予可信计算技术的完整信任链,信任链基于PKI技术实现,将根CA证书存放在可信的安全单元内。如果信息系统不支持可信计算功能,可将信任锚【如根证书根公钥】存储在安全的环境下,通过基于该信任锚的数字签名技术来实现对重要程序或文件的完整性保护)

    5)日志记录完整性:应使用密码技术的完整性功能来对日志记录进行完整性保护(涉及身份鉴别、远程管理和操作等关键日志记录需要进行完整性保护,日志记录可与设备日常运行相分离,日志记录统一发送发到专门的日志服务器中,有服务器使用内置或外部的密码产品进行完整性保护)

    6)密码模块实现:应采用符合GM/T 0028-2014要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理(第四级信息系统要求,第三级信息系统推荐)(硬件密码产品【如服务器密码机、证书认证系统、动态口令系统、可信计算模块、智能IC卡、只能密码钥匙】来实现密钥管理、身份鉴别、MAC计算、数字签名计算等功能)

    注:本总则中提到的用户、日志记录、访问控制信息等是设备和计算安全层面的概念,虽然与其他层面的保护方式较为类似,但应避免与其他层面的类似概念相混淆,避免遗漏需要保护的对象。例如,“采用密码技术对登录的用户进行身份鉴别”要求中的用户指的是登录设备的用户,而不是登录设备中应用的用户,一台设备上可能承载多个应用,而每个应用对各自用户的身份标记、鉴别方式和粒度均可能存在差异。再如,“采用密码技术的完整性功能来保证系统资源访问控制信息、日志记录的完整性”要求中所指的是设备系统资源访问控制信息和日志记录,不应与网络和通信安全层面、应用和数据安全层面的类似信息混淆。

    应用和数据安全密码应用总则

    1. 采用密码技术对登录用户进行身份鉴别
    2. 采用密码技术的完整性功能来保证系统资源访问控制信息的完整性
    3. 采用密码技术的完整性功能来保证重要信息资源敏感标记的完整性
    4. 采用密码技术来保证重要数据在传输过程中的保密性、完整性
    5. 采用密码技术保证重要数据在存储过程中的保密性、完整性
    6. 采用密码技术对重要程序的加载和卸载进行安全控制
    7. 采用密码技术实现行为的不可否认性
    8. 采用密码技术的完整性功能来对日志记录进行完整性保护

    信息系统可采用以下密码产品保护其应用和数据安全层面的安全:

    1. 利用智能密码钥匙、智能IC卡、动态令牌等作为用户登录应用的凭证
    2. 利用服务器密码机等设备对重要数据进行加密和计算MAC后传输,实现对重要数据(在应用和数据安全层面)在传输过程中的保密性和完整性保护
    3. 利用服务器密码机等设备对重要数据进行加密、计算MAC后签名后存储在数据库中,实现对重要数据在存储过程中的保密性和完整性保护
    4. 利用签名验签服务器、智能密码钥匙、电子签章系统、时间戳服务器等设备实现对可能涉及法律责任认定的数据原发、接收行为的不可否认性

    1)身份鉴别:应使用密码技术对登录的用户进行身份标识和鉴定,实现身份鉴别信息的防截取防假冒防重用,保证应用系统用户身份的真实性

    2)访问控制信息和敏感标记完整性:应使用密码技术的完整性功能来保证业务应用系统访问控制信息策略、数据库表访问控制信息和重要信息资源敏感标记等信息的完整性

    3)数据传输保密性:应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据重要业务数据重要用户数据等(可以在业务应用系统层面利用密码产品对重要数据加密后在传输。在某些复杂场景下,还应在“应用和数据安全”层面直接对应用层重要数据进行加密保护)

    4)数据存储保密性:应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴定数据、重要业务数据和重要用户信息(信息系统可选择具有商用密码产品型号的加密存储设备【如加密硬盘、存储加密系统】或内置密码模块对重要数据进行加密保护;或将重要数据发送到服务器密码机等密码产品进行保密性保护后存放至数据库或其他存储介质中)

    5)数据传输完整性:应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据重要业务数据重要审计数据重要配置数据重要视频数据重要用户信息等(完整性保护使用的是MAC或数字签名技术)

    6)数据存储完整性:应采用密码技术保证重要数据在存储过程中的我现在,包括但不限于鉴别数据重要业务数据重要审计数据重要配置数据重要视频数据重要用户信息重要可执行程序等(一般存储介质提供的数据存储完整性保护功能仅能防止不经意的错误,但为了防止存储的重要数据被恶意篡改,还需要采用带密钥的密码技术来实现数据存储完整性保护,可将重要数据发送到服务器密码机等密码产品中进行完整性保护再存放至数据库或其他存储介质中)

    7)日志记录完整性:应使用密码产品的完整性功能来实现对日志记录完整性的保护

    8)重要应用程序的加载和卸载:应使用密码技术对重要应用程序的加载和卸载进行安全控制(通过密码技术的真实性和完整性功能可以对重要程序的加载和卸载进行安全控制。利用真实性功能对重要应用程序进行鉴别,确保仅具备权限的操作员才可以对重要应用程序执行加载和卸载;利用完整性功能对重要应用程序在加载内容时进行完整性校验。这些功能可有应用程序自身提供,也可由操作系统或运行环境提供)

    9)防抵赖(第四级信息系统要求):在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为和数据接收行为的不可否认性(数据原发行为的不可否认性主要是防止数据发送方否认其曾经发送过某个数据的行为;而数据接收行为的不可否认性则主要是防止数据接收方谎称未收文件而拒绝承担相应义务、逃避责任的情况。数字签名是解决这两类行为的常用办法对时间敏感的业务应用可以配合时间戳服务器为行为的发送时间提供可信证明)

    10)密码模块实现:应采用符合GM/T 0028-2014要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理(第四级信息系统要求,第三级信息系统推荐)(硬件密码产品【如服务器密码机、证书认证系统、动态口令系统、可信计算模块、智能IC卡、只能密码钥匙】来实现密钥管理、身份鉴别、MAC计算、数字签名计算等功能)


    物理和环境安全层面中的典型密钥主要包括:

    1. 真实性保护密钥:挑战-响应
    2. 完整性保护密钥:根据所使用的完整性保护技术的不同,分为对称密钥(用于MAC计算)、非对称密钥对(用于数字签名)

    网络和通信安全层面中的典型密钥主要包括:

    1. 真实性保护密钥:IPSec VPNIKE协议阶段和SSL VPN握手协议阶段进行身份鉴别所使用的非对称密钥对
    2. 保密性保护密钥:主要指IPSec VPN会话密钥和SSL VPN工作密钥中的数据加密密钥,利用对称加密技术完成对传输数据的保密性保护,这类密钥临时保存在IPSec/SSL VPN中,生命周期较短
    3. 完整性保护密钥:主要指IPSec VPN会话密钥和SSL VPN工作密钥中的校验密钥,利用MAC技术完成对传输数据的完整性保护。还包括对网络边界和系统资源访问控等进行完整性保护的密钥,感觉使用完整性保护技术的不同,这类密钥还可以是对称密钥(用于MAC计算)、非对称密钥对(用于数字签名)

    设备和计算安全层面中的典型密钥主要包括:

    1. 真实性保护密钥:对各类设备用户/管理员身份进行鉴别所涉及的密钥,根据所使用的真实性保护技术的不同,分为分为对称密钥(用于MAC计算)、非对称密钥对(用于数字签名)
    2. 完整性保护密钥:对设备的系统资源访问控制信息、重要信息资源敏感标记、日志信息进行完整性保护的密钥,根据所使用的完整性保护技术的不同,分为对称密钥(用于MAC计算)、非对称密钥对(用于数字签名)
    3. 保密性保护密钥:对设备远程管理鉴别信息进行保密性保护的密钥

    应用和数据安全层面中的典型密钥主要包括:

    1. 真实性保护密钥:对各类设备用户/管理员身份进行鉴别所涉及的密钥,根据所使用的真实性保护技术的不同,分为分为对称密钥(用于MAC计算)、非对称密钥对(用于数字签名)
    2. 保密性保护密钥:保护重要数据保密性的密钥,一般是对称密钥,在传输数据量少、实时性要求不高的场景下,也可以是非对称密钥
    3. 完整性保护密钥:对重要数据、业务应用系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记、日志等完整性保护的密钥,根据所使用的完整性保护技术的不同,分为对称密钥(用于MAC计算)、非对称密钥对(用于数字签名)
    4. 用于不可否认的功能密钥:在数字签名技术中用于实现数据原发行为和数据接收行为不可否认性的密钥

    应用和数据安全层密钥体系分为三个层次:主密钥、应用密钥、用户密钥

    主密钥:对应用透明,是服务器密码机中的管理密钥之一,主要对应用密钥的加密保护,一般为SM4对称密钥

    应用密钥:为确保各应用数据之间相互隔离,每个应用的数据均有独立的数据库加密密钥数据库MAC密钥日志完整性校验密钥等密钥,用于对其中重要数据进行保密性和完整性保护

    用户密钥:用于鉴别应用用户身份,可以是对称密钥,也可以是非对称密钥,用户密钥一般使用应用密钥(如数据库加密密钥、数据库MAC密钥)进行保密性和完整性保护后存储在数据库中

    密钥存储两种方式:①加密存储在外部介质中;②保存在核准的密码产品中

    密钥生成:

    1. 使用的随机数应符合GM/T 0005-2012要求,密钥应在符合GM/T 0028-2014的密钥模块中产生(第三级信息系统要求)
    2. 应使用国家密码管理部门批准的硬件物理噪声源产生随机数(第四级信息系统要求)
    3. 应使用国家密码设备内部生成,不得以明文方式出现在密码设备之外
    4. 应具备检查和剔除弱密钥的能力
    5. 应产生密钥审计信息,密钥审计信息包括:种类、长度、拥有者信息、使用起始时间、使用终止时间(第四级信息系统要求)

    密钥存储:

    1. 密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取
    2. 密钥加密密钥因存储在符合GM/T 0028-2014要求的二级及以上密码模块中(第三级信息系统要求)
    3. 密钥加密密钥用户签名私钥应存储在符合GM/T 0028-2014要求的三级及以上密码模块中或通过国家密码管理部门核准的硬件密码产品中(第四级信息系统要求)
    4. 应具有密钥泄露时的应急处理和响应措施(第四级信息系统要求)

    密钥分发:采取身份鉴别、数据完整性、数据保密性等安全措施,应能够抗截取、假冒、篡改、重放等攻击,保证密钥的安全性

    密钥的导入与导出:

    1. 应采取有效的安全措施,保证密钥导入与导出安全,以及密钥的正确性
    2. 应保证系统密码服务不间断(第四级信息系统要求)
    3. 应采用密钥分量的方式或专用设备的方式(第四级信息系统要求)

    密钥使用:

    1. 密钥应明确用途,并按用途正确使用
    2. 对于公钥密码体系,在使用公钥之前应对其进行验证
    3. 应有安全措施防止密钥的泄露和替换
    4. 密钥泄露时,应停止使用,并启动相应的应急处理和响应措施
    5. 应按照密钥更换周期要求更换密钥,应采取有效的安全措施,保证密钥更换时的安全性

    密钥的备份和恢复:

    1. 应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复
    2. 密钥备份或恢复应进行记录,并生成审计信息
    3. 审计信息应包括备份或恢复的主体、备份或恢复的时间等。

    密钥归档:

    1. 应采取有效的安全措施,保证归档密钥的安全性和正确性
    2. 归档密钥智能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息
    3. 密钥归档应进行记录,并生成审计信息
    4. 审计信息应包括归档的密钥、归档的时间等
    5. 归档密钥应进行数据备份,并采用有效的安全保护措施

    密钥销毁:应具有在紧急情况下销毁密钥的措施

    安全管理

    制度:

    1. 制定密码安全管理制度及操作规范、安全操作规范。密码安全管理制度应包括密码建设、运维、人员、设备、密钥等密码管理内容
    2. 定期对密码安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订
    3. 明确相关管理制度发布流程
    4. 制度执行过程应留存执行记录

    人员

    1. 了解并遵循密码相关的法律法规
    2. 能够正确使用密码产品
    3. 应根据相关密码管理政策、数据安全保密政策,结合组织实际情况,设置密钥管理人员、安全审计人员、密码操作人员等关键岗位;建立相应岗位责任制度,明确相关人员在安全系统中的职责和权限,对关键岗位建立多人共管机制;密钥管理、安全审计、密码操作人员职责应建立多人共管机制,互相制约互相监督,相关设备和系统的管理和使用账号不得多人共用(多人共管制度是第四级信息系统要求)
    4. 密钥管理员、密码设备操作人员应从本机构在编的正式员工中选拔,并进行背景调查(第四级信息系统要求)
    5. 应建立人员考核制度,定期对岗位人员考核,尽力健全奖惩制度
    6. 建立人员培训制度,对于涉及密码的操作和管理以及密钥管理的人员进行专门培训
    7. 建立关键岗位人员保密制度调离制度,签订保密合同,承担保密义务

    实施

    1. 信息系统规划阶段,责任单位应依据密码相关标准,制定密码应用方案,组织专家进行评审,评审意见作为项目规划立项的重要材料。通过专家审定后的方案应作为建设、验收和测评的重要依据
    2. 应按照国家相关标准,制定实施方案,方案内容应包括但不少于信息系统概述、安全需求分析、密码系统设计方案、密码产品清单(包括产品资质、功能及性能列表和产品生产单位等)、密码系统安全管理和维护策略、密码系统实施计划等。
    3. 应选用经国家密码管理部梦核准的密码产品和许可的密码服务
    4. 信息系统投入运行前,应经测试机构进行安全性评估,评估通过方可投入正式运行
    5. 信息系统投入运行后,责任单位每年应委托测评机构开展密码应用安全性评估,并根据评估意见进行整改;有重大安全隐患的,应停止系统运行,制定整改方案,整改完成并通过评估后方可投入运行。

    应急

    1. 应制定应急预案,做好应急资源准备,当安全事件发生时,按照应急预案结合实践情况及时处置
    2. 安全事件发生后,应及时向信息系统的商机主管部门和同级的密码管理部门进行报告(向同级的密码管理部门报告是第四级信息系统要求)
    3. 安全事件处理完成后,应及时向同级的密码管理部门报告事件发生情况和处置情况

    密码算法核查:测评人员应了解算法名称、用途、位置、执行算法的设备及其实现方式(软件、硬件或固件等)

    密码技术核查:测评人员核查密码协议、密钥管理等密码技术是否符合密码相关国家和行业标准规定。

    密码产品核查:测评人员确认所有实现密码算法、密码协议或密钥管理的部件或设备是否获得了国家密码管理部门颁发的商用密码产品型号证书,产品标准符合性和安全性已经通过检测,密码产品是否被正确、有效使用。一种常见的情况是采用了已审批过活检测认证合格的产品,但使用了未经认可的密码算法或密码协议;另一种更复杂的情况是,密码产品被错误使用、配置,甚至被旁路,实际并没有发挥预期作用

    密码服务核查:测评人员应当核查信息系统所采用的相关密码服务是否获得了国家密码管理部门或商用密码认证机构颁发的相应证书

    密评与密码产品检测的区别与联系:

    1. 对象不同:密评面向实地部署的信息系统,密码产品检测的对象是产品样品
    2. 依据不同:密码产品检测主要依据算法和产品的摆在和规范,密评除了依据相关标准之外还要依据被测信息系统的安全设计目标和密码应用方案
    3. 目的不同:密码产品检测主要评估密码产品中的密码技术是否被安全“实现”,密评主要评估当前信息系统中的密码技术是否被安全应用
    4. 方法不同:密码产品检测一般采用白盒测试方式,密评实施一般不深入密码产品内部,而是核查密码产品是否在信息系统中正确、有效地发挥作用
    5. 联系紧密:使用的密码产品是否通过检测是密评过程中一项重要的密评内容,密码产品检测和密评工作相互协作

    典型密码产品应用的测评方法

    智能IC卡/智能密码钥匙应用测试:

    1. 进行错误尝试试验,验证在智能IC卡或智能密码钥匙未使用或错误使用是,相关密码应用过程不能正常工作
    2. 对职能IC卡、智能密码钥匙APDU指令进行抓取和分析,确定调用指令格式和内容符合预期
    3. 如果智能IC卡或智能密码钥匙存储数字证书,测评人员可以将数字证书导出,对证书合规性检测
    4. 验证智能密码钥匙的口令不小于6个字符,错误口令登录验证次数不大于10次

    密码机应用测试:

    1. 利用协议分析工具,抓取应用系统调用密码机的指令报文,验证其是否符合预期
    2. 管理员登录密码机查看相关配置,检查内部存储的密钥是否对应合规的密码算法,密码计算时是否使用合规的密码算法
    3. 管理员登录密码机查看日志文件,根据与密钥管理,密码技术相关的日志记录,检查是否使用合规的密码算法

    VPN产品和安全认证网关应用测评:

    1. 利用端口扫描工具,探测IPSec VPNSSL VPN服务端所对应的端口服务是否打开。IPSec VPN 服务对应的UDP 500、4500端口,SSL VPN服务常用的 TCP 443端口,
    2. 利用通信协议分析工具,抓取IPSec协议IKE阶段、SSL协议握手阶段的数据报文,解析密码算法或密码套件标识是否属于已发布为标准的商用密码算法IPSec协议SM4算法标识为129(部分早期产品该值为127),SM3算法标识为2,SSL协议中ECDHE_SM4_SM3套件识别为{0xe0,0x11},ECC_SM4_SM3套件标识为{0xe0,0x13},IBSDH_SM4_SM3套件标识为{0xe0,0x15},IBC_SM4_SM3套件标识为{0xe0,0x17}
    3. 利用协议分析工具,抓取并分析IPSec协议IKE阶段、SSL协议握手阶段传输的证书内容,判断证书是否合规

    电子签章系统应用测评:

    1. 检查电子签章和验章的过程是否符合GM/T 0031-2014《安全电子签章密码技术规范》的要求
    2. 使用制章人公钥证书,验证电子印章格式的正确性;使用签章人公钥证书,验证电子签章格式的正确性

    动态口令系统应用测评:

    1. 判断动态令牌的PIN码保护机制是否满足以下要求:PIN码长度不少于6位数字;若PIN码输入错误次数超过5次,则至少等待1小时才可继续尝试;若PIN码输入超过最大尝试次数的情况超过5次,则令牌将被锁定,不可再使用
    2. 尝试对动态口令进行重放,确定重复后的口令无法通过认证系统的验证
    3. 通过访谈、文档审查或实地察看等方式,确定种子密钥是以密文形式导入动态令牌和认证系统中的

    电子门禁系统应用测评:

    1. 尝试发一些错误的门禁卡,验证这些卡无法打开门禁
    2. 利用发卡系统分发不同权限的卡,验证非授权的卡无法打开门禁

    证书认证系统应用测评:

    1. 对信息系统内部部署证书认证系统,测评人员可以参考GM/T 0037-2014《证书认证系统检测规范》和GM/T 0038-2014《证书认证密钥管理系统检测规范》的要求进行测评
    2. 通过查看证书扩展项KeyUsage(密钥用法)字段,确定证书类型(签名证书或密钥证书),并验证证书及其相关私钥是否正确使用
    3. 通过数字证书格式合规性检测工具,验证生成或使用的证书格式是否符合GM/T 0015-2012《基于SM2密码算法的数字证书格式规范》的要求

    密码功能测评方法

    对传输保密性实现的测评方法:

    1. 利用协议分析工具,分析传输的重要数据或鉴别信息是否是密文,数据格式(分组长度)是否符合预期
    2. 如果信息系统以外接密码产品的形式实现传输保密性,如VPN、密码机等,参考对这些密码产品应用的测评方法

    对存储保密性实现的测评方法:

    1. 通过读取存储的重要数据,判断存储的数据是否是密文,数据格式是否符合预期
    2. 如果信息系统以外接密码产品的形式实现存储保密性,如密码机、加密存储系统、安全数据库等,参考对这些密码产品应用的测评方法

    对传输完整性实现的测评方法:

    1. 利用协议分析工具,分析受完整性保护的数据在传输时的数据格式(如签名长度、MAC长度)是否符合预期
    2. 如果是使用数字签名技术进行完整性保护的,测评人员可以使用公钥对抓取的签名结构进行验证
    3. 如果信息系统以外接密码产品的形式实现传输完整性性,如VPN、密码机等,参考对这些密码产品应用的测评方法

    对存储完整性实现的测评方法:

    1. 通过读取存储的重要数,判断受完整性保护的数据在存储时的数据格式(如签名长度、MAC长度)是否符合预期
    2. 如果是使用数字签名技术进行完整性保护的,测试人员可以使用公钥对存储的签名结果进行验证
    3. 测评人员可以尝试对存储数据进行篡改(如修改MAC或数字签名),验证完整性保护措施的完整性
    4. 如果信息系统以外接密码产品的形式实现存储完整性,如密码机、智能密码钥匙等,参考对这些密码产品应用的测评方法

    对真实性实现的测评方法:

    1. 如果信息系统以外接密码产品的形式实现对用户、设备的真实性鉴别,如VPN、安全认证网关、智能密码钥匙、动态令牌等,参考对这些密码产品应用的测评方法
    2. 对不能复用密码产品检测结果的,查看实体鉴别是否符合GB/T 15843中的要求,特别是对于“挑战-响应”方式的鉴别协议,可以通过协议抓包分析,验证每次挑战值是否不同
    3. 对于基于静态的鉴别过程,抓取鉴别过程的数据包,确认鉴别信息(如口令)未以明文形式传输;对于采用数字签名的鉴别过程,抓取鉴别过程的挑战值和签名结果,使用对应公钥验证签名结果的有效性。
    4. 如果鉴别过程使用了数字签名,参考对证书认证系统应用的测评方法。如果鉴别未使用证书,测评人员要验证公钥或密钥与实体绑定的方式是否可靠,实际部署过程是否安全。

    对不可否认性实现的测评方法:

    1. 如果使用第三方电子认证服务,则应对密码服务进行核查;如果信息系统中部署了证书认证系统,参考对证书认证系统应用的测评方法
    2. 使用对应的公钥对作为不可否认性证据的签名结果进行验证
    3. 如果使用了电子签章系统,参考对电子签章系统应用的测评方法

    密码技术使用测评:

    1.物理与环境安全测评

    1)条款[7.1.5a]:身份鉴别

    • 测评指标:应使用密码技术的真实性功能来保护物理访问控制身份鉴别信息,保护重要区域进入人员身份的真实性
    • 测评对象:物理安全负责人、电子门禁系统、技术文档
    • 测评实施:访谈物理安全负责人,了解电子门禁系统使用的密码技术;查看电子门禁系统相关的技术文档,了解电子门禁系统中密码技术的实现机制;验证电子门禁系统是否采用密码技术对重要区域进入人员的身份鉴别信息进行保护,确保人员的身份鉴别信息的真实性
    • 测评方法:对于使用满足GM/T 0036-2014 并获得商用密码产品型号的电子门禁系统,可以复用产品检测结果,并通过查看电子门禁系统后台配置和实地察看等方法,检测和评估电子门禁系统身份鉴别机制的正确性和有效性;在条件允许的情况下,可以通过抓取电子门禁系统后台与门禁系统的通信数据的方法进行分析验证

    2)条款[7.1.5b]:电子门禁系统记录数据完整性

    • 测评指标:应使用密码技术的完整性功能来保证电子门禁系统进出记录的完整性
    • 测评对象:物理安全负责人、电子门禁系统、技术文档
    • 测评实施:访谈物理安全负责人,了解电子门禁系统使用的密码技术;查看电子门禁系统相关的技术文档,了解电子门禁系统中密码技术的实现机制;验证电子门禁系统是否使用密码技术的完整性功能保证电子梦见系统进出记录的完整性
    • 测评方法:测评人员应当识别电子门禁系统进出记录的完整性是如何保护的,确认是否采用了合规的密码技术和密码产品,即实现密码技术完整性保护操作的密码产品是否合规。对门禁系统进出记录,参照对存储完整性实现的测评方法

    3)条款[7.1.5c]:视频记录数据完整性

    • 测评指标:应使用密码技术的完整性功能来保证视频监控音像记录的完整性
    • 测评对象:物理安全负责人、视频监控系统、技术文档
    • 测评实施:访谈物理安全负责人,了解保证视频监控音像记录数据完整性的保护机制;查看技术文档,了解保护视频监控音像记录数据完整性的实现机制;查看视频监控系统所使用的密码算法是否符合密码相关国家标准和行业标准;验证视频监控音像记录数据是否正确和有效
    • 测评方法:测评人员应当识别视频监控音像记录的完整性是如何保护的,确认是否采用了合规的密码技术和密码产品,即实现密码技术完整性保护操作的密码产品是否合规。对视频监控音像记录,参照对存储完整性实现的测评方法

    4)条款[7.1.5d]:密码模块实现

    • 测评指标:应采用符合GM/T 0028-2014 要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品,实现密码运算的密钥管理(第四级信息系统要求,第三级信息系统推荐)
    • 测评对象:安全管理员、密码产品、技术文档
    • 测评实施:应访谈安全管理员,询问信息系统中采用的密码模块或密码产品是否经国家密码管理部门核准或经商用密码认证机构认证合格;应查看技术文档,了解信息系统中采用何种密码模块或密码产品,以及相关的密码算法和密钥管理说明;应检查密码产品,查看信息系统中密码模块或密码产品的型号和版本等信息,检查是否采用了符合GM/T 0028-2014(密码模块安全技术要求)要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品
    • 测评方法:对所有实现密码运算和密钥管理的密码产品,查看它们的商用密码产品型号证书或认证证书,确认其是否符合密码应用方案中的选型;若密码应用方案中未选定具体产品指标或安全等级,测评人员应当确认其是否属于GM/T 0028-2014要求三级及以上的密码模块或硬件密码产品

    2.网络和通信安全测评

    1)条款[7.2.5a]:身份鉴别

    • 测评指标:应在通信前基于密码技术对通信双方进行验证和认证,使用密码技术的保密性和真实性服务来实现防截获、防假冒和防重用,保证通信过程中鉴别信息的保密性和网络设备实体身份的真实性
    • 测评对象:安全管理员、网络设备、密码产品、技术文档
    • 测评实施:应访谈安全管理员,询问是否对通信双方进行身份鉴别,以及使用何种鉴别机制和保密性与完整性保护机制;应查看技术文档,了解通信双方主体鉴别机制,以及通信过程中的保密性和完整性保护机制;应检查密码产品,查看与身份鉴别、数据完整性和保密性保护相关的配置是否正确;应测试密码产品,验证通信双方身份鉴别,以及数据传输保密性和完整性保护的有效性;应查看密码算法、密码协议是否符合密码相关国家标准和行业标准,密码产品是否获得相应证书
    • 测评方法:对于通信双方的实体鉴别,参考对真实性实现的测评方法:需要注意这里是针对“网络和通信安全”层面的测评,测评的对象主要是VPN设备。对鉴别过程中鉴别信息的传输,参考对传输保密性实现的测评方法

    2)条款[7.2.5b]:内部网络安全接入(第四级信息系统要求)

    • 测评指标:应采用密码技术对连接到内部网络的设备进行身份鉴别,确保接入网络的设备真实可信
    • 测评对象:安全管理员、网络设备、密码产品、技术文档
    • 测评实施:应访谈安全管理员,询问是否采用密码技术对连接到内部网络的设备进行身份鉴别,以及身份鉴别的实现机制;应查看技术文档,了解对连接到内部网络的设备身份鉴别的实现机制;应检查密码产品,查看对连接到内部网络设备身份鉴别的相关配置是否正确;应测试密码产品,验证是否有效地对连接到内部网络的设备进行身份鉴别;应查看密码算法、密码协议是否符合密码相关国家标准利行业标准,密码产品是否获得相应证书
    • 测评方法:测评人员应当识别信息系统采用了何种机制对接入内部网络的设备进行身份鉴别,采用的身份鉴别服务器和身份鉴别介质是否经过国家密码管理部门核准或经商用密码认证机构认证合格;在条件允许的情况下,测评人员可尝试将未授权设备接入内部网络,核实即便非授权设备使用了合法IP地址,也无法访问内部网络。对接入设备的身份鉴别,参考对真实性实现的测评方法

    3)条款[7.2.5c]:访问控制信息完整性

    • 测评指标:应使用密码技术的完整性功能来保证网络边界和系统资源访问控制信息的完整性
    • 测评对象:安全管理员、网络设备、密码产品、技术文档
    • 测评实施:应访谈安全管理员,询问是否对网络边界和系统资源访问控制信息进行了完整性保护,以及采用何种完整性保护机制;应查看技术文档,了解网络边界和系统资源访问控制信息的完整性保护机制;应检查密码产品,查看网络边界和系统资源访问控制信息完整性保护配置是否正确;应测试密码产品,验证网络边界和系统访问控制信息保护机制是否有效:应查看密码算法是否符合相关法规和密码标准的要求,密码产品是否已获得相应证书
    • 测评方法:首先进行密码产品核查,确认密码产品功能可用于网络边界访问控制信息和系统资源访问控制信息(如访问控制策略)的完整性保护;其次检查用于MAC或数字签名的密钥的安全性。对网络的访问控制信息,参考对存储完整性实现的测评方法。需要注意的是,“网络和通信安全”层面的一些访问控制信息是存储在密码产品(如VPN设备)内部的,对这部分对象的测评可以复用密码产品检测的结果

    4)条款[7.2.5d]:通信数据完整性

    • 测评指标:应使用密码技术保证通信过程中数据的完整性
    • 测评对象:安全管理员、网络设备、密码产品、技术文档
    • 测评实施:应访谈安全管理员,询问是否对通信过程中的数据进行了完整性保护,以及采用何种机制;应查看技术文档,了解通信过程中采用的完整性保护实现机制;应检查密码产品,查看通信过程中数据完整性保护配置是否正确;应测试密码产品,验证通信过程中数据完整性保护是否有效;查看系统所使用的密码算法、密码协议是否符合密码相关国家标准和行业标准,相关网络安全设备是否经过了国家密码管理部门核准或经商用密码认证机构认证合格
    • 测评方法:首先进行密码产品核查,确认密码产品的功能可以用于通信数据的完整性保护;再检查使用的密钥的安全性。对通信数据,参考对传输完整性实现的测评方法

    5)条款[7.2.5e]:通信数据保密性

    • 测评指标:应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性
    • 测评对象:安全管理员、网络设备、密码产品、技术文档
    • 测评实施:应访谈安全管理员,询问是否对通信过程中的敏感字段或整个报文进行了保密性保护,以及采用何种机制;应查看技术文档,了解通信过程中采用的保密性保护实现机制;应检查密码产品,查看通信过程中数据保密性保护配置是否正确;应测试密码产品,验证通信过程中数据保密性保护是否有效;查看系统所使用的密码算法、密码协议是否符合密码相关国家标准和行业标准,相关网络安全设备是否经过了国家密码管理部门核准或经商用密码认证机构认证合格。
    • 测评方法:首先进行密码产品核查,确认密码产品的功能可以用于通信数据的保密性保护;其次检查使用的密钥的安全性。对通信数据,参考对传输保密性实现的测评方法

    6)条款[7.2.5f]:集中管理通道安全

    • 测评指标:应采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理
    • 测评对象:安全管理员、网络设备、密码产品、技术文档
    • 测评实施:应访谈安全管理员,询问是否采用密码技术建立了安全传输通道,实现对安全设备或安全组件集中管理,以及采用何种机制实现安全传输通道;应查看技术文档,了解安全的信息传输通道建立实现机制;应检查密码产品,查看信息传输通道建立的配置是否正确;应测试密码产品,验证信息传输通道是否有效,是否实现对网络中的安全设备或安全组件进行集中管理;应查看系统所使用的密码算法、密码协议是否符台密码相关国家标准和行业标准,相关网络安全设备是否经过了国家密码管理部门核准或经商用密码认证机构认证合格
    • 测评方法:首先进行密码产品核查,确认密码产品的功能可以用于集中管理信息的安全保护。对集中管理信息测评,参考对传输保密性实现的测评方法和对传输完整性实现的测评方法

    7)条款[7.2.5g]:密码模块实现

    • 测评指标:应基于符合GM/T 0028-2014要求的三级及其以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理(第四级信息系统要求,第三级信息系统推荐)
    • 测评对象:安全管理员、网络设备、密码产品、技术文档
    • 测评实施:应访谈安全管理员,询问信息系统中采用的密码模块或密码产品是否经国家密码管理部门核准或经商用密码认证机构认证合格;应查看技术文档,了解信息系统中采用何种密码模块或密码产品,以及相关的密码算法和密钥管理说明;应检查密码产品,查看信息系统中密码模块或密码产品的型号和版本等信息,检查是否采用了符合GM/T 0028-2014要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品
    • 测评方法:对所有实现密码运算和密钥管理的密码产品,查看相应证书,确认其是否符合密码应用方案中的选型;若密码应用方案中未选定具体产品指标或安全等级,测评人员应当确认其是否属于GM/T 0028-2014要求的三级及以上的密码模块或硬件密码产品

    3.设备和计算安全测评

    1)条款[7.3.5a]:身份鉴别

    • 测评指标:应使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并需要定期更换
    • 测评对象:系统管理员、数据库管理员、核心服务器操作系统、核心数据库管理系统、密码产品、技术文档
    • 测评实施:应结合技术文档访谈系统管理员和数据库管理员,了解用户在本地登录核心数据库或核心服务器时,系统对用户实施身份鉴别的过程中是否采用了密码技术对鉴别信息进行密码保护,具体采用何种密码技术;检查主机身份鉴别机制中所采用的加密算法是否符合相关法规和密码标准的要求;确认相关密码功能是否正确有效
    • 测评方法:首先对采用密码技术实现用户鉴别的密码产品或密码模块进行产品核查,检查鉴别方式的合规性和正确性(参见对条款[7.2.5a] 的测评方法)。通过查看系统技术文档、系统配置信息或日志信息,确认身份标识的唯一性。查看相关文档、配置策略和更新记录,确认身份鉴别信息的复杂度是否符合要求,并且定期进行更换。对登录设备的用户身份鉴别,参考对真实性实现的测评方法

    2)条款[7.3.5b]:远程管理鉴别信息保密性

    • 测评指标:在远程管理时,应使用密码技术的保密性功能来实现鉴别信息的防窃听
    • 测评对象:网络设备、安全设备、服务器、操作系统、数据库系统、密码产品、技术文档
    • 测评实施:查看技术文档,了解远程管理时是否采用了密码技术对远程管理用户身份鉴别信息进行保密性保护;查看并验证远程管理所采用的密码机制的正确性和有效性
    • 测评方法:首先进行密码产品核查。对远程管理鉴别信息,参考对传输保密性实现的测评方法

    3)条款[7.3.5c]:访问控制信息完整性

    • 测评指标:应使用密码技术的完整性功能来保证系统资源访问控制信息的完整性
    • 测评对象:网络设备、安全设备、服务器、操作系统、数据库系统、密码产品、 技术文档
    • 测评实施:查看技术文档中访问控制信息完整性保护所采用的密码技术及实现机制;查看系统是否使用以及使用何种密码技术对系统资源访问控制信息进行完教性保护;直看密码算法是否符台密码相关国家标准和行业标准,密码产品是否获得相应证书
    • 测评方法:首先进行密码产品核查,确认密码产品的功能是否可以用于设备内系统资源访问控制信息(如访问控制列表)的完整性保护;其次检查用于MAC或数字签名的密钥的安全性。对设备的访问控制信息,参考对存储完整性实现的测评方法

    4)条款[7.3.5d]:敏感标记完整性

    • 测评指标:应使用密码技术的完整性功能来保证重要信息资源敏感标记的完整性
    • 测评对象:网络设备、安全设备、服务器、操作系统、数据库系统、密码产品、技术文档
    • 测评实施:查看技术文档中重要信息资源敏感标记完整性保护所采用的密码技术及实现机制;查看并验证系统中重要信息资源敏感标记完整性保护的正确性利有效性;查看密码算法是否符合密码相关国家标准和行业标准。密码产品是否获得相应证书
    • 测评方法:首先进行密码产品核查,确认密码产品的功能是否可以用于重要信息资源敏感标记的完整性保护;再检查用于MAC或数字签名的密钥的安全性。对敏感标记,参考对存储完整性实现的测评方法

    5)条款[5.3.5e]:重要程序或文件完整性

    • 测评指标:应采用可信计算技术建立从系统到应用的信任链,实现系统影响过程中重要程序或文件的完整性保护
    • 测评对象:网络设备、安全设备、服务器、操作系统、数据库系统、密码产品、技术文档
    • 测评实施:查看技术文档中重要信息资源敏感标记完整性保护所采用的密码技术及实现机制;查看并验证系统中重要信息资源敏感标记完整性保护的正确性和有效性;查看密码算法是否符合密码相关国家标准和行业标准,密码产品是否获得相应证书
    • 测评方法:首先进行密码产品核查,确认密码产品的功能是否可以用于重要信息资源敏感标记的完整性保护;再检查用于MAC或数字签名的密钥的安全性。对敏感标记,参考对存储完整性实现的测评方法

    6)条款[5.3.5f]:日志记录完整性

    • 测评指标:应使用符合GM/T 0028-2014要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理(第四级信息系统要求,第三级信息系统推荐)
    • 测评对象:网络设备、安全设备、服务器、操作系统、数据库系统、密码产品、技术文档
    • 测评实施:查看技术文档中关于可信计算技术建立从系统到应用信任链的实现机制;查看技术文档中关于系统运行过程中重要程序或文件完整性保护所采用的技术及实现机制;查看并验证可信计算技术建立从系统到应用信任链实现机制的正确性和有效性;查看并验证在系统运行过程中重要程序或文件完整性保护技术及实现机制有正确性和有效性;查看所使用的密码算法、密码协议是否符台相关国家标准和行业标准
    • 测评方法:进行密码产品核查。检查信任链内的密钥体系是否合理,信任锚的保护方式是否安全,是否存在该信任机制被绕过的可能。对设备重要程序或文件,参考对存储完整性实现的测评方法

    7)条款[5.3.5g]:密码模块实现

    • 测评指标:应采用符合GM/T 0028-2014要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理(第四级信息系统要求,第三级信息系统推荐)
    • 测评对象:安全管理员、密码产品、技术文档
    • 测评实施:应访谈安全管理员,询问信息系统中采用的密码模块或密码产品是否经国家密码管理部门核准或经商用密码认证机构认证合格;应查看技术文档,了解信息系统中采用何种密码模块或密码产品,以及相关的密码算法和密钥管理说明;应检查密码产品,查看信息系统中密码模块或密码产品的型号和版本等信息,检查是否采用了符合GM/T 0028-2014要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品
    • 测评方法:对所有实现密码运算和密钥管理的密码产品,查看相应证书,确认其是否符合密码应用方案中的选型;若密码应用方案中未选定具体产品指标或安全等级,测评人员应当确认其是否属于GM/T 0028-2014要求的三级及以上的密码模块或硬件密码产品

    4.应用和数据安全测评

    1)条款[7.4.5a]:身份鉴别

    • 测评指标:应使用密码技术对登录的用户进行身份标识和鉴别,实现身份鉴别信息的防截取、防假冒和防重用,保护应用系统用户身份的真实性
    • 测评对象:应用系统管理员、应用系统、密码产品、技术文档
    • 测评实施:应结合技术文档访谈应用系统管理员,了解应用系统在对用户实施身份鉴别的过程中是否使用了密码技术进行有效鉴别,其体采用了何种密码技术和安全设备;检查应用系统用户身份鉴别过程中所使用的密码算法是否符合密码相关国家标准和行业标准,密码产品是否经过了国家密码管理部门核准或经商用密码认证机构认证合格,确认相关密码功能正确有效
    • 测评方法:对采用密码技术进行用户鉴别的密码产品或密码模块进行产品核查,检查鉴别机制的合规性。如果应用系统除密码技术外,还采用了口令鉴别的方式进行用户身份鉴别,要确认在口令的鉴别过程中是否能够防截获、防假冒和防重用,即要对口令鉴别过程中采用的密码保护技术的有效性进行验证。对登录应用的用户身份鉴别,参考对真实性实现的测评方法

    2)条款[7.4.5b]:访问控制信息和敏感标记的完整性

    • 测评指标:应使用密码技术的完整性功能来保证业务应用系统的访问控制策略、数据库表的访问控制信息和重要信息资源敏感标记等信息的完整性
    • 测评对象:应用系统管理员、应用系统、密码产品、技术文档
    • 测评实施:审阅技术文档,访谈系统管理员,了解系统如何对业务应用系统的访问控制策略、数据库表的访问控制信息和重要信息资源敏感标记等重要信息进行完整性保护;如果重要信息进行了完整性保护,了解是否使用了密码技术对重要信息进行完整性保护;如果采用了密码技术,检查系统采用的密码算法是否符合密码相关国家标准和行业标准,密码产品是否经过了国家密码管理部门核准或经商用密码认证机构认证合格,相关密码功能是否正确有效
    • 测评方法:首先进行密码产品核查,确认密码产品的功能是否可以用于业务系统的访问控制策略、数据库表的访问控制信息和重要信息资源敏感标记等重要信息的完整性保护;其次检查用于MAC或数字签名的密钥的安全性。对应用的访问控制信息和敏感标记,参考对存储完整性实现的测评方法

    3)条款[7.4.5c]:数据传输保密性

    • 测评指标:应使用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等
    • 测评对象:业务系统、密码产品、技术文档
    • 测评实施:查看技术文档中关于业务系统中的重要数据在传输过程中的保密性保护技术及实现机制;查看并验证业务系统中的重要数据在传输过程中的保密性保护的正确性和有效性;查看所使用的密码算法是否符合密码相关国家标准和行业标准;检查密码产品是否经过了国家密码管理部门核准或经商用密码认证机构认证台格。相关密码功能是否正确有效
    • 测评方法:除在网络和通信安全层面搭建安全通信链路对重要数据进行保密性保护(参见对条款[7.2.5e]的测评方法)外,业务系统还可以在应用层实现重要数据在传输过程中的保密性保护。此时,测评人员需要对应用层通信协议的保密性保护功能进行检查,特别要关注密钥在整个生命周期内的安全性,可以采用网络抓包的方式对保密性保护功能的有效性进行确认。对应用数据,参考对传输保密性实现的测评方法

    4)条款[7.4.5d]:数据存储保密性

    • 测评指标:应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等
    • 测评对象:业务系统、密码产品、技术文档
    • 测评实施:查看技术文档中关于业务系统中的重要数据在存储过程中的保密性保护技术及实现机制;查看并验证业务系统中的重要数据在存储过程中的保密性保护功能的正确性和有效性;查看所使用的密码算法是否符合密码相关国家标准和行业标准;检查密码产品是否经过了国家密码管理部门核准或经商,用密码认证机构认证合格,相关密码功能是否正确有效
    • 测评方法:对于重要数据的保密性保护,存储方式有三种:①存储在具有商用密码产品型号的加密硬盘中;②存储在外部具有商用密码产品型号的存储加密设备中;③利用外部服务器密码机加密后再存储到本地设备中。对于第一种情况,测评人员可以读出硬盘中的数据以确定存储数据保护机制的有效性;对于其他两种情况,测评人员可以抓取进出外部密码产品的数据或查阅密码产品的日志,以确定存储数据保护机制的有效性。对应用数据,参考对存储保密性实现的测评方法

    5)条款[7.4.5c]:数据传输完整性

    • 测评指标:应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等
    • 测评对象:业务系统、密码产品、技术文档
    • 测评实施:查看技术文档中关于业务系统中重要数据在传输过程中的完整性保护技术及实现机制;查看并验证业务系统中的重要数据在传输过程中的完整性保护功能的正确性和有效性;查看所使用的密码算法是否符合密码相关国家标准和行业标准;检查密码产品是否经过了国家密码管理部门核准或经商用密码认证机构认证合格,相关密码功能是否正确有效
    • 测评实施:查看技术文档中关于业务系统中重要数据在传输过程中的完整性保护技术及实现机制;查看并验证业务系统中的重要数据在传输过程中的完整性保护功能的正确性和有效性;查看所使用的密码算法是否符合密码相关国家标准和行业标准;检查密码产品是否经过了国家密码管理部门核准或经商用密码认证机构认证合格,相关密码功能是否正确有效

    6)条款[7.4.5f]:数据存储完整性

    • 测评指标:应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等
    • 测评对象:业务系统、密码产品、技术文档
    • 测评实施:查看技术文档中关于业务系统中的重要数据在存储过程中的完整性保护技术及实现机制;查看并验证业务系统中的重要数据在存储过程中的完整性保护功能的正确性和有效性;查看所使用的密码算法是否符合密码相关国家标准和行业标准;检查密码产品是否经过了国家密码管理部门核准或经商用密码认证机构认证合格,相关密码功能是否正确有效
    • 测评方法:对于重要数据存储的完整性保护,存储方式有两种:①存储在具有完整性保护功能的存储型密码产品中;②利用外部服务器密码机提供的完整性保护(如MAC或数字签名)后再存储到本地设备中。对于前一种情况,测评人员可以读出密码产品中的数据以确定存储数据保护机制的有效性;对于后一种情况,测评人员可以抓取进出外部密码产品的数据或查阅密码产品的日志以确认存储数据保护机制的有效性。对应用存储的数据,参考对存储完整性实现的测评方法

    7)条款[7.4.5g]:日志记录完整性

    • 测评指标:应使用密码技术的完整性功能来实现对日志记录的完整性保护
    • 测评对象:安全审计员、应用系统、密码产品、技术文档
    • 测评实施:审阅技术文档,访谈安全审计员,了解应用系统是否具有日志记录的功能,了解是否进行了完整性保护;如果日志记录进行了完整性保护,了解是否使用了密码技术对日志记录进行完整性保护;如果采用了密码技术,检查系统采用的密码算法是否符合有关国家标准和行业标准,密码产品是否经过了国家密码管理部门核准或经商用密码认证机构认证合格,相关密码功能是否正确有效
    • 测评方法:测评人员应对提供完整性保护功能的密码产品进行核查,检查密钥管理方式是否合理。对应用的日志信息,参考对存储完整性实现的测评方法

    8)条款[7.4.5h]:重要应用程序的加载和卸载

    • 测评指标:应采用密码技术对重要应用程序的加载和卸载进行安全控制
    • 测评对象:系统管理员、应用系统、密码产品、技术文档
    • 测评实施:审阅技术文档,访谈系统管理员,了解应用系统是否采用密码技术对重要程序的加载和卸载进行安全控制;如果采用了密码技术,检查系统采用的密码技术是否符合有关国家标准和行业标准,密码产品是否经过了国家密码管理部门核准或经商用密码认证机构认证合格,相关密码功能是否正确有效
    • 测评方法:对提供安全控制的密码产品进行核查,确认其提供的安全控制机制能够保证重要应用程序的安全加载和卸载。在条件允许的情况下,尝试使用非授权的操作员对受保护的应用程序进行加载或卸载,来验证安全控制机制的有效性

    9)条款[7.4.5i]:抗抵赖(第四级信息系统要求)

    • 测评指标:在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性
    • 测评对象:应用系统、密码产品、技术文档
    • 测评实施:应核查技术文档,是否采用了密码技术保证数据发送和数据接收操作的不可否认性;检查系统采用的密码技术是否符合有关国家标准和行业标准,密码产品是否经过了国家密码管理部门核准或经商用密码认证机构认证合格,相关密码功能是否正确有效
    • 测评方法:对于需要数据原发证据和数据接收证据的应用,进行密码服务(电子认证服务)的合规性核查,以及必要的密码产品的合规性核查(如证书认证系统、电子签章系统)。对于数据原发和接收行为,参考对不可否认性实现的测评方法

    10)条款[7.4.5j]:密码模块实现

    • 测评指标:应采用符合GM/T 0028-2014要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理(第四级信息系统要求,第三级信息系统推荐)
    • 测评对象:安全管理员、密码产品、技术文档
    • 测评实施:应访谈安全管理员,询问信息系统中采用的密码模块或密码产品是否经国家密码管理部门核准或经商用密码认证机构认证合格;应查看技术文档,了解信息系统中采用何种密码模块或密码产品,以及相关的密码算法和密钥管理说明;应检查密码产品,查看信息系统中密码模块或密码产品的型号和版本等信息,检查是否采用了符合GM/T 0028-2014要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品
    • 测评方法:对所有实现密码运算和密钥管理的密码产品,查看相应证书,确认其是否符台密码应用方案中的选型;若密码应用方案中未选定具体产品指标或安全等级,测评人员应当确认其是否属于符合GM/T 0028-2014要求的三级及以上的密码模块或硬件密码产品

    密钥管理测评:P286-P292

            密钥管理测评是密码应用安全性评估工作的一项重要内容。测评人员首先确认所有关于密钥管理的操作都是由符合规定的密码产品或密码模块实现的,然后厘清密钥流转的关系,对信息系统内密钥(尤其是对进出密码产品的密钥)的安全性进行检查,给出全生命周期的密钥流转表,即标明这些密钥是如何生成、存储、分发、导入与导出、使用、备份与恢复、归档、销毁的,并核查是否满足要求。以下分别列出了对第三级信息系统和第四级信息系统中密钥管理的测评和实施分发

    1.第三级信息系统密钥管理测评

    1)测评指标

            第三级信息系统密钥管理应包括对密钥的生成、存储、分发、导入与导出、使用、备份与恢复、归档、销毁等惊喜管理和策略制定的过程,并满足以下要求

    1. 条款[8.4a]:密钥生成。密钥生成使用的随机数应符合GM/T 0005-2012的要求,密钥应在符合GM/T 0028-2014要求的密码模块中产生;密钥应在密码模块内产生,不得以明文方式出现在密码模块之外;应具备检查和剔除弱密钥的能力。
    2. 条款[8.4b]:密钥存储。密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;密钥加密密钥应存储在符合GM/T 0028-2014要求的二级及以上密码模块中
    3. 条款[8.4c]:密钥分发。密钥分发应采取身份鉴别、数据完整性、数据保密性等安全措施,应能够抗截取、假冒、篡改、重放等攻击,保证密钥的安全性
    4. 条款[8.4d]:密钥导入与导出。应采取有效的安全措施,防止密钥导入与导出时被非法获取或篡改,并保证密钥的正确性
    5. 条款[8.4e]:密钥使用。密钥应明确用途,并按照用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证;应有安全措施防止密钥的泄露和替换;密钥泄露时,应停止使用,并启动相应的应急处理和响应措施;应按照密钥更换周期要求更换密钥;应采取有效的安全措施,保证密钥更换时的安全性
    6. 条款[8.4f]:密钥备份与恢复。应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;密钥备份或恢复应进行记录,并生成审计信息;审计信息应包括备份或恢复的主体、备份或恢复的时间等
    7. 条款[8.4g]:密钥归档。应采取有效的安全措施,保证归档密钥的安全性和正确性;归档密钥只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息;密钥归档应进行记录,并生成审计信息;审计信息应包括归档的密钥、归档的时间等;归档密钥应进行数据备份,并采用有效的安全保护措施
    8. 条款[8.4h]:密钥销毁。应具有在紧急情况下销毁密钥的措施

    2)测评对象

            测评对象包括密钥管理员、密钥管理制度、应用系统、密码产品

    3)测评实施

    1. 结合技术文档,了解系统在密钥生成过程中所使用的真随机数生成器是否为经过了国家密码管理部门批准的随机数生成器
    2. 查看系统内随机数生成器的运行状态,判断生成密钥是否具有良好的随机性;查看其功能是否正确有效
    3. 结合技术文档,了解系统内部所有密钥是否均为密文形式进行存储,或者位于受保护的安全区域,了解系统使用了何种密码算法对受保护的密钥进行加密处理,相关加密算法是否符合相关法规和标准的要求;了解密钥加密密钥的分发、管理、使用及存储机制;了解系统内部是否具备完善的密钥访问权限控制机制,以保护明文密钥及密文密钥不被非法获取、篡改或使用
    4. 查看系统内部密钥的存储状态,确定密钥均为密文形式存与系统之中,或者位于受保护的安全区域,并尝试导入新的密钥以验证系统对密钥的加密过程正确有效;尝试操作密钥加密密钥的分发、管理、使用处理过程,查看并判定系统是否具有严格的密钥访问控制机制;查验密钥加密密钥是否存储与专用密码产品中,该设备是否经过了国家密码管理部门的核准或经商用密码认证机构认证合格
    5. 结合技术文档,了解系统内部采用何种密钥分发方式(如离线分发方式、在线分发方式、混合分发方式),密钥传递过程中系统使用了哪些密码技术对密钥进行处理以保护其保密性、完整性与真实性;在密钥分发期间系统使用了哪些专用网络安全设备,专用安全存储设备,相关设备是否经过了国家密码管理部门的核准或经过商用密码认证机构认证合格,算法或协议是否符合有关国家标准和行业标准
    6. 结合技术文档,了解在密钥导入、导出过程中系统采用了何种安全措施来保证才操作的安全性及密钥的正确性
    7. 结合技术文档,了解系统内部是否具有严格的密钥使用管理机制,以保证所有密钥均具有明确的用途且各种密钥均可被正确地使用、管理;了解系统是否具有公钥认证机制,以鉴别公钥的真实性与完整性,相应公钥密码算法是否符合相关法规和标准的要求;了解系统采用了何种安全措施来防止密钥泄露或替换,是否使用了密码算法,且相关的算法是否符合相关法规和标准的要求;了解系统是否可定期更换密钥,了解详细的密钥更换处理流程;了解当密钥泄露时系统是否具备应急处理和响应措施;了解系统在密钥使用过程中,相关功能是否符合给定的技术实施要求
    8. 查看系统提供的数据加密处理操作,判断密钥的使用、管理过程是否安全;查看公钥验证过程的正确性与有效性;对测试用户进行密钥更新操作以便查看相关过程是否安全;查验系统是否使用符合相关法规和标准要求的密码算法对相关密钥进行保护
    9. 结合技术文档,了解系统内部是否具有较为完善的密钥备份恢复机制;了解系统中密钥的备份策略和备份密钥的存储方式、存储位置等技术细节内容;了解系统内部是否使用了专用存储设备来存储、管理相关的备份密钥,所使用的存储设备是否经过了国家密码管理部门的核准或经商用密码认证机构认证合格;了解系统内部是否具有较为完善的密钥备份审计信息;了解系统中密钥备份操作的审计内容(审计信息至少包括备份或恢复的主体,备份或恢复的时间等),审计记录存储方式、存储位置等技术细节内容
    10. 查看系统中备份密钥的存储状态,确认密钥备份功能的正确性与有效性;查看系统所使用的备份密钥存储设备是否经过国家密码管理部门的核准或经商用密码认证机构认证合格;查看系统中的密钥备份审计记录,验证密钥备份审计功能的正确性与有效性
    11. 结合技术文档,了解系统内归档密钥记录、审计信息;是否具有较为完善的安全保护、防泄漏机制;了解系统内部是否使用了专用存储设备来存储、管理相关的归档密钥,所使用的存储设备是否经过国家密码管理部门的核准或经商用密码认证机构认证合格
    12. 结合技术文档,了解系统内不同密钥存储介质的销毁机制,了解系统中密钥销毁策略、密钥销毁方式等细节内容;了解系统内部是否具有普通介质存储密钥的销毁机制;了解系统内部是否具有专用设备存储密钥的销毁机制;了解系统内部各销毁机制是否能够确保密钥销毁后无法恢复

    2.第四级信息系统密钥管理测评

    1)测评指标

            第四级信息系统密钥管理应包括对密钥的生成、存储、分发、导入与导出、使用、备份与恢复、归档、销毁等惊喜管理和策略制定的过程,并满足以下要求

    1. 条款[8.5a]:密钥生成。应使用国家密码管理部门批准的硬件物理噪声源产生随机数;密钥应在密码产品内产生,不得以明文方式出现在密码产品之外;应具备检查和剔除弱密钥的能力,应生成密钥审计信息,密钥审计信息应包括种类、长度、拥有者信息、使用起始时间、使用终止时间
    2. 条款[8.5b]:密钥存储。密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;密钥加密密钥、用户签名私钥应存储在符合GM/T 0028-2014要求的三级及以上密码模块中或通过国家密码管理部门核准的硬件密码产品中;应具有密钥泄露时的应急处理和响应措施
    3. 条款[8.5c]:密钥分发。密钥分发应采取身份鉴别、数据完整性、数据保密性等安全措施,应能够抗截取、假冒、篡改、重放等攻击,保证密钥的安全性
    4. 条款[8.5d]:密钥导入与导出。应采取有效的安全措施,保证密钥导入与导出过程的安全,以及密钥的正确性;应采用密钥分量的方式或者使用专用设备的方式;应保证系统密码服务不中断
    5. 条款[8.5e]:密钥使用。密钥应明确用途,并按照用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证;应有安全措施防止密钥的泄露和替换;密钥泄露时,应停止使用,并启动相应的应急处理和响应措施;应按照密钥更换周期要求更换密钥;应采取有效的安全措施,保证密钥更换时的安全性
    6. 条款[8.5f]:密钥备份与恢复。应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;密钥备份或恢复应进行记录并生成审计信息;审计信息应包括备份或恢复的主体、备份或恢复的时间等
    7. 条款[8.5g]:密钥归档。应采取有效的安全措施,保证归档密钥的安全性和正确性;归档密钥只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息;密钥归档应进行记录,并生成审计信息;审计信息应包括归档的密钥、归档的时间等;归档密钥应进行数据备份并采用有效的安全保护措施
    8. 条款[8.5h]:密钥销毁。应具有在紧急情况系销毁密钥的措施

    2)测评对象

            测评对象包括密钥管理员、密钥管理制度、应用系统、密码产品

    3)测评实施

    1. 结合技术文档,了解系统在密钥生成过程中所使用的真随机数生成器是否为经过了国家密码管理部门批准的硬件物理噪声源
    2. 查看系统内随机数生成器的运行状态,判断生成密钥是否具有良好的随机性;查看其功能是否正确有效
    3. 结合技术文档,了解系统内部所有密钥是否均为密文形式进行存储,或者位于受保护的安全区域,了解系统使用了何种密码算法对受保护的密钥进行加密处理,相关加密算法是否符合相关法规和标准的要求;了解密钥加密密钥的分发、管理、使用及存储机制;了解系统内部是否具备完善的密钥访问权限控制机制,以保护明文密钥及密文密钥不被非法获取、篡改或使用
    4. 查看系统内部密钥的存储状态,确定密钥均为密文形式存与系统之中,或者位于受保护的安全区域,并尝试导入新的密钥以验证系统对密钥的加密过程正确有效;尝试操作密钥加密密钥的分发、管理、使用处理过程,查看并判定系统是否具有严格的密钥访问控制机制;查验密钥加密密钥是否存储与专用密码产品中,该设备是否经过了国家密码管理部门的核准或经商用密码认证机构认证合格
    5. 结合技术文档,了解系统内部采用何种密钥分发方式(如离线分发方式、在线分发方式、混合分发方式),密钥传递过程中系统使用了哪些密码技术对密钥进行处理以保护其保密性、完整性与真实性;在密钥分发期间系统使用了哪些专用网络安全设备,专用安全存储设备,相关设备是否经过了国家密码管理部门的核准或经过商用密码认证机构认证合格,算法或协议是否符合有关国家标准和行业标准
    6. 结合技术文档,了解在密钥导入、导出过程中系统采用了何种安全措施来保证才操作的安全性及密钥的正确性;了解系统是否采用了密钥拆分的方法将密钥拆分成若干密钥片段并分发给不同的密钥携带者,从而实现安全的密钥导出操作;了解被导出的密钥片段是否经过加密处理,以密文信息存在于各传输载体之中,相关的密钥加密算法是否符合相关法规和标准的要求;了解在密钥导入、导出过程中系统是否使用了专用密码存储设备存储、携带相关的密钥数据,相关存储设备是否经过国家密码管理部门的核准或经过商用密码认证机构认证合格;了解密钥导入、导出过程中是否可保证相关密码服务不被中断
    7. 结合技术文档,了解系统内部是否具有严格的密钥使用管理机制,以保证所有密钥均具有明确的用途且各种密钥均可被正确地使用、管理;了解系统是否具有公钥认证机制,以鉴别公钥的真实性与完整性,相应公钥密码算法是否符合相关法规和标准的要求;了解系统采用了何种安全措施来防止密钥泄露或替换,是否使用了密码算法,且相关的算法是否符合相关法规和标准的要求;了解系统是否可定期更换密钥,了解详细的密钥更换处理流程;了解当密钥泄露时系统是否具备应急处理和响应措施;了解系统在密钥使用过程中,相关功能是否符合给定的技术实施要求
    8. 查看系统提供的数据加密处理操作,判断密钥的使用、管理过程是否安全;查看公钥验证过程的正确性与有效性;对测试用户进行密钥更新操作以便查看相关过程是否安全;查验系统是否使用符合相关法规和标准要求的密码算法对相关密钥进行保护
    9. 结合技术文档,了解系统内部是否具有较为完善的密钥备份恢复机制;了解系统中密钥的备份策略和备份密钥的存储方式、存储位置等技术细节内容;了解系统内部是否使用了专用存储设备来存储、管理相关的备份密钥,所使用的存储设备是否经过了国家密码管理部门的核准或经商用密码认证机构认证合格;了解系统内部是否具有较为完善的密钥备份审计信息;了解系统中密钥备份操作的审计内容(审计信息至少包括备份或恢复的主体,备份或恢复的时间等),审计记录存储方式、存储位置等技术细节内容
    10. 查看系统中备份密钥的存储状态,确认密钥备份功能的正确性与有效性;查看系统所使用的备份密钥存储设备是否经过国家密码管理部门的核准或经商用密码认证机构认证合格;查看系统中的密钥备份审计记录,验证密钥备份审计功能的正确性与有效性
    11. 结合技术文档,了解系统内归档密钥记录、审计信息;是否具有较为完善的安全保护、防泄漏机制;了解系统内部是否使用了专用存储设备来存储、管理相关的归档密钥,所使用的存储设备是否经过国家密码管理部门的核准或经商用密码认证机构认证合格
    12. 结合技术文档,了解系统内不同密钥存储介质的销毁机制,了解系统中密钥销毁策略、密钥销毁方式等细节内容;了解系统内部是否具有普通介质存储密钥的销毁机制;了解系统内部是否具有专用设备存储密钥的销毁机制;了解系统内部各销毁机制是否能够确保密钥销毁后无法恢复

    安全管理测评:P292-298

    1.制度管理测评

    1)条款[9.1.4a]

    • 测评指标:应制定密码安全管理制度及操作规范、安全操作规范。密码安全管理制度包括密码建设、运维、人员、设备、密钥等密码管理相关内容
    • 测评对象:安全管理制度类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:查看各项安全管理制度、安全操作规范和配套的操作规程是否覆盖密码建设、运维、人员、设备、密钥等密码管理相关内容;查看制度制定和发布要求管理文档是否说明安全管理制度的制定和发布流程、格式要求及版本编号等相关内容

    2)条款[9.1.4b]

    • 测评指标:定期对密码安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修改
    • 测评对象:安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:访谈安全主管,确定是否定期对密码安全管理制度体系的合理性和适用性进行审定;查看是否具有安全管理制度的审定或论证记录;如果对制度做过修订,核查是否有修订版本的安全管理制度

    3)条款[9.1.4c]

    • 测评指标:应明确相关管理制度的发布流程
    • 测评对象:安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:访谈安全主管,确认是否具有管理制度发布流程;查看是否具有管理制度发布文件

    4)条款[9.1.4c](第四级信息系统要求)

    • 测评指标:制度执行过程应留存相关执行记录
    • 测评对象:安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:查看是否具有制度制定过程中留存的相关执行记录文件

    2.人员管理测评

    1)条款[9.2.4a]

    • 测评指标:应了解并遵守密码相关法律法规
    • 测评对象:系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:访谈系统相关人员,确认是否了解并遵守商用密码相关法律法规

    2)条款[9.2.4b]

    • 测评指标:应能够正确使用密码产品
    • 测评对象:系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:访谈系统相关人员,确认是否正确使用商用密码产品

    3)条款[9.2.4c]

    • 测评指标1:应根据相关密码管理政策、数据安全保密政策,保证组织实际情况,设置密钥管理人员、安全审计人员、密码操作人员等关键岗位
    • 测评对象:安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:查看岗位职责文档是否划分了系统相关人员并定义其岗位职责;查看记录表单类文档是否明确配备了密钥管理、安全审计、密码产品操作岗位人员
    • 测评指标2:应建立相关岗位责任制度,明确相关人员在安全系统中的职责和权限,对关键岗位建立多人共管机制(其中,多人共管制度是第四级信息系统要求)
    • 测评对象:安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:访谈信息安全主管,确定是否明确了相关人员在密码产品管理与密钥系统管理中的职责和权限以及密钥管理安全审计;访谈信息安全主管是否对关键岗位配备了多人;查看安全管理制度类文档是否明确了相关人员在密码产品管理与密钥系统管理中心的职责和权限;查看人员配备文档是否针对关键岗位配备多人 
    • 测评指标3:密钥管理、安全审计、密码操作人员职责应建立多人共管制度,相互制约、相互监督,相关设备和系统的管理和使用账号不得多人共用
    • 测评对象:安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:访谈信息安全主管,确定是否进行了信息安全管理岗位的划分;访谈安全主管、安全审计员、密码产品管理员、密钥系统管理员等,确认各岗位职责是否存在交叉;访谈信息安全主管是否对关键岗位配备了多人;查看记录表单类文档是否明确配备了密钥管理、安全审计、密码产品操作岗位人员;查看岗位职责文档,确认系统相关人员(包括责任人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)的岗位职责是否存在交叉,是否规定相关设备和系统的管理和使用账号不得多人共用;查看人员配备文档是否针对关键岗位配备多人

    4)条款[9.2.4d](第四级信息系统要求)

    • 测评指标:密钥管理员、密码产品操作人员应从本机构在编的正式员工中选拔,并对相关人员实施必要的审查
    • 测评对象:安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:访谈人事责任人关键岗位的人员是否从内部人员选拔担任;查看人员安全管理文档是否说明密码管理、密码产品操作人员应从本机构在编的正式员工中选拔,以及录用人员应实施必要的审查;查看是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录等

    5)条款[9.2.4e]

    • 测评指标:应建立人员考察制度,定期进行岗位人员考核,建立健全奖惩制度
    • 测评对象:安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:查看安全管理制度文档是否包含具体的人员考核制度和奖惩措施;查看记录表单类文档确认是否定期进行岗位人员考核

    6)条款[9.2.4f]

    • 测评指标:应建立人员培训制度,对于涉及密码的操作和管理的人员以及密钥管理人员进行专门培训
    • 测评对象:安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:查看安全教育和培训计划文档是否对于涉及密码的操作和管理的人员以及密钥管理人员的培训计划;查看安全教育的培训记录是否有培训人员、培训内容、培训结果等的描述

    7)条款[9.2.4g]

    • 测评指标:应建立关键岗位人员保密制度和调离制度,签订保密合同,承担保密义务
    • 测评对象:安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:查看人员离岗的管文档是否规定了管理岗位人员保密制度和调离制度等;查看保密协议是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签名等内容;查看是否具有按照离岗程序办理手续的记录

    3.实施管理测评

    1)条款[9.3.1.4]:规划

    • 测评指标:信息系统规划阶段,责任单位应依据相关标准,制定密码应用方案,组织专家进行评审,评审意见作为项目规划立项的重要材料。通过专家审定后的方案应作为建设、验收和测评的重要依据
    • 测评对象:密码应用方案、项目立项规划文档、评审报告、安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:查看在规划阶段,是否依据密码相关标准,制定密码应用方案;查看责任单位是否组织专家或测评机构对密码应用方案进行评审,评审是否通过,给出的整改建议是否落实

    2)条款[9.3.2.4a]:建设

    • 测评指标:应按照国家相关标准,制定实施方案,方案内筒包括但不少于信息系统概述、安全需求分析、密码系统设计方案、密码产品清单(包括产品资质、功能及性能列表和产品生产单位等)、密码系统安全管理与维护策略、密码系统实施计划等
    • 测评对象:密码应用实施方案、安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:查看是否按照国家相关标准,制定实施方案,方案内容应暴扣但不少于信息系统描述、安全需求分析、商用密码系统设计方案、商用密码产品清单(包括产品资质、功能及性能列表和产品生产单位等)、商用密码系统安全管理与维护策略、商用密码系统实施计划等

    3)条款[9.3.2.4b]:建设

    • 测评指标:应选用经国家密码管理部门核准的密码产品和许可的密码服务
    • 测评对象:密码应用方案、相关产品和服务的资质证书、安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:查看相关资质证书,确认系统使用的密码产品是否经过国家密码管理部门的核准或经商用密码认证机构认证合格,确认使用的密码服务是否经过国家密码管理部门的许可

    4)条款[9.3.2.4c]:运行

    • 测评指标:信息系统投入运行前,应经过密码测评机构安全性评估,评估通过后,方可投入正式运行
    • 测评对象:密码应用安全性评估文档、安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:访谈系统责任人,信息系统投入运行前,是否组织密码应用安全性测评机构进行了安全性评估;查看是否具有系统投入运行前,由密码应用安全性测评机构出具的测评报告

    5)条款[9.3.3.4b]:运行

    • 测评指标:信息系统投入运行后,责任单位每年应委托密码产品机构开展密码应用安全性评估,并根据评估意见进行整改;有重大安全隐患的,应停止系统运行并制定整改方案,整改完成并通过评估后方可投入运行
    • 测评对象:密码应用安全性评估文档、安全管理制度类文档和记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:访谈系统责任人,责任单位是否每年委托密码应用安全性测评机构开展密码应用安全性评估,并根据评估意见进行整改;访谈系统责任人,如发现重大安全隐患,是否立即停止系统运行并制定整改方案,整改完成并通过评估后方可投入运行;查看信息系统投入运行后,责任单位是否具有每年委托密码应用安全性测评机构开展密码应用安全性评估;查看是否具有系统重大安全隐患记录及事件报告文档,是否编制了安全隐患整改方案,是否具有针对方案的评估意见记录文档

    4.应急管理测评

    1)条款[9.4.4a]

    • 测评指标:制定应急预案,做好应急资源准备,当安全事件发生时,按照应急预案结合实际情况及时处置
    • 测评对象:安全事件规定文档、安全事件管理制度、应急预案文档、密码相关管理制度类文档、相关记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:查看应急预案及相关管理制度文档,是否根据安全事件等级制定了相关的应急预案及管理制度,是否明确了应急事件处理流程及其他管理措施,并遵照执行;查看如有安全事件发生,是否具有相应的处置记录

    2)条款[9.4.4b]

    • 测评指标:事件发生后,应及时向信息系统的上级主管部门和同级的密码管理部门进行报告(其中,向同级的密码管理部门报告是第四级信息系统要求)
    • 测评对象:安全事件规定文档、安全事件管理制度、应急预案文档、密码相关管理制度类文档、相关记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:访谈系统责任人,安全事件发生后,是否及时向信息系统责任单位的上级主管部门和同级的密码管理部门进行了报告;查看是否具有向上级主管部门和同级的密码管理部门汇报的安全事件报告文档

    3)条款[9.4.4c]

    • 测评指标:安全事件处置完成后,应及时向同级的密码管理部门报告事件发生的情况及处置情况
    • 测评对象:安全事件规定文档、安全事件管理制度、应急预案文档、密码相关管理制度类文档、相关记录表单类文档、系统相关人员(包括负责人、安全主管、安全审计员、密码产品管理员、密钥系统管理员等)
    • 测评实施:访谈系统责任人,事件处置完成后,是否及时向同级的密码管理部门报告了事件发生情况及处置情况;查看安全事件处置完成后,是否具有向同级的密码管理部门汇报的安全事件发生情况及处置情况报告

    综合测评

            完成以上测评后,测评人员需要先对单项和单元测评结果进行判定,并根据这些判定结果,对被测信息系统进行整体测评。在进行整体测评过程中,部分单项测评结果可能会有变化,需进一步对单项和单元测评结果进行修正。修正完成之后在进行风险分析和评价,并形成最终的被测信息系统密码应用安全性评估结论

            此外,测评人员还应对可能影响信息系统密码安全的风险进行综合测评。密码是信息系统安全的基础支撑,但即便密码在信息系统中合规、正确、有效地应用,也不意味着密码应用就是绝对安全的。信息系统自身若存在安全漏洞或面临安全风险,将直接威胁到系统的密码应用安全,严重的可造成密钥的泄露和密码技术的失效,因此需根据被测信息系统所承载的业务、部署环境以及与其他系统的连接等情况,综合分析判断信息系统密码应用安全可能面临的外在安全风险,并通过渗透测试、逆向分析等手段对这些风险进行有效验证和分析

    密码应用安全性评估基本原则:

    1. 客观公正原则
    2. 经济性和可重用性原则
    3. 可重复性和可再现性原则
    4. 结果完善性原则

    测评过程面临的主要风险:

    1. 验证测试可能影响系统正常运行
    2. 工具测试可能影响系统正常运行
    3. 可能导致敏感信息泄露
    4. 其他可能面临的风险:可能出现影响信息系统可用性、保密性和完整性的风险
    • 测评准备活动:测评工作的前提和基础
    • 方案编制活动:测评工作的关键活动
    • 现场测评活动:测评工作的核心活动
    • 分析与报告编制活动:给出测评结果的活动
    测评过程流程图

    密码应用方案评估的重点包括两部分:

    1. 对所有自查符合项进行评估,确保设计的方案可以达到《信息系统密码应用基本要求》的对应条款要求
    2. 对所有自查不适用项和对应论证依据进行逐条核查、评估

    密码应用方案评估的内容主要包括:密码应用解决方案评估、实施方案评估和应急处置方案评估三个部分

    密码应用解决方案评估要点:

    1. 方案内容的完整性
    2. 密码方案的合规性
    3. 密码应用的正确性
    4. 密码应用的合规性

    实施方案评估要点:文档结构是否完整,实施过程是否合理,实施阶段划分是否科学

    应急处置方案评估要点:重点审查方案提出的风险事件处置措施和应急预案是否完备、合理、周密

    密码应用方案评估的主要任务:评估机构对密码应用解决方案的完整性、合规性、正确性,以及实施计划、应急处置方案的科学性、可行性、完备性方面进行评估

    现场测评的方法主要有五种:访谈、文档审查、实地察看、配置检查、工具测试

    密码应用安全性评估测评过程指南:P299-P321

    协议分析工具:

    • 技术指标:能够对常见的网络传输协议、串口通信协议、蓝牙协议、移动通信协议(3G4G)、无线局域网协议等进行抓包解析分析
    • 对应测评工具:网络传输协议分析工具、无线局域网协议分析工具、蓝牙协议分析工具、串口通信协议分析工具、移动通信网络协议分析工具

    端口扫描工具:

    • 技术指标:能过对密码产品、操作系统、Web应用、数据库、网络设备、网络安全设备及应用的端口服务进行自动化探测和识别
    • 对应测评工具:主机服务器端口扫描工具

    逆向分析工具:

    • 技术指标:能过对常见应用系统下的应用软件进行动态、静态逆向检测分析,可以分析密钥在存储、应用过程中的安全性、脆弱性
    • 对应测评工具:建泰逆向分析工具、动态逆向调试工具

    渗透测试工具:

    • 技术指标:能够利用漏洞攻击方法及攻击手段,实现对系统、设备、应用漏洞的深度分析和危害验证
    • 对应测评工具:渗透测试工具

    专用测评工具:

    • 技术指标:能够对密码应用的合规性、正确性、有效性进行分析验证
    • 对应测评工具:①算法和随机性检测工具:商用密码算法合规性检测工具、随机性检测工具、数字证书格式合规性检测工具②密码安全协议检测工具:IPSec/SSL协议检测工具③密码应用检测工具:商用密码基线扫描工具、密码安全配置检查工具

    IPSec/SSL 协议检测工具:①被动式扫描②主动式扫描

    商用密码算法检测工具:商用密码算法检测工具覆盖SM2SM3SM4ZUCSM9等密码算法,能够对数据进行加解密、数字签名、密码杂凑等运算,作为基准工具,以验证其他密码算法实现算法结果的正确性;支持多种不同的检测设置,能够依据相应检测设置自动生成检测向量和检测用例;在多项验证数据的基础上进行综合分析和检测,评估算法实现的正确性;同时工具还能对算法检测结构进行自动记录、归类并生成检测记录

    随机性检测工具测试主要内容包括:单比特频数检测、块内频数检测、扑克检测、重叠子序列检测、游程总数检测、游程分布检测、块内最大“1”游程检测、二元推导检测、自相关检测、矩阵秩检测、累加和检测、近似性检查、线性复杂度检测、Maurer通用统计检测、离散傅里叶检测共计15项检测

    数字证书格式合规性检测工具主要功能包括:

    1. 检测数字证书申请文件是否符合标准的要求,包括DNDistinct Name,别名)项顺序及编码、签名值、算法
    2. 检测数字证书基本项和扩展性是否符合标准的要求,包括用户证书格式编码、密钥用途、签名算法、密钥标识符、证书撤销列表(CRL)发布地址等
    3. 检测CRL格式是否符合标准的要求,包括CRL签名算法、有效期和签名值等

    测评报告的生命周期:报告编制、审核、批准和签发、存档、作废和销毁

    测评报告编制应注意一下几个方面:

    1. 测评报告编制人应当为项目组成员
    2. 测评报告封面使用统一版本
    3. 测评报告应统一固定格式,报告格式设计应合理,表达方式尤其是测评数据表达应易于理解,所用标题应标准,测评报告内容应包括说明测评结果所必需的各种信息,以及采用测评方法所要求的全部信息
    4. 测评报告页面应清晰、整洁,报告签发后,不允许随意修改

    测评报告审核内容应包括:

    1. 测评报告编制依据的各种原始记录、单据的规范性和完整性
    2. 测评报告与原始记录的一致性
    3. 采用的测评依据的适用性和有效性
    4. 测评工具的适用性和有效性
    5. 测评报告格式的规范性
    6. 测评报告内容的完整性和正确性
    7. 单项测评结果/结论和整体测评结果/结论的客观性、准确性

    测试报告副本及原始记录保存期一般为6年

    测评报告的批准和签发应检查一下内容:

    1. 测评报告是否经过了审核
    2. 报告内容是否完整规范
    3. 测评结果是否正确,测评结论是否合理
    4. 授权签字人认为有必要检查的其他内容

    发生一下情况,测评机构可以对签发的报告进行更改:

    1. 测评委托单位自身原因提出,并经测评机构确认所提要求合理的
    2. 测评委托单位对测评报告存在异议,申述后复经验证明测评报告存在问题的
    3. 测评机构发现测评报告存在问题的

    测评报告一般包括:报告封面、报告摘要、报告正文和附件

    测评报告正文包括:测评项目概述、被测信息系统情况、测评指标与方法、单元测评结果汇总、整体测评结果、问题分析与整改建议

    测评项目概述包含:说明测评目的、测评依据、测评过程和报告分发范围

    单元测评一般包含:总体要求、物理和环境安全、网络与通信安全、设备与计算安全、应用与数据安全、密钥管理、安全管理

    测评报告监督检查的主要内容分为以下三个部分:

    1. 测评报告的真实性、客观性、公正性检查
    2. 测评机构展开密评工作的规范性、客观性、公正性、独立性检查
    3. 重要领域的网络与信息系统的密码应用情况检查

    测评报告的备案:有被测信息系统责任单位将测评报告送所有地设区市密码管理部门进行备案

    被测信息系统密码应用数据的采集抄送:测评报告正式发出后,测评机构还应按照密码应用数据抄送要求,提炼被测信息系统的密码应用信息,填写数据表单,抄送所属省部密码管理部门

    单位密码应用基本情况表、网络与信息系统密码应用情况表及使用密码产品情况表:表数据字段设计为两大项:①单位的基础信息,包括名称、地址、联络人、单位编码、归口密码管理部门、行业主管部门等字段;②密码使用管理信息,包括密码使用管理机构的设立、密码经费投入情况及使用密码产品的基本情况

    网络与信息系统密码应用情况表:该表的内容包括两大项:①信息系统基本情况,包括名称、等级保护定级备案和测评情况、是否为关键信息基础设施、密码应用分类及建设实施主体分类情况、系统功能和服务情况、信息系统密码应用安全性评估情况,用于辨别该系统的重要程度、使用现状;②信息系统密码应用情况,包括信息系统使用的密码算法、密码技术、密码产品、密码服务等情况,以了解信息系统密码应用的总体情况

    使用的密码产品情况表:该表的内容包括两大项:①产品基本信息,包括名称、编号、产品型号、商密型号、使用数量、生产厂商等;②信息系统为信息系统使用密码产品的情况,包括是否具有使用密码型号、使用的密码算法和主要用途等。

    各测评机构应定期或不定期搜集被测信息系统和所在地(行业)的密码安全动态,并及时报送

    产品报告检查内容主要测评报告的真实性、客观性、公正性,包括但不限于以下两个方面:①测评报告的规范性;②测评报告内容的完整性

    测评报告编制常见问题

    测评理解不深入:

    1. 未对信息系统实现的密码应用业务逻辑进行梳理;
    2. 未明确说明测评指标“不适用”依据或“不适用”依据不合理;
    3. 整改建议仅是对标准条款的简单重复

    测评对象不全面:

    1. 总体要求方面:测评对象应涵盖所有涉及密码技术的具体实现,不仅要包括明确的密码产品,还要包括密码服务以及其他不以具体密码产品形式存在的各种软件、固件、硬件形态的密码技术实现
    2. 物理和环境安全方面:信息系统所涉及的所有物理环境都应当列为测评对象
    3. 网络和通信安全方面:测评对象不应只列为VPN等网络通信相关的密码产品,应当吧所需要保护的网络通信信道都列为测评对象
    4. 设备和计算安全方面:信息系统中所有类型的设备都应纳入测评对象
    5. 应用和数据安全方面:应对各个应用逐一进行测评
    6. 密码管理方面:首先,对密钥的描述准确;其次,由于密钥类型、密钥用途不同,起密钥管理要求也完全不一致;最后,密码技术应用要求各个层面设计到密码技术的部分,理论上都应对密钥以及相应的密钥管理,这些密钥都应当列为“密钥管理”的测评对象
    7. 安全管理方面:测评对象要落到具体的制度、记录、文件、人员等层次,不能过于含糊、笼统

    测评过程不合理:

    1. 测评过程和结果记录描述非常简略
    2. 测评记录简单的照搬标准原文进行应付
    3. 对于已过检的密码设备仅核查相应证书,但未进行实地察看、配置检查等工作
    4. 明显可以使用工具测试进行测试的部分却为使用工具进行测评

    测评结论不正确:

    1. 单项测评结果和现行标准规范不符
    2. 如果仅仅是被测单位声称所使用的商用密码算法是合规的,但未经过国家密码管理部门核准
    3. 风险评估需要对所有“部分符合”和“不符合”项进行风险评估

    附录A:不同级别密码应用基本要求汇总列表

    表 A  第一级第四级密码应用基本要求汇总列表

    指标体系

    第一级

    第二级

    第三级

    第四级

    物理与环境安全

    身份鉴别

    电子门禁记录数据存储完整性

    视频监控记录数据存储完整性

    -

    -

    密码服务

    密码产品

    -

    一级及以上

    二级及以上

    三级及以上

    网络与通信安全

    身份鉴别

    通信数据完整性

    通信过程中重要数据的机密性

    网络边界访问控制信息的完整性

    安全接入认证

    -

    -

    密码服务

    密码产品

    -

    一级及以上

    二级及以上

    三级及以上

    设备与计算安全

    身份鉴别

    远程管理通道安全

    -

    -

    系统资源访问控制信息完整性

    重要信息资源安全标记完整性

    -

    -

    日志记录完整性

    重要可执行程序完整性

    重要可执行程序来源真实性

    -

    -

    密码服务

    密码产品

    -

    一级及以上

    二级及以上

    三级及以上

    应用与数据安全

    身份鉴别

    访问控制信息完整性

    重要信息资源安全标记完整性

    -

    -

    重要数据传输机密性

    重要数据存储机密性

    重要数据传输完整性

    重要数据存储完整性

    不可否认性

    -

    -

    密码服务

    密码产品

    -

    一级及以上

    二级及以上

    三级及以上

     

    管理制度

    具备密码应用安全管理制度

    密钥管理规则

    建立操作规程

    -

    定期修订安全管理制度

    -

    -

    明确管理制度发布流程

    -

    -

    制度执行过程记录留存

    -

    -

    人员管理

    了解并遵守密码相关法律法规和

    密码管理制度

    建立密码应用岗位责任制度

    -

    建立上岗人员培训制度

    -

    定期进行安全岗位人员考核

    -

    -

    建立关键岗位人员保密制度和

    调离制度

    建设运行

    制定密码应用方案

    制定密钥安全管理策略

    制定实施方案

    投入运行前进行密码应用安全性评估

    定期开展密码应用安全性评估及

    攻防对抗演习

    -

    -

    应急处置

    应急预案

    事件处置

    -

    -

    向有关主管部门上报处置情况

    -

    -

    本章完

    展开全文
  • 数据库安全性

    万次阅读 多人点赞 2018-05-19 19:24:10
    数据库的安全性是指保护数据库以防止合法使用所造成的数据泄露、更改或损坏。系统安全保护措施是否有效是数据库系统的主要技术指标之一。 1、数据库的安全因素 1)非授权用户对数据库的恶意存取和破坏 措施...

    数据库管理系统提供统一的数据保护功能来保证数据的安全可靠和正确有效。数据库的数据保护主要包括数据的安全性和完整性。

    一、安全性概述

    数据库的安全性是指保护数据库以防止不合法使用所造成的数据泄露、更改或损坏。系统安全保护措施是否有效是数据库系统的主要技术指标之一。

    1、数据库的不安全因素

    1)非授权用户对数据库的恶意存取和破坏
    措施:包括用户身份鉴别、存取控制和视图等技术。
    2)数据库中重要或敏感的数据被泄露
    措施:强制存取控制、数据加密存储和加密传输等。
    3)安全环境的脆弱性
    措施:加强计算机系统的安全性保证,建立完善的可信标准(安全标准)。

    2、安全标准简介

    安全标准比较有影响力的有:
    1)TCSEC(桔皮书):1985年美国国防部(DoD)正式颁布的《DoD可信计算机系统评估标准》。
    2)CC:1993年联合行动,解决原标准中概念和技术上的差异,将各自独立的准则合成一组单一的、能被广泛使用的IT暗转准则,这一行动被称为通用准则(CC)项目。CC v2.1版于1999年被ISO采用为国际标准,2001年我国采用为国家标准。
    目前,CC已经取代TCSEC称为评估信息产品安全性的主要标准。
    安全级别可分为: D < C2 < C1 < B3 < B2 < B1 < A1
    其中C2级的数据库管理系统支持自主存取控制(DAC),B1级的数据库管理系统支持强制存取控制(MAC)。

    二、安全控制

    计算机系统的安全模型:
    计算机系统的安全模型
    数据库管理系统安全性控制模型:
    安全性控制模型

    1、用户身份鉴别

    用户身份鉴别是数据库管理系统提供的最外层安全保护措施,每个用户在系统中都有一个用户标识(由用户名和用户标识号组成),用户标识号(UID)在系统的生命周期内是唯一的,并且系统内部记录这所有合法用户的标识,系统鉴别是指由系统提供一定的方式让用户标识自己的身份或名字。用户进入系统时由系统进行核对,通过鉴定后才提供使用数据库管理系统的权限。
    用户身份鉴别的方法:

    1. 静态口令鉴别
      目前常用的鉴别方法,相当于设置用户的密码。
      优缺点:简单,容易被攻击,安全性较低。
    2. 动态口令鉴别
      口令是动态变化的,登陆系统前就会获取新口令,相当于短信验证码或者动态令牌。
      优缺点:增加口令被窃取或破解的难度,安全性相对高一些。
    3. 生物特征鉴别
      采用图像处理和模式识别等技术,相当于指纹识别或者脸部识别。
      优缺点:产生质的飞跃,安全性较高。
    4. 智能卡识别
      智能卡是一种不可复制的硬件,内置集成电路的芯片,具有硬件加密功能。实际应用中一般采用个人身份识别码(PIN)和智能卡相结合的方式。
    2、存取控制

    数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限,同时令所有未授权的人员无法接近数据,这主要通过数据库系统存取控制机制实现。

    存取控制机制主要包括定义用户权限,并将用户权限登记到数据字典中和合法权限检查。两者机制一起组成数据库管理系统的存取控制子系统。

    3、自主存取控制方法

    自主存取控制方法主要通过SQL的GRANT语句和REVOKE语句来实现。
    用户权限是由数据库对象和操作类型组成的。定义一个用户的存取权限就是要定义这个用户在那些数据库对象上可以进行那些类型的操作,即定义存取权限(授权)。
    在非关系系统中,用户只能对数据进行操作,存取控制的数据库对象也仅限于数据本身;在关系数据库系统中,存取控制的对象不仅有数据本身(基本表中的数据、属性列上的数据),还有数据库模式(数据库、基本表、视图和索引的创建等)。
    关系数据库存取权限表
    关系数据库存取权限
    备注:在授予用户列INSERT权限时,一定要包含主码的INSERT权限,否则用户的插入动作会因为主码为空而被拒绝。

    4、授权:授予与收回

    SQL中使用GRANT(授予权限)和REVOKE(收回已授予的权限)语句向用户授予或收回对数据的操作权限。

    1. GRANT
      语句:GTANT <权限>[,<权限>]… ON<对象类型><对象名>[,<对象类型><对象名>]…TO<用户>[,<用户>]…[WITH GRANT OPTION];
      例句:GRANT SELECT(权限) ON TABLE SC(表名) TO USER(用户名);
      语义:将对指定操作对象的指定操作权限授予指定的用户。可以由数据库管理员、数据库对象创建者(属主owner),也可以是已经用于该权限的用户。接受权限的用户可以是一个或多个具体用户,也可以是全体用户(PUBLIC)。WITN GTANT OPTION就是获得某种权限的用户还可以将权限授予其他用户,如果没有就代表只能使用该权限,不能传播。

      SQL标准允许具有WITH GRANT OPTION的用户把相应权限或其子集传递授予其他用户,但不允许循环授权,即被授权者不能把权限再授回给授权者或其祖先。

    2. REVOKE
      语句:REVOKE <权限>[,<权限>]…ON<对象类型><对象名>[,<对象类型><对象名>]…FROM<用户>[,<用户>…[CASCADE|RESTRICT];
      例句:REVOKE SELECT(权限) ON TABLE SC(表名) FROM USER(用户名);
      备注:使用该语句的为数据库管理员或其他授权者
      这里默认为CASCADE,就是没有自动执行级联操作,只是收回了该用户的权限,该用户授予的其他用户的权限保留,如果使用RESTRICT就是收回该用户以及该用户授予权限的用户的权限。
      总结: 用户可以“自主”地决定将数据的存取权限授予何人,决定是否也将“授权”的权限授予别人,这样的存取控制就是自主存取控制。

    3. 创建数据库模式的权限
      对创建数据库模式一类的数据库对象的授权由数据库管理员在创建用户时实现。
      语句:CREATE USER [WITH][DBA|RESOURCE|CONNECT];
      说明:权限与可执行的操作对照表
      权限对照表
      **备注:**CREATE USER语句不是SQL标准,不同的关系数据库管理系统的语法和内容是有差别的。
    5、数据库角色

    数据库角色是被命名的一组与数据库操作相关的权限,角色是权限的集合。可以为一组具有相同权限的用户创建一个角色,使用角色来管理数据库权限可以简化授权的过程。

    1. 角色的创建
      CREATE ROLE <角色名>;
    2. 给角色授权
      GRANT <权限>[,<权限>]… ON <对象类型>对象名 TO<角色>[,<角色>]…
    3. 将一个角色授予其他的角色或用户
    4. GRANT <角色1>[,<角色2>]…TO <角色3>[,<用户1>]…[WITH ADMIN OPRION];
      指定了WITN ADMIN OPTION子句,则获得某种权限的角色或用户还可以把这种权限再授予其他的角色,角色3拥有角色1和角色2的所有权限。一个角色包含的权限包括直接授予这个角色的全部权限加上其他角色授予这个角色的全部权限。
    5. 角色权限的收回
      REVOKE <权限>[,<权限>]… ON<对象类型><对象名>FROM <角色>[,<角色>]…
      用户可以回收角色的权限,从而修改角色拥有的权限。
      示例:
      CREATE ROLE R1; 创建角色
      GRANT SELECT ON TABLE SC; 授权
      GTANT T1 TO USER; 授权用户
      REVOKE R1 FROM USER; 回收权限
    6、强制存取控制方法

    自主存取控制(MAC)能够通过授权机制有效地控制对敏感数据的存取,但是由于用户对数据的存取权限是自主的,可以自由授权,这样会导致安全性降低,因此需要对系统控制下的所有主客体实施强制存取控制策略。
    定义:系统为保护更高程度的安全性,按照TDI/TCSEC标准中的安全策略的要求所采取的强制存取检查手段。它不是用户能直接感知或进行控制的。强制存取控制适用于那些数据有严格而固定密级分类的部门(军事或政府等)。
    在强制存取控制中,数据库管理系统所管理的全部实体被分为主体和客体两大类。
    1. 主体是系统中的活动实体,既包含数据库管理系统所管理的实际用户,也包含代表用户的各进程。
    2. 客体是系统中的被动实体,是受主体操纵的,包括文件、基本表、索引、视图等。
    数据库管理系统为主体和客体每个实例(值)指派一个敏感标记(label)。label分为绝密(TS)>=机密(S)>=可信(C)>=公开(P)。主体的敏感度标记称为许可证级别,客体的敏感度标记称为密级。强制存取控制机制就是通过对比主体的敏感度标记和客体的敏感度标记,最终确定主体是否能够存取客体。
    当某一用户(或某一主体)以标记label注册入系统时,系统要求他对任何客体的存取要遵循:
    1)仅当主体的许可证级别大于或等于客体的密级时,该主才能读取相应的客体。
    2)仅当主体的许可证级别小于或等于客体的密级时,该主体才能写相应的客体。
    强制存取控制是对数据本身进行密级标记,无论数据如何复制,标记与数据是一个不可分的整体,只有符合密级标记要求的用户才可以操纵数据,从而提供了更高级别的安全性。较高安全性级别提供的安全保护要包含较低级别的所有保护,因此在实现强制存取控制时要首先实现自主存取控制(DAC),即自主存取控制与强制存取控制共同构成数据库管理系统的安全机制。

    系统首先进行自主存取控制检查,对通过自主存取控制检查的允许存取的数据库对象再由系统自动进行强制存取控制检查,只有通过强制存取控制检查的数据库对象方可存取。

    展开全文
  • 信息系统的要素有:计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度 信息安全的主要目的是...商用密码应用安全性评估(简称“密评”)的定义:指在采用商用密码技术、产品和服务集成建设的网
  • 数据库-数据库安全性

    千次阅读 多人点赞 2019-09-02 23:46:10
    这篇博客内容有些琐碎繁杂,我整理的时候有很多上课时老师没有讲的,但我自己在看的时候看了看...数据库安全性 1、数据库安全性概述 1)、数据库的完全因素 2)、安全标准简介 2、数据库安全性控制 1)、用户...
  • 第二章 WLAN 和固有的不安全性 作者:Vivek Ramachandran, Cameron Buchanan 译者:飞龙 协议:CC BY-NC-SA 4.0 简介 建筑越高,地基就要打得越深。 – 托马斯·坎佩斯 没有什么伟大的东西能在脆弱的基础...
  • 大型网站核心要素之前我们介绍了4个,今天讲讲这最后一个:安全性,从互联网诞生开始,安全威胁就一直伴随着网站的发展,各种web攻击和信息泄露也从未停止,那么我们今天就从下面这几点谈谈网站架构的安全性:网站...
  • 游戏安全性测试总结

    千次阅读 2019-05-14 19:46:00
    手机游戏安全性日显重要,在上线之前已成为一个可忽视的测试指标。 但是有关手机游戏安全性测试又任重道远…… 上线之后,依然出现各种问题,这里只单独讲下游戏安全这一块这些年的一些总结。 具体分析见后续单独...
  • 提高系统安全性方法详解

    万次阅读 2017-06-30 15:05:46
    软件可靠(softwarereliability)是软件产品在规定的条件下和规定的时间区间完成规定功能的能力。规定的条件是指直接与软件运行相关的使用该软件的计算机系统的状态和软件的输入条件,或统称为软件运行时的外部输入...
  • 接下来为了突出webtours接口安全性很差,这里将cookie中的username的值从cdtaogang改成一个存在的用户nihaoma 再次执行发送请求,查看请求响应web视图,出乎意料的登录成功了,说明此接口安全性太低,实际...
  • Java 泛型,你了解类型擦除吗?

    万次阅读 多人点赞 2017-08-05 22:32:18
    这其实是我个人的看法而已,我的意思是说泛型没有其看起来那么深不可测,它并神秘与神奇。泛型是 Java 中一个很小巧的概念,但同时也是一个很容易让人迷惑的知识点,它让人迷惑的地方在于它的许多表现有点违反直觉...
  • Web安全性测试

    万次阅读 2018-12-04 17:28:05
    一、认证与授权 1、认证 即登录功能正常 2、权限 每个用户拥有正确的权限 3、避免未经授权的页面可以直接访问,通过认证和权限(Session),对每个页面有一...4、在手动进行安全测试时,对所有url地址在登录...
  • 1.数据库安全性概述 (1)为什么要研究数据库的安全性? 问题的提出: 数据库的一大特点是数据可以共享 数据共享必然带来数据库的安全性问题 数据库系统中的数据共享能是无条件的共享 例: 军事秘密、国家机密、...
  • 数据安全性

    千次阅读 2019-05-13 11:59:55
    数据安全性 数据安全性控制的常用方法 用户标识和鉴别----- 系统提供的最外层安全保护措施 用户标识 口令(系统核对口令以鉴别 用户身份) 存取控制-----定义用户权限,合法权限检查 自主存取控制(DAC) 1)...
  • IIS配置 安全性配置

    千次阅读 2013-07-16 10:33:47
    最近,和朋友们在聊及ASP.NET程序的安全性没有JAVA高,IIS(Internet Infomartion Server)的存在很多漏洞(以及新型蠕虫,例如Code Red 和Nimda),安全得到保障。针对IIS的安全性查了些资料,发现IIS的安全性曾被...
  • 详解HTTPS是如何确保安全性的?

    万次阅读 多人点赞 2016-04-02 11:03:04
    来自: Android梦想特工队 作者: Aaron ...原文连接: http://www.wxtlife.com/2016/03/27/详解https是如何...Https 介绍什么是HttpsHTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全
  • 软件安全需求分析

    千次阅读 2020-12-30 19:10:33
    文章目录一、软件与软件安全的需求分析1、软件需求分析的主要工作2、软件安全需求分析的主要工作二、软件安全需求来源1、来源的分类2、软件安全遵从需求三、需求的获取1、获取的相关方2、获取方法 一、软件与软件...
  • 【网络安全】单选/多选/判断/填空 期末复习·题 一、选择题(每小题 2分,共30分) ...发送信息的可否认 C.数据交换的完整 D.数据存储的唯一 4. ( D)不是信息失真的原因。 A.信源提供的信息完全
  • java安全编码指南之:Number操作

    万次阅读 2020-09-10 09:55:41
    文章目录简介Number的范围区分位运算和算数运算注意不要使用0作为除数兼容C++的无符号整数类型NAN和INFINITY不要使用float或者double作为循环的计数器BigDecimal的构建类型转换问题 简介 java中可以被称为Number的有...
  • 深入理解Java枚举类型(enum)

    万次阅读 多人点赞 2017-05-13 18:27:14
    【版权申明】未经博主同意,谢绝转载!(请尊重原创,博主保留追究权) ...深入理解Java类型信息(Class对象)与反射机制 深入理解Java枚举类型(enum) 深入理解Java注解类型(@Annotation) 深入理解
  • 复杂口令安全性足够高,需要定期修改 D.口令认证是最常见的认证机制 答案:C 2.下列关于木马病毒的特性,不正确的是( )。 A.隐蔽性 B.主动传播性 C.自动运行性 D.破坏性 答案:B 3.在信息系统中,( )是...
  • 摘要:在水处理控制系统中,其控制和监控模块的非功率模拟传感器采用信号隔离器的接线方式,合理解决了相关模拟传感器供电的安全性和相对独立性问题,确保了监控模块的电源、模拟采集模块和输出模块的相对隔离,降低...
  • 常见开发安全规避和敏感信息处理

    千次阅读 2017-09-12 17:11:41
    1. 常见开发场景安全开发指南 1.1. 敏感信息使用场景 敏感信息指用户的 身份证号、银行卡号、手机号 等身份信息。重要敏感信息的脱敏规范如下。 敏感信息类型 展示规范 身份证 ...
  • 信息系统安全复习提纲

    万次阅读 2022-01-03 12:48:36
    信息系统安全复习 2021.12月整理 标注了部分2021年12月考察到的知识点 目录信息系统安全复习一、基本概念第一讲 信息系统概论1.什么是信息系统2.信息系统的例子,包括云计算、雾计算、边缘计算等3.信息系统的架构、...
  • 网络信息安全的重要

    万次阅读 2018-08-15 11:39:01
    在互联网普及的初期,人们更关注单纯的连接,以受任何限制地建立互联网为最终目的。正如事情都具有两面,互联网的便捷给人们带来了负面问题,计算机病毒的侵害、信息泄露、网络欺诈等利用互联网的犯罪行为日...
  • web安全性测试用例

    万次阅读 多人点赞 2016-12-15 12:46:04
    建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 1. 输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数...
  • 安卓应用安全指南 4.6.2 处理文件 规则书 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 遵循以下规则: 4.6.2.1 文件原则上必须创建为私有...
  • 文章目录脑图概述同步容器集合接口下的同步容器实现类Vector (线程安全性比ArrayList好一些,但并非绝对线程安全)同步容器 线程安全的场景其他注意事项HashtableCollections.synchronizedXXX方法所创建的同步容器...
  • 实验室安全考试

    千次阅读 2022-03-31 17:23:21
    实验室安全性考试题

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 377,322
精华内容 150,928
关键字:

安全性类型不正确怎么处理